搭建安全高效的文件传输通道

一、准备工作

确保你有一台运行 CentOS 7/8/9 的服务器，并且已安装 OpenSSH 服务（通常默认已安装）。你可以通过以下命令检查：

# 检查 SSH 服务状态systemctl status sshd# 如果未安装，可执行以下命令安装yum install -y openssh-server  

二、创建专用SFTP用户和目录

为了安全起见，我们建议为SFTP创建一个独立的用户，并限制其只能访问指定目录（即“chroot”环境）。

# 创建 sftp 用户组groupadd sftpusers# 创建用户 sftpuser，禁止 shell 登录，并加入 sftpusers 组useradd -g sftpusers -s /sbin/nologin -d /sftp/sftpuser sftpuser# 设置用户密码passwd sftpuser# 创建 chroot 目录结构mkdir -p /sftp/sftpuser/upload# 设置正确的权限（关键！）chown root:sftpusers /sftp/sftpuserchmod 755 /sftp/sftpuser# 用户可写入 upload 目录chown sftpuser:sftpusers /sftp/sftpuser/uploadchmod 755 /sftp/sftpuser/upload  

⚠️ 注意：SFTP 的 chroot 目录（这里是 /sftp/sftpuser）必须由 root 拥有，且不能有写权限，否则 SSH 会拒绝连接。

三、配置OpenSSH启用SFTP

编辑 SSH 配置文件 /etc/ssh/sshd_config：

sudo vi /etc/ssh/sshd_config  

在文件末尾添加以下配置：

# 注释掉原有的 Subsystem sftp 行（如果存在）# Subsystem sftp /usr/libexec/openssh/sftp-server# 启用 internal-sftp（推荐）Subsystem sftp internal-sftp# 为 sftpusers 组设置限制Match Group sftpusers    ChrootDirectory /sftp/%u    ForceCommand internal-sftp    AllowTcpForwarding no    X11Forwarding no  

四、重启SSH服务并测试

保存配置后，重启 SSH 服务使更改生效：

systemctl restart sshd  

现在，你可以从另一台电脑使用 SFTP 客户端（如 FileZilla、WinSCP 或命令行）连接测试：

sftp sftpuser@你的服务器IP# 输入密码后，应成功登录并只能看到 upload 目录  

五、常见问题排查

• 连接被拒绝？检查防火墙是否放行 22 端口：firewall-cmd --permanent --add-service=ssh && firewall-cmd --reload
• 登录后立即断开？检查 chroot 目录权限是否符合要求（必须 root 拥有，755 权限）
• 无法上传文件？确保 upload 子目录归 sftpuser 所有

结语

通过以上步骤，你已经成功在 CentOS 上搭建了一个安全、隔离的 SFTP服务器。这种方式不仅满足了安全文件传输的需求，还有效限制了用户权限，提升了系统整体安全性。无论是用于团队协作还是客户文件交换，这都是一个可靠的选择。

记住关键词：CentOS SFTP服务器、Linux SFTP配置、安全文件传输、OpenSSH SFTP，它们将帮助你在未来快速检索相关技术方案。