如何通过SFTP在Linux间共享文件-117笔记问答

通过SFTP（SSH File Transfer Protocol）在Linux系统之间共享文件是一种安全且高效的方法。以下是详细的步骤指南，帮助你设置和使用SFTP进行文件传输：

一、准备工作

确保两台Linux服务器都已安装SSH服务器

大多数Linux发行版默认已安装OpenSSH服务器。你可以通过以下命令检查是否已安装：
```
sudo systemctl status sshd
```
如果未安装，可以使用包管理器进行安装。例如，在基于Debian的系统（如Ubuntu）上：
```
sudo apt update
sudo apt install openssh-server
```
在基于Red Hat的系统（如CentOS）上：
```
sudo yum install openssh-server
```
配置SSH服务器以允许SFTP

默认情况下，OpenSSH服务器已经配置为允许SFTP连接。但你可以检查并编辑sshd_config文件以确保配置正确。
```
sudo nano /etc/ssh/sshd_config
```
确保以下行未被注释（删除行首的#）并且配置正确：
```
Subsystem sftp /usr/lib/openssh/sftp-server
```
或者，某些系统可能使用：
```
Subsystem sftp internal-sftp
```
保存并退出编辑器后，重启SSH服务以应用更改：
```
sudo systemctl restart sshd
```

创建专用SFTP用户（可选但推荐）

为了安全起见，建议为SFTP访问创建一个专用用户，而不是使用root用户。
```
sudo adduser sftpuser
```
按照提示设置密码和其他信息。
限制SFTP用户的访问权限

编辑sshd_config文件，添加或修改以下内容，以限制SFTP用户的根目录访问：
```
Match User sftpuser
    ChrootDirectory /home/sftpuser
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no
```
- ChrootDirectory：将用户的根目录限制在其主目录下，增强安全性。
- ForceCommand internal-sftp：强制使用SFTP，禁止SSH shell访问。
- AllowTcpForwarding no 和 X11Forwarding no：禁用TCP和X11转发，进一步限制功能。
保存并退出编辑器后，重启SSH服务：
```
sudo systemctl restart sshd
```
设置目录权限

确保ChrootDirectory指定的目录及其所有上级目录的权限设置正确，以防止用户逃逸chroot环境。
```
sudo chown root:root /home/sftpuser
sudo chmod 755 /home/sftpuser
```
创建用户的数据目录，并设置适当的权限：
```
sudo mkdir /home/sftpuser/uploads
sudo chown sftpuser:sftpuser /home/sftpuser/uploads
```

使用SFTP客户端连接

在客户端Linux机器上，打开终端并使用以下命令连接到SFTP服务器：
```
sftp sftpuser@服务器IP地址
```
例如：
```
sftp sftpuser@192.168.1.100
```
输入密码后，你将进入SFTP命令行界面。
基本SFTP命令
- ls：列出当前目录文件
- cd 目录名：切换目录
- get 远程文件路径本地文件路径：下载文件
- put 本地文件路径远程文件路径：上传文件
- mkdir 目录名：创建目录
- rmdir 目录名：删除空目录
- rm 文件名：删除文件
- exit 或 bye：退出SFTP会话
示例：
- 上传本地文件到服务器：
```
put /home/localuser/file.txt /home/sftpuser/uploads/
```
- 从服务器下载文件到本地：
```
get /home/sftpuser/uploads/file.txt /home/localuser/
```

如果你更喜欢使用图形界面进行文件传输，可以使用以下流行的SFTP客户端：

FileZilla
- 下载并安装FileZilla：FileZilla官网
- 打开FileZilla，输入SFTP服务器的IP地址、端口号（默认22）、用户名和密码。
- 连接成功后，你可以在本地和远程站点之间拖放文件进行传输。
WinSCP
- 下载并安装WinSCP：WinSCP官网
- 启动WinSCP，选择“新建站点”，输入连接信息（协议：SFTP，主机名：服务器IP，端口：22，用户名：sftpuser，密码）。
- 连接后，可以使用图形界面进行文件管理。

使用SSH密钥认证

为了提高安全性，建议使用SSH密钥对进行身份验证，而不是密码。
- 在客户端生成SSH密钥对（如果尚未生成）：
```
ssh-keygen -t rsa -b 4096
```
  按提示操作，通常会生成~/.ssh/id_rsa（私钥）和~/.ssh/id_rsa.pub（公钥）。
- 将公钥复制到SFTP服务器的授权密钥文件中：
```
ssh-copy-id sftpuser@服务器IP地址
```
  输入密码后，公钥将被添加到~/.ssh/authorized_keys文件中。
- 禁用密码登录（可选，但推荐）：
  
  编辑sshd_config文件，确保以下行存在且未被注释：
```
PasswordAuthentication no
```
  保存并重启SSH服务：
```
sudo systemctl restart sshd
```
配置防火墙

确保服务器的防火墙允许SSH（默认端口22）流量。
- 对于ufw防火墙：
```
sudo ufw allow 22
sudo ufw enable
```
- 对于firewalld：
```
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload
```
使用VPN或SSH隧道

如果需要在公共网络中安全地传输文件，可以考虑使用VPN或SSH隧道来加密流量。

连接被拒绝
- 确保SSH服务正在运行：
```
sudo systemctl status sshd
```
- 检查服务器防火墙设置，确保端口22开放。
- 确认用户名和IP地址正确。
权限问题
- 确保SFTP用户的ChrootDirectory及其上级目录的权限设置正确。
- 确保用户对目标上传/下载目录具有适当的读写权限。
密钥认证失败
- 确认公钥已正确添加到服务器的~/.ssh/authorized_keys文件中。
- 检查文件权限：
```
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh
```

通过以上步骤，你应该能够顺利地在Linux系统之间使用SFTP共享文件。如果在过程中遇到问题，请检查相关日志文件（如/var/log/auth.log）以获取更多调试信息。