LinuxSFTP只读设置教程

本文详解Linux下SFTP只读配置的核心原理与实操要点，指出常见误区——仅靠chmod设为444或555不仅无效，反而会导致连接被重置；真正关键在于严格满足chroot目录由root拥有且不可写、所有父目录（直至根目录）均需root所有且无组/其他用户写权限、禁用用户shell、正确配置sshd_config中的Match块位置与语法，并通过namei等工具精准排查权限链问题，从而实现安全、稳定、真正意义上的SFTP只读访问。

直接给用户只读权限，不能靠 chmod 简单设成 555 或 444 —— SFTP 的 chroot 机制会直接拒绝登录，报 Couldn't read packet: Connection reset by peer。真正起作用的是目录所有权 + chroot 权限链 + 用户可写子目录的组合。

chroot 目录必须由 root 拥有且不可写

这是最常踩的坑：很多人把 /home/sftpuser 的所有者改成 sftpuser，结果 sftp 登录瞬间断连。

• chown root:root /home/sftpuser（必须是 root，不能是组或其他用户）
• chmod 755 /home/sftpuser（不能是 775、777，组和其他用户的写权限会被 sshd 拒绝）
• 从 /home/sftpuser 往上直到 / 的每一级父目录（/home、/）都必须满足：所有者是 root，且组/其他用户无写权限

只读效果靠“无写入入口”实现，不是靠文件权限

SFTP 用户被 chroot 后，实际能操作的路径只有 /（即 chroot 目录）。如果这个目录本身不可写，又没提供任何子目录供用户写入，那自然就是只读。

• 不要在 /home/sftpuser 下直接放文件或创建用户可写的子目录
• 如果需要上传功能，才在下面建 /home/sftpuser/upload 并 chown sftpuser:sftpuser /home/sftpuser/upload
• 若彻底禁止写入，就只留一个 /home/sftpuser/readme.txt 这类只读文件，不建任何可写子目录

Match 块位置错误会导致 sshd 无法重启

在 /etc/ssh/sshd_config 中添加配置时，Match 必须放在全局配置之后、且不能嵌套在其他指令块内（比如不能放在 UsePAM yes 下面或中间）。

• 推荐加在文件末尾，且确保前面没有未闭合的 Match 或缩进错乱的配置
• 正确写法示例：

  Subsystem sftp internal-sftp
  Match User sftpuser
      ChrootDirectory /home/sftpuser
      ForceCommand internal-sftp
      AllowTcpForwarding no
      X11Forwarding no

• 改完务必执行 sudo sshd -t 测试语法，再 sudo systemctl restart sshd

用户 shell 必须禁用，否则可能绕过限制

即使配置了 ForceCommand internal-sftp，如果用户 shell 是 /bin/bash 或 /bin/sh，仍可能通过 SSH 登录并执行命令。

• 创建用户时用 useradd -s /bin/false sftpuser 或 useradd -s /usr/sbin/nologin sftpuser
• 已有用户可用 usermod -s /bin/false sftpuser 修改
• 验证方式：getent passwd sftpuser 输出中第六字段应为 /bin/false

chroot 的权限校验是硬性检查，不是建议；哪怕只有一级父目录（比如 /home）的组权限是 775，sshd 就会静默拒绝连接，不会提示具体哪错了。调试时先跑一遍 namei -l /home/sftpuser 看所有权和权限链，比反复重启 sshd 更快。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。