CentOS系统如何防止SFTP被攻击

在CentOS系统上防止SFTP被攻击的配置与加固指南

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

对于依赖SFTP进行文件传输的CentOS服务器而言，安全配置绝非小事。攻击者一旦找到入口，数据泄露和系统失陷的风险便会急剧上升。别担心，通过一系列系统性的配置和加固措施，我们可以为SFTP服务构筑起坚实的防线。下面这份实操指南，将带你一步步完成关键的安全设置。

1. 安装和配置OpenSSH服务器

一切安全加固的基础，都始于正确配置OpenSSH服务器。这不仅仅是安装一个服务，更是为后续的精细化管理打下地基。

• 确保安装OpenSSH服务器：首先，用命令 sudo yum install openssh-server 确认服务已就位。
• 核心配置编辑：接下来，打开SSH的主配置文件 /etc/ssh/sshd_config。这里的几个关键设置，直接决定了SFTP的“牢笼”有多坚固：

  Subsystem sftp /usr/libexec/openssh/sftp-server
  Match Group sftpusers
      ChrootDirectory %h
      ForceCommand internal-sftp
      AllowTcpForwarding no
      X11Forwarding no

  简单来说，这段配置为特定的用户组创建了一个“监狱”（Chroot），限制他们只能在自家目录活动，并且只能使用SFTP命令。
• 创建专用用户组：执行 sudo groupadd sftpusers 创建名为“sftpusers”的组，然后将相关用户加入这个组：sudo usermod -aG sftpusers sftpuser。
• 创建受限用户：使用 sudo useradd -m sftpuser 和 sudo passwd sftpuser 来创建用户并设置密码。这个用户从诞生起，就被设计为仅用于文件传输。
• 重启服务生效：最后，别忘了用 sudo systemctl restart sshd 重启服务，让所有配置生效。

2. 防火墙设置

配置好了服务，下一步就是守好大门。防火墙是抵御外部扫描和恶意连接的第一道关卡，配置上必须“精打细算”。

• 放行必要服务：使用firewalld允许SSH连接是标准操作：

  sudo firewall-cmd --permanent --zone=public --add-service=ssh
  sudo firewall-cmd --reload

• 收紧访问策略：但仅仅放行SSH服务还不够。最佳实践是，进一步限制只允许特定的、可信的IP地址或网络段来访问SFTP端口。避免将服务暴露给整个互联网，这是降低风险最有效的方法之一。

3. 用户权限管理

权限管理是内部安全的核心。原则很简单：按需分配，最小权限。设置不当的目录权限，很可能让之前的Chroot限制形同虚设。

• 设置家目录权限：为SFTP用户创建家目录后，权限必须严格设定：

  sudo mkdir /home/sftpuser
  sudo chown root:root /home/sftpuser
  sudo chmod 755 /home/sftpuser

  注意，这里目录所有者是root，用户只有读取和执行权限，无法直接写入，这是实现Chroot隔离的关键一步。
• 配置密钥认证目录：如果使用密钥登录，需要在用户目录下创建 .ssh 文件夹并妥善设置权限：

  mkdir /home/sftpuser/.ssh
  chmod 700 /home/sftpuser/.ssh
  touch /home/sftpuser/.ssh/authorized_keys
  chmod 600 /home/sftpuser/.ssh/authorized_keys

  这样既能启用更安全的密钥认证，又确保了密钥文件本身不会被篡改。

4. 监控和日志记录

安全配置不是一劳永逸的“设置完就忘”。持续的监控和审计，是发现潜在威胁和异常行为的关键。

• 定期检查日志：养成定期查看 /var/log/secure 日志文件的习惯。这里记录了所有SSH/SFTP的登录尝试、成功和失败信息。关注频繁的失败登录、来自陌生地理位置的连接等异常模式，往往是攻击前期侦察的迹象。

5. 使用SSL/TLS加密

虽然SFTP协议本身构建在SSH之上，已经具备加密传输的能力，但强调这一点仍然很重要：确保整个SSH连接层使用强加密算法（这通常是默认的）。从全局安全视角看，这杜绝了数据在传输过程中被窃听或篡改的可能。

综合来看，服务器安全是一个层层设防的体系。从精确的OpenSSH配置、严格的防火墙策略、到细致的权限管理和持续的日志监控，每一步都不可或缺。将这些措施结合起来，就能在CentOS系统上构建一个既可靠又坚固的SFTP服务环境，让数据交换既高效又安心。