Ubuntu SFTP的安全加固可以通过以下步骤进行:
安装OpenSSH:
确保系统上安装了OpenSSH服务器软件包。如果没有安装,可以使用以下命令进行安装:
sudo apt update
sudo apt install openssh-server
创建专属用户组:
创建一个新的用户组,例如sftpgroup,用于管理具有SFTP访问权限的用户账户。
创建SFTP用户并添加到用户组:
创建一个新用户(例如mysftp)并将其加入到sftpgroup中。同时禁用其shell登录,以增加安全性。
sudo useradd -g sftpgroup -s /bin/nologin mysftp
sudo passwd mysftp
配置用户的家目录:
为用户创建家目录并将其设置为chroot目录。设置合适的文件权限和所有权,确保SFTP用户可以访问该目录,但限制写权限的范围。
sudo mkdir -p /home/mysftp
sudo usermod -d /home/mysftp mysftp
sudo chown root:sftpgroup /home/mysftp
sudo chmod 755 /home/mysftp
配置SSH目录和权限:
创建用户上传目录并设置权限。
sudo mkdir /home/mysftp/upload
sudo chown mysftp:sftpgroup /home/mysftp/upload
sudo chmod 755 /home/mysftp/upload
配置SSH子系统:
编辑/etc/ssh/sshd_config文件来启用SFTP子系统,并配置相关的匹配条件和chroot环境。
sudo nano /etc/ssh/sshd_config
在文件末尾添加以下内容:
Subsystem sftp internal-sftp
Match Group sftpgroup
ChrootDirectory /home/mysftp/%u
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
保存并关闭文件。
重启SSH服务:
重启SSH服务以使配置更改生效。
sudo systemctl restart sshd
修改SFTP默认端口(可选):
为了提高安全性,可以修改SFTP的默认端口。编辑/etc/ssh/sshd_config文件,找到端口设置并修改为其他端口(例如2222)。然后重启SSH服务。
Port 2222
sudo systemctl restart sshd
配置防火墙:
确保防火墙允许SFTP使用的端口。使用ufw命令开放新端口。
sudo ufw allow 2222/tcp
sudo ufw reload
使用密钥对进行身份验证(可选):
为了增加安全性,可以禁用密码登录,只允许使用密钥登录。在客户端生成SSH密钥对,并将公钥添加到服务器的~/.ssh/authorized_keys文件中。
ssh-keygen
ssh-copy-id user@remote_host
然后在SFTP客户端连接时使用私钥:
sftp -i /path/to/private_key user@remote_host
定期更新系统和安装安全补丁:
使用unattended-upgrades包实现系统的自动更新,定期手动运行sudo apt update && sudo apt upgrade确保安装了所有可用的补丁。
监控和日志记录:
定期检查系统日志,以便及时发现可疑活动。使用journalctl命令查看SSH日志。
sudo journalctl -u ssh
通过上述步骤,可以显著提高Ubuntu SFTP服务器的安全性,减少遭受网络攻击的风险。