Come configurare SFTP per il trasferimento sicuro dei file

SFTP (SSH File Transfer Protocol) offre upload e download cifrati senza un demone FTP separato. Su VPS Linux, SFTP è integrato in OpenSSH; questa guida mostra una configurazione sicura su server Hiddence.

SFTP con utente dedicato

Crea un utente solo per upload file:

sudo adduser sftpuser
sudo passwd sftpuser

# Test SFTP from client:
sftp sftpuser@YOUR_VPS_IP

# Or use FileZilla: Protocol SFTP, port 22

Jail chroot (consigliato)

Limita l'utente a una sola directory per sicurezza:

sudo mkdir -p /var/sftp/sftpuser/upload
sudo chown root:root /var/sftp/sftpuser
sudo chmod 755 /var/sftp/sftpuser
sudo chown sftpuser:sftpuser /var/sftp/sftpuser/upload

sudo nano /etc/ssh/sshd_config

# Add at end:
Match User sftpuser
    ChrootDirectory /var/sftp/sftpuser
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

sudo systemctl restart sshd

Connettersi dal desktop

I client popolari supportano SFTP nativamente:

• FileZilla — Host: sftp://YOUR_VPS_IP, Port: 22, Logon Type: Normal
• WinSCP — Protocol: SFTP
• macOS Finder — Connect to Server: sftp://user@IP
• Linux: sftp user@IP or scp file user@IP:/path/
• VS Code — Remote SSH extension for direct editing

Checklist sicurezza

• Usa chiavi SSH invece delle password per utenti SFTP quando possibile
• Non condividere mai accesso SFTP root con terzi
• Disabilita auth password per root in sshd_config
• Usa chroot per account solo upload
• Combina con Fail2ban sulla porta SSH
• Firewall: consenti porta 22 solo da IP attendibili se possibile

Suggerimenti

• SFTP non è FTP — non aprire la porta 21 salvo FTP legacy
• Per WordPress, preferisci chiavi SSH + sftp o strumenti di deploy
• rsync su SSH è più veloce per migrazioni grandi
• Controlla i permessi se l'upload fallisce (755 dir, 644 file)
• Dopo modifiche sshd_config, testa SSH in una seconda sessione prima di chiudere