Linux服务器搭建Chroot监狱教程

本文深入解析了Linux服务器中配置SFTP Chroot监狱的关键要点与常见陷阱，强调ChrootDirectory生效的三大硬性条件：目标目录及其所有父路径必须由root所有且非root不可写、目录权限严格设为755、且仅能配合internal-sftp子系统使用；同时明确指出root用户无法启用chroot是出于安全设计而非配置错误，并详解了internal-sftp与外部sftp-server的本质区别、专用低权用户创建规范、以及通过系统日志和详细连接模式快速定位权限链断裂等实战调试技巧——每一步疏忽都可能让看似牢靠的“监狱”变成形同虚设的摆设。

ChrootDirectory 配置必须满足的三个硬性条件

不满足这三点，ChrootDirectory 就是摆设：连接直接断开、报 Couldn't read packet: Connection reset by peer，或者看似登录成功却能 cd .. 逃出限制。

核心要求只有三个，但每个都卡在权限和所有权上：

• ChrootDirectory 指定的目录（比如 /home/sftpuser）必须由 root 用户所有，且组和其他用户不可写 —— 即 chown root:root /home/sftpuser + chmod 755 /home/sftpuser
• 该目录下所有父路径（直到 /）也必须对非 root 用户不可写。常见坑：有人把 /home 设成 777，那整个 chroot 就失效
• 如果用户需要写入，不能在 ChrootDirectory 根目录下直接操作，得在它内部建子目录（如 /home/sftpuser/upload），再 chown sftpuser:sftpuser /home/sftpuser/upload

为什么 root 用户不能直接用 ChrootDirectory？

OpenSSH 明确禁止对 root 用户启用 ChrootDirectory：哪怕你强行配了，sshd 启动时会静默忽略，或启动失败报 Bad configuration option: ChrootDirectory。

这不是 bug，是设计——因为 chroot 对 root 来说形同虚设，内核允许 root 从 jail 中逃逸。真实场景中，你应该：

• 绝不用 root 账户跑 SFTP；创建专用低权用户，例如 useradd -m -s /usr/bin/false sftp-deploy
• 若业务真需要高权操作，改用 sudo 白名单控制具体命令，而不是开放整个文件系统视图
• 检查 /etc/ssh/sshd_config 是否有 Match User root 块，有的话必须删掉或注释掉对应 ChrootDirectory 行

internal-sftp 和传统 sftp-server 的关键区别

用错子系统，chroot 就不会生效。必须用 internal-sftp，不能用外部二进制（如 /usr/libexec/openssh/sftp-server）。

原因在于：internal-sftp 是 SSH 守护进程内置的，能与 ChrootDirectory 协同完成路径重绑定；而外部 sftp-server 进程启动时已脱离 sshd 上下文，无法感知 chroot 环境。

配置要点：

• 全局只保留一行 Subsystem sftp internal-sftp，删掉或注释掉所有其他 Subsystem sftp 行
• Match User xxx 块里必须显式写 ForceCommand internal-sftp，否则用户仍可能通过 SSH shell 绕过限制
• 不要加 AllowTcpForwarding yes 或 X11Forwarding yes，这些会削弱隔离效果

调试时最该看的三处日志和现象

配完重启 sshd 后连不上？别急着改配置，先盯住这三个地方：

• 客户端报 Connection closed 或直接退出：立刻查 journalctl -u sshd -n 50 -f，90% 是 ChrootDirectory 目录权限不对，日志里会写 fatal: bad ownership or modes for chroot directory component
• 能登录但提示 Couldn't stat remote file: Permission denied：说明 chroot 目录内子目录权限没设对，检查 ls -ld /home/sftpuser/upload 是否属于目标用户且可读写
• 用 sftp -v user@host 加详细模式连接，看协商阶段是否出现 subsystem: sftp 和 chroot to /home/sftpuser 字样 —— 没这两句，说明配置根本没被匹配到

chroot 的脆弱点不在配置语法，而在路径所有权链的完整性。少一个 chown root，就等于在监狱墙上留了一扇没锁的窗。

今天关于《Linux服务器搭建Chroot监狱教程》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！