在CentOS服务器运维场景中,文件的上传、下载和同步是高频操作,传统的FTP协议以明文方式传输账号密码和文件内容,存在极大的安全隐患,而SFTP作为基于SSH的安全文件传输协议,全程采用加密通信,能有效避免数据被窃听或篡改,是保护服务器文件传输的首选方案。

SFTP的核心优势
SFTP和FTP仅一字之差,但底层实现逻辑完全不同,它的核心优势主要体现在以下几个方面:
- 传输全程加密,账号密码、传输的文件内容都不会以明文形式在网络中传输
- 基于SSH服务运行,不需要额外单独部署独立的服务进程,运维成本更低
- 支持完整的文件操作权限控制,可以针对不同用户配置独立的访问目录和权限
- 兼容性强,主流的操作系统和客户端工具都原生支持SFTP连接
CentOS上SFTP的基础配置
CentOS系统默认已经安装了OpenSSH服务,SFTP功能集成在SSH服务中,不需要额外安装组件,只需要调整SSH的配置文件即可启用对应的限制规则。
修改SSH配置文件
首先需要编辑SSH的配置文件/etc/ssh/sshd_config,在文件末尾添加如下配置:
# 禁用不安全的SFTP子系统默认配置,注释掉原有Subsystem行
# Subsystem sftp /usr/libexec/openssh/sftp-server
# 添加新的SFTP子系统配置
Subsystem sftp internal-sftp
# 配置SFTP用户组规则,仅允许sftp_users组的用户使用SFTP
Match Group sftp_users
ChrootDirectory /data/sftp/%u # 限制用户的根目录为指定路径
ForceCommand internal-sftp # 强制用户只能使用SFTP命令,无法登录SSH
AllowTcpForwarding no # 禁止TCP转发
X11Forwarding no # 禁止X11转发
创建SFTP用户和目录
完成配置修改后,需要创建对应的用户组和用户,同时设置正确的目录权限,否则SFTP连接会失败。
首先创建SFTP用户组:
groupadd sftp_users
然后创建SFTP用户,设置不允许SSH登录,并且加入sftp_users组:
# 创建用户sftp_user1,指定家目录为/data/sftp/sftp_user1,禁止SSH登录 useradd -g sftp_users -d /data/sftp/sftp_user1 -s /sbin/nologin sftp_user1 # 设置用户密码 passwd sftp_user1
接下来创建对应的目录并设置权限,注意ChrootDirectory指定的目录所有者必须是root,且权限不能高于755,否则SSH服务会拒绝生效:
# 创建用户根目录 mkdir -p /data/sftp/sftp_user1 # 设置目录所有者为root chown root:root /data/sftp/sftp_user1 # 设置目录权限为755 chmod 755 /data/sftp/sftp_user1 # 创建用户可写入的上传目录 mkdir /data/sftp/sftp_user1/upload # 设置上传目录所有者为sftp用户 chown sftp_user1:sftp_users /data/sftp/sftp_user1/upload
完成以上配置后,重启SSH服务让配置生效:
systemctl restart sshd
客户端连接SFTP的方法
配置完成后,就可以使用客户端工具连接SFTP服务了,常用的连接方式有两种:命令行连接和图形化工具连接。
命令行连接
在Linux或者macOS的终端中,可以直接使用sftp命令连接服务器:
# 连接格式:sftp 用户名@服务器IP sftp sftp_user1@192.168.0.1
连接成功后会进入SFTP交互模式,常用的操作命令如下:
ls:查看当前目录下的文件列表cd 目录名:切换远程服务器目录lcd 本地目录:切换本地客户端目录put 本地文件路径:上传本地文件到服务器当前目录get 服务器文件路径:下载服务器文件到本地当前目录mkdir 目录名:在服务器上创建目录exit:退出SFTP连接
图形化工具连接
Windows用户可以使用FileZilla等图形化工具连接,连接时协议选择SFTP,填写服务器IP、用户名、密码和SSH端口(默认22)即可建立连接,操作方式和普通FTP一致,支持拖拽上传下载文件。
常见问题排查
如果SFTP连接失败,可以按照以下步骤排查:
- 检查SSH服务是否正常运行:
systemctl status sshd - 检查防火墙是否开放22端口:
firewall-cmd --list-ports,如果没有开放则添加端口:firewall-cmd --add-port=22/tcp --permanent && firewall-cmd --reload - 检查ChrootDirectory目录的权限是否符合要求,所有者必须是root,权限不超过755
- 查看SSH日志
/var/log/secure,根据日志提示调整配置
通过以上配置和操作,就可以在CentOS服务器上搭建安全可靠的SFTP文件传输环境,有效保障文件传输过程的数据安全,避免明文传输带来的风险。