背景介绍

SFTP（Secure File Transfer Protocol，安全文件传输协议）是一种基于SSH（Secure Shell）协议的文件传输协议，相较于传统的FTP（File Transfer Protocol），SFTP具有加密传输、认证和完整性验证等优点，因此在安全性方面更具优势，本文将详细介绍如何在Linux系统下搭建一个SFTP服务器，旨在为需要文件共享和传输的用户提供一种安全、可靠的解决方案。

步骤详解

一、创建sftp用户组和用户

1、创建sftp用户组

   groupadd sftpgroup

此命令用于创建一个名为sftpgroup的用户组。

2、创建sftp用户并指定用户组

   useradd -g sftpgroup -s /bin/false sftpadmin

此命令用于创建一个名为sftpadmin的用户，并将其添加到sftpgroup组中。-s /bin/false表示该用户不能通过shell登录。

3、设置用户密码

   passwd sftpadmin

按照提示输入并确认密码。

二、创建用户主目录并修改权限

1、创建用户主目录

   mkdir -p /data/sftp/sftpadmin

此命令用于创建一个目录作为sftpadmin用户的主目录。

2、修改用户主目录权限

   usermod -d /data/sftp/sftpadmin sftpadmin

此命令将sftpadmin用户的主目录修改为上述创建的目录。

3、修改主目录所属组和权限

   chown root:root /data/sftp/sftpadmin
   chmod 755 /data/sftp/sftpadmin

这些命令确保主目录的拥有者和组分别为root，并且目录权限为755。

三、配置sshd_config文件

1、注释掉默认的Subsystem配置

   vim /etc/ssh/sshd_config

在打开的配置文件中找到以下内容并注释掉：

   #Subsystem sftp /usr/libexec/openssh/sftp-server

2、添加新的配置

在配置文件末尾添加以下内容：

   Subsystem sftp internal-sftp
   Match Group sftpgroup
       ChrootDirectory /data/sftp/%u
       ForceCommand internal-sftp
       AllowTcpForwarding no
       X11Forwarding no

这些配置项的含义如下：

Subsystem sftp internal-sftp：指定SFTP子系统为内部SFTP。

Match Group sftpgroup：匹配所有属于sftpgroup组的用户。

ChrootDirectory /data/sftp/%u：将用户锁定在指定的根目录下。

ForceCommand internal-sftp：强制使用internal-sftp命令。

AllowTcpForwarding no：禁止TCP转发。

X11Forwarding no：禁止X11转发。

四、关闭Selinux策略（如有必要）

在某些系统中，Selinux可能会限制SFTP的功能，因此可以选择关闭它。

1、查看Selinux状态

   sestatus

2、临时关闭Selinux

   setenforce 0

3、永久关闭Selinux

编辑/etc/selinux/config文件，将SELINUX=enforcing改为SELINUX=disabled，然后重启系统。

五、重启sshd服务

完成上述配置后，需要重启sshd服务以使配置生效。

service sshd restart

或者在某些系统中使用：

systemctl restart sshd

测试与验证

1、在其他服务器或本地进行测试

   sftp sftpadmin@your_server_ip

输入密码后，如果能够进入SFTP提示符，则表示SFTP服务器搭建成功。

2、上传和下载文件

   put localfile remotefile        # 上传文件
   get remotefile localfile       # 下载文件

通过以上步骤，我们成功搭建了一个SFTP服务器，SFTP作为一种安全的文件传输协议，不仅提供了数据加密和完整性验证，还支持远程拷贝、上传和下载文件的能力，本文详细介绍了在Linux系统下如何搭建SFTP服务器，包括创建用户、配置sshd_config文件、关闭Selinux策略以及重启sshd服务等步骤，希望这些内容能够帮助读者搭建一个安全、可靠的文件传输环境。