CentOS7详述：SFTP服务器配置与日志启用

"在CentOS7系统上搭建SFTP服务器并开启日志的详细步骤" 在本文中，我们将深入探讨如何在CentOS7操作系统上设置一个安全的SFTP（SSH文件传输协议）服务器，并启用日志功能，以便监控和跟踪用户活动。SFTP是一种安全的文件传输方式，它通过SSH协议进行数据加密，确保了文件传输的安全性。 首先，我们需要创建一个新的用户组和用户，专门用于SFTP访问。在命令行中输入以下命令： ```shell [root@localhost ~]# groupadd sftpusers [root@localhost ~]# useradd -s /sbin/nologin -G sftpusers -M prod_sftp ``` 这里，`groupadd sftpusers` 创建了一个名为`sftpusers`的用户组，而`useradd`命令则创建了一个名为`prod_sftp`的用户，该用户无登录 shell（通过`-s /sbin/nologin`指定），并将其添加到`sftpusers`组中（通过`-G sftpusers`指定），且不允许主目录自动创建（通过`-M`指定）。 接下来，我们需要创建一个特定的文件夹来作为SFTP用户的根目录，并设置权限： ```shell [root@localhost ~]# mkdir -p /fwd/filedata [root@localhost fwd]# chown root:root filedata/ ``` 创建`/fwd/filedata`目录后，将其所有者设置为`root`用户和`root`组。 然后，我们为SFTP用户创建一个子目录`prod_sftp`，并更改其所属组和权限： ```shell [root@localhost filedata]# mkdir prod_sftp [root@localhost filedata]# chgrp prod_sftp prod_sftp/ ``` 在这个例子中，我们创建了一个名为`prod_sftp`的子目录，并将其所属组改为`prod_sftp`。 为了限制SFTP用户只能访问他们自己的目录，我们需要编辑`/etc/ssh/sshd_config`配置文件： ```shell [root@localhost ~]# vim /etc/ssh/sshd_config ``` 在`sshd_config`文件中，找到`Subsystem sftp /usr/libexec/openssh/sftp-server`这一行，并将其注释掉。接着，添加以下内容来定义匹配规则，使SFTP用户只允许在他们的根目录内操作： ```shell Subsystems internal-sftp Match Groups sftpusers ChrootDirectory /fwd/filedata/%u ForceCommand internal-sftp X11Forwarding no AllowTcpForwarding no ``` 这些设置将限制SFTP用户组内的成员仅能在 `/fwd/filedata/用户名` 目录下工作，并禁止了X11转发和TCP转发，以增强安全性。 最后，重启SSH服务以应用新的配置： ```shell [root@localhost ~]# systemctl restart sshd ``` 现在，SFTP服务器已经配置完成，用户`prod_sftp`可以通过SFTP连接到服务器，并且只能访问`/fwd/filedata/prod_sftp`目录。开启日志功能，确保系统记录SFTP活动，可以查看`/var/log/secure`日志文件，它包含了SSH服务的所有活动记录，包括SFTP操作。 通过遵循这个保姆级教程，您将能够成功地在CentOS7上搭建一个安全的SFTP服务器，并启用日志监控，确保了系统的稳定性和安全性。