Debian SFTP配置中的注意事项

在Debian系统配置SFTP时，需注意以下关键事项：

1. 安装必要软件包
   确保安装OpenSSH服务器（含SFTP子系统）：
   sudo apt update && sudo apt install openssh-server。

2. 创建专用用户组与用户

   • 创建SFTP用户组（如sftp_users）：
     sudo groupadd sftp_users。
   • 添加用户并加入该组，禁止SSH登录（可选）：
     sudo useradd -m -G sftp_users -s /sbin/nologin username，并设置密码。

3. 配置SSH文件（核心步骤）
   编辑/etc/ssh/sshd_config，添加以下内容：

   Subsystem sftp internal-sftp  # 指定SFTP子系统  
   Match Group sftp_users       # 限制仅该组用户使用SFTP  
       ChrootDirectory %h       # 限制用户仅能访问家目录  
       ForceCommand internal-sftp # 强制使用SFTP命令  
       AllowTcpForwarding no    # 禁用端口转发  
       X11Forwarding no         # 禁用X11转发  
   

   注意：修改前需备份原文件（sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.org）。

4. 设置目录权限

   • 用户家目录需归属root，权限设为755：
     sudo chown root:root /home/username && sudo chmod 755 /home/username。
   • 若需上传文件，可在家目录下创建可写子目录（如upload），归属用户：
     sudo mkdir /home/username/upload && sudo chown username:sftp_users /home/username/upload。

5. 重启服务与验证

   • 重启SSH服务使配置生效：
     sudo systemctl restart sshd。
   • 使用SFTP客户端（如sftp username@server_ip）测试连接，验证文件传输功能。

6. 安全增强措施

   • 启用防火墙：开放SFTP默认端口（22）：
     sudo ufw allow 22/tcp。
   • 禁用密码认证（可选）：为提高安全性，可配置SSH密钥认证，需在sshd_config中设置PasswordAuthentication no。
   • 监控日志：通过/var/log/auth.log查看SFTP登录记录，及时发现异常。

关键风险提示：

• 错误的ChrootDirectory权限可能导致用户无法访问目录，需确保目录归属和权限正确。
• 禁用AllowTcpForwarding和X11Forwarding可防止潜在的端口滥用。