sftp在centos上的安全配置

确保CentOS系统上的SFTP（SSH File Transfer Protocol）安全配置是至关重要的，以下是一些关键步骤和最佳实践：

安装和配置OpenSSH服务器

• 安装OpenSSH服务器：sudo yum install openssh-server
• 编辑SSH配置文件 /etc/ssh/sshd_config，确保以下配置项被正确设置：
  • 禁用root登录：PermitRootLogin no
  • 禁止密码认证：PasswordAuthentication no
  • 禁止空密码登录：PermitEmptyPassword no
  • 禁止用户环境：PermitUserEnvironment no
  • 禁止X11转发：X11Forwarding no
• 重启SSH服务以应用更改：sudo systemctl restart sshd

创建专用的SFTP用户

• 创建SFTP用户：sudo useradd -m sftpuser
• 设置用户密码：sudo passwd sftpuser
• 将用户添加到 sftp 用户组：sudo usermod -a -G sftpusers sftpuser

配置ChrootDirectory

• 使用 chrootDirectory 选项将用户限制在其家目录中，防止他们访问系统其他部分。
• 配置示例：

  Match group sftpusers
      ChrootDirectory %h
      ForceCommand internal-sftp
  

• 确保用户家目录的所有者为root：sudo chown root:root /home/sftpuser
• 设置权限：sudo chmod 755 /home/sftpuser
• 重启SSH服务：sudo systemctl restart sshd

配置用户权限和目录权限

• 在用户的主目录下创建 .ssh 目录，并在其中创建 authorized_keys 文件，用于存储用户的公钥。
• 配置示例：

  mkdir /home/sftpuser/.ssh
  chmod 700 /home/sftpuser/.ssh
  touch /home/sftpuser/.ssh/authorized_keys
  chmod 600 /home/sftpuser/.ssh/authorized_keys
  

禁用不必要的SSH功能

• 为了提高安全性，禁用不必要的SSH功能，如X11转发和TCP转发：

  AllowTcpForwarding no
  X11Forwarding no
  

配置防火墙

• 确保防火墙允许SSH连接，并限制访问SSH的端口（默认是22）。
• 配置示例：

  sudo firewall-cmd --zone=public --permanent --add-port=22/tcp
  sudo firewall-cmd --reload
  

使用强密码策略

• 确保所有用户都使用强密码，可以通过修改 /etc/login.defs 文件来强制执行这些要求：

  PASS_MIN_LEN 10
  

定期更新和监控

• 定期更新系统和软件包，以修复已知的安全漏洞。
• 监控FTP/SFTP日志以检测可疑活动。