CentOS SFTP如何提高安全性

以下是提高CentOS SFTP安全性的关键措施：

1. 禁用root用户登录
   编辑/etc/ssh/sshd_config，添加PermitRootLogin no，禁止root用户通过SSH/SFTP登录。

2. 创建专用SFTP用户并限制权限

   • 创建用户组：groupadd sftpusers
   • 创建用户并指定主目录：useradd -m -G sftpusers -s /sbin/nologin sftpuser
   • 配置ChrootDirectory限制用户仅能访问其主目录：Match Group sftpusers\nChrootDirectory %h\nForceCommand internal-sftp。

3. 启用密钥认证

   • 生成密钥对：ssh-keygen -t rsa -b 4096（客户端）
   • 复制公钥到服务器：ssh-copy-id user@server_ip
   • 配置/etc/ssh/sshd_config：PubkeyAuthentication yes，禁用密码认证PasswordAuthentication no。

4. 配置防火墙与端口限制
   仅允许SSH（默认22端口）通过防火墙：firewall-cmd --permanent --add-service=ssh --reload。

5. 强化目录权限
   确保用户主目录权限为755，且所属用户与组正确：chown root:root /home/sftpuser，chmod 755 /home/sftpuser。

6. 定期更新与日志监控

   • 定期更新系统及OpenSSH软件：yum update openssh-server
   • 启用详细日志：LogLevel VERBOSE，定期检查/var/log/secure。

7. 禁用不必要的功能
   禁止X11转发和TCP端口转发：AllowTcpForwarding no，X11Forwarding no。