כיצד להגדיר SFTP להעברת קבצים מאובטחת

SFTP (SSH File Transfer Protocol) מספק העלאה והורדה של קבצים מוצפנים ללא דמון FTP נפרד. ב-Linux VPS, SFTP מובנה ב-OpenSSH - מדריך זה מציג הגדרה בטוחה בשרתי Hiddence.

SFTP עם משתמש מסור

צור משתמש להעלאות קבצים בלבד:

sudo adduser sftpuser
sudo passwd sftpuser

# Test SFTP from client:
sftp sftpuser@YOUR_VPS_IP

# Or use FileZilla: Protocol SFTP, port 22

כלא Chroot (מומלץ)

הגבל את המשתמש לספרייה אחת לצורך אבטחה:

sudo mkdir -p /var/sftp/sftpuser/upload
sudo chown root:root /var/sftp/sftpuser
sudo chmod 755 /var/sftp/sftpuser
sudo chown sftpuser:sftpuser /var/sftp/sftpuser/upload

sudo nano /etc/ssh/sshd_config

# Add at end:
Match User sftpuser
    ChrootDirectory /var/sftp/sftpuser
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

sudo systemctl restart sshd

התחבר משולחן העבודה

לקוחות פופולריים תומכים ב-SFTP מהקופסה:

• FileZilla - מארח: sftp://YOUR_VPS_IP, יציאה: 22, סוג כניסה: רגיל
• WinSCP - פרוטוקול: SFTP
• macOS Finder — התחבר לשרת: sftp://user@IP
• לינוקס: sftp user@IP או scp file user@IP:/path/
• VS Code - סיומת SSH מרוחקת לעריכה ישירה

רשימת תיוג אבטחה

• השתמש במפתחות SSH במקום בסיסמאות עבור משתמשי SFTP במידת האפשר
• לעולם אל תשתף גישת בסיס SFTP עם צדדים שלישיים
• השבת אימות סיסמה עבור root ב-sshd_config
• השתמש ב-chroot עבור חשבונות להעלאה בלבד
• שלב עם Fail2ban ביציאת SSH
• חומת אש: אפשר יציאה 22 רק מכתובות IP מהימנות אם אפשר

טיפים

• SFTP אינו FTP - אל תפתח את יציאה 21 אלא אם כן אתה זקוק ל-FTP מדור קודם
• עבור WordPress, העדיפו מפתחות SSH + sftp ב-wp-config או השתמשו בכלי פריסה
• rsync על SSH מהיר יותר עבור העברות גדולות
• בדוק הרשאות אם ההעלאה נכשלת (755 קבצים, 644 קבצים)
• לאחר שינויים ב-sshd_config, בדוק תמיד את SSH בהפעלה שנייה לפני הסגירה