要優(yōu)化Debian系統(tǒng)上的sftp配置,您可以采取以下步驟:
-
安裝和配置Openssh服務(wù)器: Debian系統(tǒng)通常預(yù)裝了OpenSSH服務(wù)器。如果沒(méi)有,您可以使用以下命令安裝它:
sudo apt update sudo apt install openssh-server
-
編輯sshd_config文件: 打開(kāi)/etc/ssh/sshd_config文件以進(jìn)行配置:
sudo nano /etc/ssh/sshd_config
在這個(gè)文件中,您可以設(shè)置或修改以下參數(shù)來(lái)優(yōu)化SFTP:
- Port:更改SSH的默認(rèn)端口,以減少自動(dòng)攻擊的風(fēng)險(xiǎn)。
- PermitRootLogin:禁止root用戶(hù)直接登錄,改為使用普通用戶(hù)登錄后再切換到root。
- PasswordAuthentication:如果可能,禁用密碼認(rèn)證,改用SSH密鑰認(rèn)證。
- ChallengeResponseAuthentication:禁用挑戰(zhàn)響應(yīng)認(rèn)證。
- UsePAM:?jiǎn)⒂没蚪肞luggable Authentication Modules (PAM)。
- MaxAuthTries:設(shè)置允許的最大認(rèn)證嘗試次數(shù)。
- MaxSessions:限制每個(gè)用戶(hù)可以同時(shí)打開(kāi)的會(huì)話數(shù)。
- AllowUsers:指定允許登錄的用戶(hù)列表。
- DenyUsers:指定不允許登錄的用戶(hù)列表。
- Subsystem sftp:配置SFTP子系統(tǒng),可以限制用戶(hù)只能使用SFTP。
例如,要禁用root登錄并啟用密鑰認(rèn)證,您可以添加或修改以下行:
PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes
-
配置Chroot環(huán)境: 為了提高安全性,您可以將SFTP用戶(hù)限制在其主目錄中。這可以通過(guò)在sshd_config文件中添加以下配置來(lái)實(shí)現(xiàn):
Match Group sftpusers ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no X11Forwarding no
然后,創(chuàng)建一個(gè)名為sftpusers的用戶(hù)組,并將需要限制的SFTP用戶(hù)添加到此組中:
sudo groupadd sftpusers sudo usermod -aG sftpusers username
確保用戶(hù)的家目錄權(quán)限設(shè)置正確,以便SSH可以訪問(wèn):
sudo chown root:root /home/username sudo chmod 755 /home/username
-
重啟SSH服務(wù): 在進(jìn)行了上述更改后,重啟SSH服務(wù)以應(yīng)用新的配置:
sudo systemctl restart ssh
-
監(jiān)控和日志記錄: 定期檢查/var/log/auth.log文件以監(jiān)控SFTP活動(dòng),并確保沒(méi)有異常行為。
-
防火墻設(shè)置: 如果您的服務(wù)器運(yùn)行著防火墻,確保只允許必要的端口(如SSH的22端口)通過(guò)。
-
使用Fail2ban: 安裝并配置Fail2ban來(lái)防止暴力破解攻擊。
sudo apt install fail2ban sudo systemctl enable fail2ban sudo systemctl start fail2ban
您可能需要編輯Fail2ban的配置文件/etc/fail2ban/jail.local來(lái)設(shè)置適當(dāng)?shù)倪^(guò)濾器和規(guī)則。
通過(guò)這些步驟,您可以提高Debian系統(tǒng)上SFTP服務(wù)的安全性和性能。記得在每次更改配置后都要重啟SSH服務(wù),以確保更改生效。
.png)
推廣.jpg)