如何防止CentOS SFTP被攻击

如何防止CentOS SFTP被攻击：一份系统性的安全加固指南

在今天的网络环境中，SFTP服务器常常成为自动化攻击脚本的首要目标。单纯依靠默认配置，无异于将大门虚掩。要真正筑牢防线，需要一套从内到外、层层递进的组合策略。下面，我们就来详细拆解这些关键步骤和最佳实践。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

1. 安装和配置OpenSSH服务器：打好安全地基

一切安全加固都始于正确的安装与配置。首先，确保你的CentOS系统已经安装了OpenSSH服务器。接下来，真正的功夫在配置文件 /etc/ssh/sshd_config 里。以下几个配置项是安全基石，务必确认它们被正确设置：

• 禁用root登录：将 PermitRootLogin 设置为 no。这是阻断暴力破解最直接有效的一招。
• 禁止密码认证：将 PasswordAuthentication 设置为 no，强制使用更安全的密钥认证。
• 禁止空密码登录：PermitEmptyPasswords no 能堵住一个显而易见的漏洞。
• 禁止用户环境：PermitUserEnvironment no 可以防止用户通过环境变量引入潜在风险。
• 禁止X11转发：对于纯文件传输的SFTP服务器，X11Forwarding no 可以关闭不必要的功能，减少攻击面。

所有修改完成后，别忘了重启SSH服务让配置生效：

sudo systemctl restart sshd

2. 创建专用的SFTP用户：遵循最小权限原则

永远不要用root用户进行SFTP操作，这是铁律。正确的做法是创建一个专属的SFTP用户。首先，创建用户并设置一个强密码（后续我们会禁用密码登录，但初始设置仍需）：

sudo useradd -m sftpuser
sudo passwd sftpuser

接着，将这个用户添加到专门的 sftp 用户组，便于后续进行统一的权限管理：

sudo usermod -a -G sftpusers sftpuser

3. 配置ChrootDirectory：构筑“安全监狱”

这是防止横向移动的关键。通过 chrootDirectory 选项，可以将用户牢牢限制在其家目录内，使其无法窥探或访问系统的其他部分。配置通常放在 sshd_config 文件末尾：

Match group sftpusers
    ChrootDirectory %h
    ForceCommand internal-sftp

这里有个至关重要的细节：用户家目录本身的所有者必须是root，且权限需设置为755，否则连接会失败。执行以下命令进行设置：

sudo chown root:root /home/sftpuser
sudo chmod 755 /home/sftpuser

4. 配置用户权限和目录权限：精细化管理

在“安全监狱”内，我们还需要为用户创建上传下载文件的实际空间。通常，我们会在其家目录下创建一个子目录（比如 /home/sftpuser/data），并将所有权交给该用户。同时，为了后续使用密钥登录，需要正确设置 .ssh 目录的权限：

mkdir /home/sftpuser/.ssh
chmod 700 /home/sftpuser/.ssh
touch /home/sftpuser/.ssh/authorized_keys
chmod 600 /home/sftpuser/.ssh/authorized_keys

注意，.ssh 目录和 authorized_keys 文件的严格权限（700和600）是SSH密钥认证能正常工作的前提。

5. 配置防火墙：守住网络入口

系统层面的配置完成后，别忘了网络层的防护。确保防火墙只放行必要的端口。如果使用默认的22端口，配置如下：

sudo firewall-cmd --permanent --zone=public --add-port=22/tcp
sudo firewall-cmd --reload

当然，更安全的做法是修改默认端口，我们会在第9步详细说明。

6. 使用强密码策略：设立基本门槛

尽管我们推荐禁用密码登录，但系统其他用户或初始设置仍可能用到密码。通过修改 /etc/login.defs 等文件，强制执行密码最小长度、复杂度和过期策略，是基础安全不可或缺的一环。

7. 定期更新和监控：安全是一个持续过程

没有一劳永逸的安全。务必定期运行 yum update 来更新系统和软件包，及时修补已知漏洞。同时，养成监控 /var/log/secure 等日志文件的习惯，任何可疑的登录尝试都值得深究。

8. 使用密钥认证（可选但推荐）：告别密码风险

如果说以上是“加固”，那么使用SSH密钥认证就是一次“升级”。彻底告别密码被暴力破解或嗅探的风险。在客户端生成密钥对，并将公钥内容添加到服务器对应用户的 authorized_keys 文件中，安全性将得到质的提升。

9. 更改SFTP默认端口：避开“流弹”扫描

将默认的22端口改为一个非标准的高位端口（如2222），可以立刻屏蔽掉互联网上绝大多数漫无目的的自动化扫描和攻击尝试。修改 sshd_config 中的 Port 指令后，别忘了同步调整防火墙规则：

sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

综上所述，CentOS上SFTP的安全并非某个单点配置，而是一个从服务配置、用户权限、目录禁锢到网络防火墙的立体防御体系。按部就班地执行以上步骤，你的SFTP服务将从一个易受攻击的普通节点，转变为一道可靠的安全数据通道。