在CentOS上配置SFTP（SSH File Transfer Protocol）安全策略，可以通过以下步骤来实现：

1. 安装OpenSSH服务器

首先，确保你的CentOS系统上已经安装了OpenSSH服务器。如果没有安装，可以使用以下命令进行安装：

sudo yum install openssh-server

2. 配置SSH服务器

编辑SSH服务器的配置文件 /etc/ssh/sshd_config：

sudo vi /etc/ssh/sshd_config

在文件中找到或添加以下配置项，并根据需要进行调整：

• 限制SFTP用户：只允许特定用户使用SFTP。

  Match Group sftpusers
      ChrootDirectory %h
      ForceCommand internal-sftp
      AllowTcpForwarding no
      X11Forwarding no
  

• 创建SFTP用户组：创建一个专门用于SFTP的用户组。

  sudo groupadd sftpusers
  

• 将用户添加到SFTP用户组：将需要使用SFTP的用户添加到该组。

  sudo usermod -aG sftpusers your_username
  

• 设置用户主目录权限：确保用户的主目录权限设置正确，以便ChrootDirectory能够正常工作。

  sudo chown root:root /home/your_username
  sudo chmod 755 /home/your_username
  

3. 创建用户主目录

确保用户的主目录存在并且权限设置正确：

sudo mkdir -p /home/your_username
sudo chown your_username:sftpusers /home/your_username
sudo chmod 755 /home/your_username

4. 配置SELinux（如果启用）

如果你的系统启用了SELinux，可能需要调整SELinux策略以允许SFTP chroot jail。

sudo setsebool -P ssh_chroot_rw_homedirs on

5. 重启SSH服务

保存并退出配置文件后，重启SSH服务以应用更改：

sudo systemctl restart sshd

6. 测试SFTP连接

使用SFTP客户端连接到服务器，确保配置生效：

sftp your_username@your_server_ip

如果一切配置正确，你应该能够成功连接并使用SFTP。

7. 防火墙配置

确保防火墙允许SSH（默认端口22）流量：

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload

通过以上步骤，你可以在CentOS上配置一个安全的SFTP环境，限制用户只能通过SFTP访问，并且可以进一步通过其他安全措施（如使用SSL/TLS加密）来增强安全性。