如何在 Linux 服务器上安装和使用 SFTP
在此页
- 先决条件
- 验证 OpenSSH 包
- 创建组和用户
- 设置 Chroot 监狱目录
- 在 SSH 服务器上启用 SFTP
- 访问 SFTP 服务器
- 结论
SFTP 或 SSH 文件传输协议是一种在两台计算机或多台计算机之间安全传输数据的方法。它的 FTP 在 SSH 协议之上运行并利用其安全性并完全支持其身份验证。
如今,建议使用 SFTP 而不是遗留的旧 FTP 或 FTP/S 协议。 SFTP 默认是安全的,因为 SSH 就是这样工作的。从安全的角度来看,SFTP 还可以保护您免受密码嗅探和中间人攻击 (MiTM)。
与 SSH 一样,SFTP 也使用加密和加密哈希函数保护您的数据完整性。此外,它还支持多种安全身份验证方法,包括基于密码和密钥的身份验证。此外,它减少了服务器对外部网络的开放端口,因为它与 SSH 协议运行在相同的端口上。
先决条件
在本指南中,您将学习如何在 Linux 系统上设置 SFTP 服务器。此外,您还将学习 sftp 客户端的基本命令。
下面是当前的实现环境:
- Linux 服务器 - 您可以使用 Debian、Ubuntu、CentOS、Fedora、Rocky 或任何其他 Linux 发行版。
- 确保 OpenSSH 软件包在您的 Linux 系统上可用。
- SFTP 客户端 - sftp 命令行或您喜欢的任何 GUI 客户端。
验证 OpenSSH 包
要设置 SFTP 服务器,您必须在 Linux 系统上安装 OpenSSH 包。几乎所有的 Linux Distribution 服务器都默认安装了 OpenSSH 包。但是,如果您的系统上没有 OpenSSH 软件包,您可以从官方存储库安装它。
1. 要确保您的 Linux 系统上安装了 OpenSSH 软件包,请使用以下命令。
对于 Debian 或 Ubuntu 服务器,您可以使用下面的 dpkg 命令。
dpkg -l | grep ssh下面是我们的 Debian 系统的输出。
ii libssh2-1:amd64 1.9.0-2 amd64 SSH2 client-side library
ii openssh-client 1:8.4p1-5 amd64 secure shell (SSH) client, for secure access to remote machines
ii openssh-server 1:8.4p1-5 amd64 secure shell (SSH) server, for secure access from remote machines
ii openssh-sftp-server 1:8.4p1-5 amd64 secure shell (SSH) sftp server module, for SFTP access from remote machines第一列 ii 表示软件包已安装。 openssh-sftp-server 安装在 Debian/Ubuntu 系统上。
对于 RHEL/CentOS/Fedora/Rocky Linux/AlmaLinux 用户,您可以使用 rpm 命令,如下所示。
rpm -qa | grep ssh创建组和用户
在此步骤中,您将为 SFTP 服务器创建一个新组和用户。该组中的用户将被允许访问 SFTP 服务器。并且出于安全原因,SFTP 用户无法访问 SSH 服务。 SFTP用户只能访问SFTP服务器。
1. 执行以下命令创建一个新组sftpgroup。
sudo groupadd sftpgroup2. 使用以下命令创建一个新用户 sftpuser。
sudo useradd -G sftpgroup -d /srv/sftpuser -s /sbin/nologin sftpuser详细选项:
- -G :自动将用户添加到 sftpgroup。
- -d : 指定新用户的主目录。
- -s : 将新用户的默认值设置为/sbin/nologin,这意味着用户不能访问SSH服务器。
3. 接下来,使用以下命令为用户 sftpuser 创建密码。
passwd sftpuser输入您的强密码并重复,然后按 Enter 确认。
要添加更多用户,请重复阶段数 2 和 3, 最重要的是,所有 SFTP 用户都必须在 sftpgroup 组中,不能通过 SSH 进行 shell 访问。
设置 Chroot 监狱目录
创建新组和用户后,您必须为 SFTP 用户创建和配置 chroot 目录。
1. 对于用户 sftpuser,新的主目录将位于 /srv/sftpuser。执行下面的命令来创建它。
mkdir -p /srv/sftpuser2. 要为用户 sftpuser 设置 chroot,您必须将目录的所有权更改为用户 root,但保留该组以读取和执行,但没有写入权限。
使用以下命令将目录的所有权更改为用户 root。
sudo chown root /srv/sftpuser授予该组读取和执行权限,但不允许写入。
sudo chmod g+rx /srv/sftpuser3. 接下来,在/srv/sftpuser 目录中创建一个新的数据目录,并将该data 目录的所有权更改为用户sftpuser。
mkdir -p /srv/sftpuser/data
chown sftpuser:sftpuser /srv/sftpuser/data
到目前为止,下面详细介绍了 SFTP 用户目录的配置。
- /srv/sftuser 目录是默认主目录。
- 用户 sftpuser 无法写入目录 /srv/sftpuser,但可以在该目录中读取。
- 用户 sftpuser 可以将文件上传到目录 /srv/sftpuser/data 中的 SFTP 服务器。
在 SSH 服务器上启用 SFTP
要在 OpenSSH 上启用 SFTP 服务器,您必须编辑 SSH 配置 /etc/ssh/sshd_config。
1. 使用 nano 或 vim 编辑 ssh 配置 /etc/ssh/sshd_config。
sudo nano /etc/ssh/sshd_config2. 注释以下配置以禁用独立的sftp-server 功能。
#Subsystem sftp /usr/lib/openssh/sftp-server3. 将以下配置粘贴到该行的底部。
Subsystem sftp internal-sftp
Match Group sftpgroup
ChrootDirectory %h
X11Forwarding no
AllowTCPForwarding no
ForceCommand internal-sftp保存配置并退出。
详细配置:
- 我们没有使用子进程 sftp-server,而是使用了 internal-sftp。
- 为 sftpgroup 组启用的 SFTP 服务器。
4. 要应用新配置,请使用以下命令重新启动 ssh 服务。
sudo systemctl restart sshdSFTP 服务器已准备就绪且可访问,并且它与 SSH 服务在同一端口上运行。
访问 SFTP 服务器
在客户端,我们将使用大多数 Linux 发行版默认安装的 sftp 命令行。但是,您也可以使用其他命令行客户端或 GUI FTP 客户端,例如 FileZilla、Cyberduck 等。
1. 要连接到 SFTP 服务器,请执行以下 sftp 命令。
sftp 如果您的 SFTP 和/或 SSH 服务器在自定义端口上运行,您可以使用如下的 sftp 命令。
sftp -P PORT 键入 sftpuser 的密码。
2. 连接到 SFTP 服务器后,执行以下命令。
显示当前路径工作目录并列出所有可用文件和目录。
pwd
ls
3. 将本地文件上传到SFTP 服务器的目录/,这将导致permission denied,因为它是chroot 目录。
put /path/to/file/on/local /4. 将本地文件上传到SFTP 服务器的目录/data/。如果您的配置正确,您的文件将被上传到/data/ 目录。
put /path/to/file1/on/local1 /data/
put /path/to/file2/on/local /data/
5. 现在使用以下命令检查 /data 目录中的可用文件。
ls /data/你会看到你的文件上传到 SFTP 服务器。
结论
恭喜!您已经成功地在 Linux 系统上配置了 SFTP 服务器。这种类型的配置可以应用于大多数安装了 OpenSSH 的 Linux 系统。此外,您还学习了如何为 SFTP 用户设置 chroot 目录,并学习了基本的 sftp 客户端命令。