在CentOS上安全配置SFTP（SSH File Transfer Protocol）涉及多个步骤，以确保数据传输的安全性和系统的稳定性。以下是一些关键步骤和建议：

安装和配置OpenSSH服务器

• 确保系统已安装OpenSSH软件包。如果未安装，请运行以下命令来安装：

sudo yum install openssh-server

• 编辑SSH配置文件 /etc/ssh/sshd_config，确保以下配置项被正确设置：

  # 禁用root登录
  PermitRootLogin no
  # 启用公钥认证
  PubkeyAuthentication yes
  # 禁用密码认证（可选）
  PasswordAuthentication no
  # 限制SFTP用户
  Match group sftpusers
      ChrootDirectory %h
      ForceCommand internal-sftp
      AllowTcpForwarding no
      X11Forwarding no
  

• 重启SSH服务以应用更改：

sudo systemctl restart sshd

创建专用的SFTP用户组

• 创建一个专门用于SFTP的用户组：

sudo groupadd sftpusers

添加SFTP用户

• 添加一个新用户并将其添加到SFTP用户组中：

sudo useradd -m -G sftpusers your_username
sudo passwd your_username

配置ChrootDirectory

• 使用 chrootDirectory 选项将用户限制在其家目录中，防止他们访问系统其他部分。

Match group sftpusers
    ChrootDirectory %h
    ForceCommand internal-sftp

配置用户权限和目录权限

• 在用户的主目录下创建 .ssh 目录，并在其中创建 authorized_keys 文件，用于存储用户的公钥，以确保只有授权的公钥才能用于登录。

mkdir /home/your_username/.ssh
chmod 700 /home/your_username/.ssh
touch /home/your_username/.ssh/authorized_keys
chmod 600 /home/your_username/.ssh/authorized_keys

配置防火墙

• 确保防火墙允许SSH连接（默认端口22）：

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload

启用SSL/TLS（可选）

• 如果你希望进一步提高安全性，可以考虑使用SSL/TLS来加密SSH连接。这通常涉及获取和配置SSL证书。

监控和日志记录

• 定期检查SSH和SFTP日志文件以监控异常活动：

sudo tail -f /var/log/secure

使用强密码策略

• 设置强密码，要求用户使用包含大写字母、小写字母、数字和特殊字符的密码，并且定期更换密码。

禁用不必要的SSH功能

• 禁用不必要的SSH功能，如X11转发和TCP转发：

AllowTcpForwarding no
X11Forwarding no

定期更新和监控

• 定期更新系统和软件包，以修复已知的安全漏洞，并监控FTP/SFTP日志以检测可疑活动。

sudo yum update

通过上述步骤，你可以显著提高CentOS上SFTP的安全性。确保定期进行安全审计和漏洞扫描，以保持服务器的安全性。