腾讯云服务器怎么设置SFTP？

腾讯云主机SFTP配置指南：安全高效的文件传输

在腾讯云服务器（CVM）上配置SFTP服务，是安全管理网站文件、进行远程维护的基础技能，遵循正确步骤，不仅能保障数据传输安全，更能提升服务器整体防护能力，下面是清晰的操作指南：

第一步：创建专用SFTP用户（安全基石）

强烈推荐为SFTP创建独立系统用户，避免直接使用root账户，最大程度降低风险。

sudo adduser sftpuser  # 创建新用户，'sftpuser'
sudo passwd sftpuser   # 为该用户设置强密码（若选择密钥登录可跳过）

第二步：配置SSH守护进程 (sshd_config)

SFTP基于SSH协议，修改其配置文件是关键步骤。

1、打开配置文件：

    sudo vi /etc/ssh/sshd_config

2、定位并修改/添加以下关键设置：

    # 确保SFTP子系统启用 (通常默认开启)
    Subsystem sftp internal-sftp
    # 在文件末尾添加针对SFTP用户的专属配置块
    Match User sftpuser  # 替换为你的SFTP用户名
        ForceCommand internal-sftp      # 限制用户只能使用SFTP，禁止Shell访问
        PasswordAuthentication yes      # 如果使用密码登录则设为yes，密钥登录建议设为no
        ChrootDirectory /home/sftpuser # 将用户锁定在其家目录（重要！）
        PermitTunnel no
        AllowAgentForwarding no
        AllowTcpForwarding no
        X11Forwarding no

核心安全点解析：

ChrootDirectory /home/sftpuser: 将用户禁锢在其家目录内，无法访问系统其他部分，这是关键安全措施。

ForceCommand internal-sftp: 限制用户仅能使用SFTP功能，无法获得交互式Shell，提升安全性。

* 禁用不必要的转发功能 (PermitTunnel,AllowAgentForwarding 等) 进一步加固。

3、保存并退出编辑器 (在vi中按Esc 后输入:wq 回车)。

第三步：设置目录权限 (确保Chroot生效)

Chroot目录的权限要求严格，配置错误将导致连接失败。

1. 确保Chroot目录由root拥有，且其他用户无写权限：
sudo chown root:root /home/sftpuser
sudo chmod 755 /home/sftpuser
2. 在Chroot目录下创建用户实际需要上传/下载文件的子目录（'files'）：
sudo mkdir /home/sftpuser/files
3. 将此子目录的所有权交给SFTP用户及其主组（'sftpuser'）：
sudo chown sftpuser:sftpuser /home/sftpuser/files
sudo chmod 770 /home/sftpuser/files  # 根据需求调整权限

第四步：重启SSH服务使配置生效

sudo systemctl restart sshd   # Ubuntu/Debian
或
sudo systemctl restart ssh    # CentOS/RHEL 7+

第五步：配置腾讯云安全组 (防火墙规则)

确保服务器的安全组允许外部访问SSH端口（默认为TCP 22）。

1、 登录腾讯云控制台。

2、 进入云服务器 (CVM) 实例列表。

3、 找到目标实例，点击其关联的安全组。

4、 在入站规则 (Inbound Rules) 中添加一条规则：

类型 自定义

来源 建议设置为仅允许你的IP地址或IP段（如0.0.0.0/0 代表允许所有IP，但风险高）

协议端口TCP:22

策略 允许

5、 保存规则。

第六步：使用SFTP客户端连接测试

使用FileZilla,WinSCP (Windows) 或命令行sftp 工具连接。

主机(Host) 你的腾讯云服务器公网IP地址。

端口(Port)22 (默认)。

用户名(Username)sftpuser (你创建的用户名)。

密码(Password) 你设置的密码 (如果启用密码登录)。

密钥(Key) 如果配置了SSH密钥登录，在客户端指定私钥文件路径。

连接后： 你应该只能看到/files 目录（或其他你创建的子目录），并能在此目录内自由上传下载文件，无法访问上级目录/home/sftpuser 或系统其他路径。

高级安全强化：使用SSH密钥登录

强烈建议禁用密码登录，改用更安全的SSH密钥对认证：

1、在本地生成密钥对： (Windows可使用PuTTYgen, 或Git Bash的ssh-keygen)

    ssh-keygen -t rsa -b 4096  # 在本地机器执行

2、将公钥上传到服务器：

* 将生成的.pub 文件内容复制。

在服务器上切换到sftpuser 家目录

        sudo su - sftpuser
        mkdir -p .ssh
        echo "粘贴你的公钥内容" >> .ssh/authorized_keys
        chmod 700 .ssh
        chmod 600 .ssh/authorized_keys
        exit

3、修改sshd_config：

* 将针对sftpuser 的块中的PasswordAuthentication 设置为no。

* 确保全局设置PubkeyAuthentication yes。

* 重启sshd服务。

关键注意事项与排错

1、权限问题： Chroot配置对目录权限要求极其严格，务必确保：

* Chroot目录 (/home/sftpuser) 由root:root 拥有，权限为755。

* 用户可写的子目录 (/home/sftpuser/files) 由sftpuser:sftpuser 拥有。

2、目录所有权： 检查每一步操作的chown 和chmod 是否正确执行。

3、SELinux/AppArmor： 如果启用，可能需要额外策略调整，可尝试临时禁用测试是否因此导致连接失败 (sudo setenforce 0 - 测试后务必恢复)。

4、安全组规则： 确认腾讯云安全组22端口对客户端IP开放。

5、连接日志： 查看服务器SSH日志获取错误信息 (/var/log/auth.log 或/var/log/secure)。

6、客户端日志： SFTP客户端通常提供详细的连接日志，是排查问题的重要依据。

在多年的服务器运维中，我深刻体会到文件权限管理和防火墙配置是保障服务器安全的核心环节，每次修改权限后务必测试效果，这是避免安全漏洞的关键一步，日常维护时，定期审查用户权限和开放端口，能让服务器运行更稳定可靠。

文章摘自：https://idc.huochengrm.cn/zj/10725.html