117笔记问答在CentOS上配置SFTP(SSH File Transfer Protocol)以确保安全性,可以遵循以下步骤:
-
更新系统: 首先,确保你的CentOS系统是最新的。使用以下命令更新系统:
sudo yum update -y
-
安装OpenSSH服务器: 如果尚未安装OpenSSH服务器,请使用以下命令安装:
sudo yum install openssh-server -y
-
配置SSH: 编辑SSH配置文件
/etc/ssh/sshd_config来启用SFTP并禁用不必要的服务:sudo vi /etc/ssh/sshd_config
在文件中找到或添加以下行:
Subsystem sftp /usr/libexec/openssh/sftp-server PasswordAuthentication yes ChallengeResponseAuthentication no UsePAM yes X11Forwarding no AllowTcpForwarding no
这些设置将启用SFTP子系统,并禁用密码认证(推荐使用密钥认证),以及关闭X11和TCP转发以提高安全性。
-
重启SSH服务: 保存并退出编辑器后,重启SSH服务以应用更改:
sudo systemctl restart sshd
-
配置防火墙: 如果你启用了CentOS的防火墙(firewalld),确保允许SSH连接:
sudo firewall-cmd --permanent --add-service=ssh sudo firewall-cmd --reload
-
使用密钥认证(推荐): 为了提高安全性,建议使用SSH密钥而不是密码进行认证。生成SSH密钥对并将其复制到远程服务器:
ssh-keygen -t rsa -b 4096 ssh-copy-id user@remote_host
这将在远程服务器上设置用户的公钥,并允许用户使用私钥进行认证。
-
限制SFTP用户访问: 你可以使用
chroot来限制SFTP用户的根目录,从而提高安全性。编辑/etc/ssh/sshd_config文件,添加或修改以下行:Match Group sftpusers ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no
然后创建一个名为
sftpusers的组,并将需要限制的用户添加到该组:sudo groupadd sftpusers sudo usermod -aG sftpusers username
最后,确保
/etc/pam.d/sshd文件中包含以下行,以便正确设置chroot环境:auth required pam_listfile.so item=user sense=allow file=/etc/ssh/sftpusers onerr=succeed
-
重启SSH服务: 再次重启SSH服务以应用所有更改:
sudo systemctl restart sshd
完成以上步骤后,你的CentOS系统上的SFTP配置应该更加安全。记得定期更新系统和软件包,以及监控SSH登录尝试,以确保系统的持续安全。