主机频道
玩服务器这么多年,踩过的坑不少,但有一种坑,新手和老手都可能栽进去,而且后果可大可小。啥事呢?就是给别人开SFTP账号。
你可能只是想让外包或者同事传个文件,好心给了个账号。结果呢?人家一登录,`cd ..` 一路往上翻,好家伙,整个服务器的文件目录尽收眼底。如果他再手滑一点,`rm` 掉点什么不该动的东西……那场面,想想都后背发凉。
别以为这是危言耸听。默认情况下,SFTP用户权限跟开了上帝视角似的,根本没有“围墙”。这在个人小站上可能只是数据混乱,要是在公司项目里,这就是个标准的生产事故,轻则通报批评,重则卷铺盖走人。
所以,今天这篇就来聊聊,怎么给SFTP用户建个“单间”,让他老老实实待在自己的目录里,哪儿也去不了。这技术活,叫“账号隔离”。
Table of Contents
一、为什么 SFTP 默认配置容易越权访问?
要搞明白这个问题,你得知道SFTP是啥。它不是一个独立的东西,而是SSH协议的一个“功能包”。你给了一个用户SSH的登录权限,他就能通过SFTP来管理文件。这就意味着,默认情况下,他能看到的东西,和你用SSH登录后看到的差不多——整个文件系统。
所以,除非你专门动手脚限制他,不然他能:
- `cd /` 然后开始“服务器一日游”;
- 溜达到 `/home/` 下面,看看其他用户的目录里有啥好东西;
- 甚至去翻看一些系统配置文件。
说白了,不给SFTP用户做隔离,就等于给了他一把万能钥匙,然后祈祷他是个君子。这在运维里,可是大忌。
二、账号隔离的核心机制:Chroot
解决这个问题的核心技术,叫 **Chroot**,全称是 “Change Root”。
这是个啥玩意?说人话就是“画地为牢”。
你可以通过配置,强制让某个用户登录后,把他能看到的“根目录”(也就是 `/`)直接映射到你指定的某个文件夹,比如 `/sftp/user1`。这么一来,他再怎么 `cd ..` 也跳不出这个你给他画的圈。他眼里的世界,就只有这个文件夹这么大,外面的世界再精彩,也与他无关了。
这个“牢房”建好了,安全感就来了。
三、实战操作:基于腾讯云 Linux 搭建隔离 SFTP
光说不练假把式。下面我用一台腾讯云的Ubuntu服务器做演示,手把手带你搭一个。其他Linux发行版也大同小异,照着来就行。
1. 创建 SFTP 根目录结构
首先,咱们得规划好目录。比如,所有SFTP用户都放在 `/sftp` 目录下,每个用户一个文件夹。
bashsudo mkdir -p /sftp/user1/upload
sudo mkdir -p /sftp/user2/upload
注意!这里是第一个大坑,90%的新手会在这里翻车! Chroot的目录(`/sftp/user1`)所有者必须是`root`,并且这个用户自己不能有写入权限。而他真正能上传文件的目录(`/sftp/user1/upload`)才属于他自己。
bashsudo chown root:root /sftp/user1
sudo chown user1:user1 /sftp/user1/upload
你可以理解为,`/sftp/user1` 是个走廊,归房东(root)管;`/sftp/user1/upload` 才是他的房间,他有钥匙。
2. 添加用户并指定目录
现在来创建我们的SFTP专用用户 `user1`。
bashsudo adduser user1
sudo passwd user1
为了安全,我们不希望这个用户能通过SSH登录到命令行界面,所以要禁止他的shell登录权限。
bashsudo usermod -s /usr/sbin/nologin user1
然后,我们要告诉系统,这个用户的“家”在哪里。注意,这里的路径是相对于Chroot监狱的。
bashsudo usermod -d /upload user1
这行命令的意思是,当 `user1` 被关进 `/sftp/user1` 这个“监狱”后,他一登录,默认就待在 `/upload` 这个目录里,也就是我们刚刚创建的 `/sftp/user1/upload`。
3. 编辑 SSH 配置文件
万事俱备,只欠东风。现在来修改SSH的“宪法”—— `sshd_config` 文件。
bashsudo vim /etc/ssh/sshd_config
在文件最末尾,加上下面这段配置:
bashMatch User user1
ChrootDirectory /sftp/user1
ForceCommand internal-sftp
AllowTcpForwarding no
这几行是啥意思呢?Match User user1:表示下面的规则只对 `user1` 生效。ChrootDirectory /sftp/user1:把这哥们关进 `/sftp/user1` 这个监狱。ForceCommand internal-sftp:强制他只能执行SFTP命令,别的啥也干不了。AllowTcpForwarding no:禁止TCP转发,算是个安全加固项。
如果你有一堆用户都要这么配置,一个个写太傻了。可以建个用户组,比如 `sftpusers`,然后用 Match Group sftpusers 来批量管理。
4. 重启 SSH 服务
改完配置,记得让它生效。
bashsudo systemctl restart ssh
好了,大功告成!现在 `user1` 就被我们成功“囚禁”起来了。
四、如何验证隔离是否生效?
是骡子是马,拉出来遛遛。我们用SFTP客户端(比如FileZilla或者命令行)来试试。
- 用 `user1` 登录:
bashsftp user1@yourserver.com
- 尝试返回上一级目录:
bashsftp> cd ..
Couldn't canonicalize: No such file or directory
看到这个报错,心里就踏实了。这说明他已经被困住了,出不去。
- 看看根目录有啥:
bashsftp> ls /
upload
他眼里的根目录,只有一个 `upload` 文件夹。完美!
五、多人隔离方案扩展建议
如果你要管理的账号多了,上面的基础操作就不够优雅了。这里给几个进阶玩法。
✅ 按项目组分组:
把同一波人丢进一个用户组,用 `Match Group` 统一管理,省时省力。
bashsudo groupadd projectA
sudo usermod -aG projectA user1
这样 `sshd_config` 里只要一段配置,就能管住一个项目组的所有人。
✅ 设置只读/读写权限:
有时候,某些账号只需要下载,不能上传。直接用 `chmod` 命令控制他那个 `upload` 目录的权限就行。
bashchmod 755 upload # 只能看和下载(只读)
chmod 775 upload # 能看能下载还能上传(读写)
你甚至可以搞得更细,建个 `readonly` 和 `writeable` 子目录,权限分开给。
✅ 自动创建用户目录脚本化:
当个聪明的懒人。如果你要频繁增删用户,就把上面那一套流程写成一个Shell脚本。
- 创建目录、设权限
- 添加用户、设密码、禁止shell
- (可选)自动修改 `sshd_config`
- 重启SSH服务
以后来个新人,跑一下脚本,输入用户名,一键搞定,喝茶去。这才是优雅的运维嘛。
六、常见错误排查清单
配置过程中遇到问题很正常,别慌。我整理了个清单,对着查就行。
七、防越权不是“可选项”,是责任
我知道,很多人觉得SFTP就是个传文件的,懒得去折腾这些配置。
但请记住,服务器安全无小事。权限这东西,不出事的时候风平浪静,一出事就是惊涛骇浪。
- 开发手滑删了生产环境的代码;
- 外包把测试文件传到了线上;
- 服务器源码、数据库备份被无关人员下载;
哪个后果你都承担不起。与其指望别人不犯错,不如从一开始就把笼子扎好。
八、实战后的再提升:日志、告警、审计
把人关起来只是第一步。如果你想玩得更专业,还可以做这些“课后作业”:
- 用 `auditd` 记录下每个SFTP用户的操作,谁在什么时候上传下载了什么,一清二楚。
- 装个 `fail2ban`,自动封禁那些尝试暴力破解SFTP密码的IP。
- 配置日志分析工具,定期看看SFTP的活动报告。
- 搞个飞书或企业微信机器人,一有异常登录或者大文件传输,马上给你发告警。
做到这一步,你的SFTP服务才算是真正意义上的“企业级”安全。
好了,今天的干货就到这。
现在,你可以挺直腰杆说:“我的服务器,我做主。每个SFTP账号,都得在我给它画的圈里活动。”
记住,权限隔离是性价比最高的安全投资,也是最容易被忽略的细节。赶紧动手,把你的服务器武装起来吧!
评论前必须登录!
注册