117笔记问答配置CentOS上的SFTP(安全文件传输协议)时,有几个关键要点需要注意,以确保服务器的安全性和稳定性。以下是详细的配置步骤和要点:
1. 安装OpenSSH服务器
首先,确保你的CentOS系统上安装了OpenSSH服务器。可以使用以下命令进行安装:
sudo yum install openssh-server
2. 创建SFTP用户和用户组
创建一个专门用于SFTP的用户组和一个SFTP用户。例如,创建名为sftp的用户组:
sudo groupadd sftp
然后,创建一个SFTP用户并将其添加到该组中:
sudo useradd -g sftp -s /sbin/nologin mysftp
为SFTP用户设置密码:
sudo passwd mysftp
3. 配置SSH
编辑SSH配置文件/etc/ssh/sshd_config,确保以下配置项已正确设置:
-
启用SFTP子系统:
Subsystem sftp internal-sftp
-
限制特定用户组使用SFTP:
Match Group sftp
-
将用户限制在其家目录内:
ChrootDirectory %h
-
禁用TCP转发和X11转发:
ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no
4. 设置目录权限
确保SFTP用户的根目录(由chrootDirectory指定)权限设置正确。例如,如果chrootDirectory设置为/home/mysftp,则该目录及其所有上级目录的属主和属组都应该是root,并且权限设置为755:
sudo chown root:root /home/mysftp sudo chmod 755 /home/mysftp
5. 创建用户可写入的目录
为了方便SFTP用户上传文件,创建一个他们可以写入的目录,并设置相应的权限:
sudo mkdir /home/mysftp/upload sudo chown mysftp:sftp /home/mysftp/upload sudo chmod 755 /home/mysftp/upload
6. 重启SSH服务
保存并退出配置文件后,重启SSH服务以使更改生效:
sudo systemctl restart sshd
7. 测试SFTP连接
使用SFTP客户端(如FileZilla或WinSCP)从另一台计算机连接到服务器,使用SFTP用户的用户名和密码进行身份验证,并进行文件传输测试。
8. 安全增强措施
- 使用密钥认证:考虑使用SSH密钥认证替代密码,以增加一层安全性。
- 禁用不必要的服务:例如,如果不需要X11转发,可以将
X11Forwarding no添加到配置文件中。 - 定期更新和维护:定期更新SSH和SFTP服务软件,以确保及时应用安全补丁。