Debian SFTP加密传输实现与加固
工作原理与端口
- SFTP 基于 SSH 协议,在建立连接时进行密钥交换,随后对身份认证、命令与数据均进行加密,天然具备端到端加密与完整性校验能力。
- 默认使用 TCP 22 端口进行传输,只要 SSH 可达,SFTP 即可安全传输数据。
快速启用步骤
- 安装 OpenSSH 服务器:sudo apt update && sudo apt install openssh-server
- 确保 SSH 服务运行:sudo systemctl start ssh && sudo systemctl enable ssh
- 使用客户端连接测试:sftp -o Port=22 username@your_server_ip
- 如启用防火墙,放行 22/TCP:sudo ufw allow 22(或使用云安全组放通 22 端口)
加固配置示例
- 编辑 /etc/ssh/sshd_config,建议采用 internal-sftp 并限制用户权限:
# 全局启用 SFTP 子系统
Subsystem sftp internal-sftp
# 仅对 sftp_users 组生效
Match Group sftp_users
X11Forwarding no
AllowTcpForwarding no
PermitTunnel no
ForceCommand internal-sftp
ChrootDirectory %h
sudo groupadd sftp_users
sudo useradd -m -G sftp_users -s /usr/sbin/nologin sftpuser
sudo passwd sftpuser
# 为满足 Chroot 要求,主目录需 root 拥有;可给用户可写子目录
sudo chown root:root /home/sftpuser
sudo mkdir -p /home/sftpuser/upload
sudo chown sftpuser:sftp_users /home/sftpuser/upload
- 重启生效:sudo systemctl restart ssh
认证与加密算法强化
- 使用 SSH 公钥认证(禁用密码更安全):
- 客户端生成密钥:ssh-keygen -t rsa -b 4096 -f ~/.ssh/sftp_rsa
- 上传公钥至服务器:ssh-copy-id -i ~/.ssh/sftp_rsa.pub sftpuser@server
- 服务器端开启公钥并禁用密码:
PubkeyAuthentication yes
PasswordAuthentication no
- 可选:在 sshd_config 中仅启用强加密套件与密钥交换算法(示例):
Protocol 2
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
MACs hmac-sha2-256,hmac-sha2-512
KexAlgorithms diffie-hellman-group-exchange-sha256
- 重启生效:sudo systemctl restart ssh
连接与验证
- 命令行连接:sftp -o Port=22 username@your_server_ip
- 图形客户端(如 FileZilla)选择协议 SFTP,端口 22,使用用户名/密码或私钥登录,确认连接信息中显示“加密/TLS”字样即为加密通道。
常见误区与建议
- SFTP 不需要也不使用 SSL/TLS 证书;它是 SSH 子系统。若看到“为 SFTP 配置 SSL/TLS”的说法,多为将 FTPS/FTPES 与 SFTP 混淆。
- 若必须使用 FTP 并加密,请选择 FTPS(990/TCP) 或 FTPES(21/TCP,显式加密),这与 SFTP 是不同协议与端口。
- 生产建议:仅密钥登录、限制 SFTP 用户 Chroot、禁用端口转发与 X11、结合 UFW 或云安全组仅放通 22/TCP、部署 Fail2ban 防暴力破解。