Como configurar SFTP para transferência segura de ficheiros

SFTP (SSH File Transfer Protocol) oferece upload e download encriptados sem daemon FTP separado. Em VPS Linux, SFTP está integrado no OpenSSH; este guia mostra configuração segura em servidores Hiddence.

SFTP com utilizador dedicado

Crie utilizador apenas para upload de ficheiros:

sudo adduser sftpuser
sudo passwd sftpuser

# Test SFTP from client:
sftp sftpuser@YOUR_VPS_IP

# Or use FileZilla: Protocol SFTP, port 22

Jail chroot (recomendado)

Restrinja o utilizador a um único diretório por segurança:

sudo mkdir -p /var/sftp/sftpuser/upload
sudo chown root:root /var/sftp/sftpuser
sudo chmod 755 /var/sftp/sftpuser
sudo chown sftpuser:sftpuser /var/sftp/sftpuser/upload

sudo nano /etc/ssh/sshd_config

# Add at end:
Match User sftpuser
    ChrootDirectory /var/sftp/sftpuser
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

sudo systemctl restart sshd

Ligar a partir do desktop

Clientes populares suportam SFTP nativamente:

• FileZilla — Host: sftp://YOUR_VPS_IP, Port: 22, Logon Type: Normal
• WinSCP — Protocol: SFTP
• macOS Finder — Connect to Server: sftp://user@IP
• Linux: sftp user@IP or scp file user@IP:/path/
• VS Code — Remote SSH extension for direct editing

Lista de verificação de segurança

• Use chaves SSH em vez de palavras-passe para utilizadores SFTP quando possível
• Nunca partilhe acesso SFTP root com terceiros
• Desative autenticação por palavra-passe para root em sshd_config
• Use chroot para contas apenas de upload
• Combine com Fail2ban na porta SSH
• Firewall: permita porta 22 apenas de IPs de confiança se possível

Dicas

• SFTP não é FTP — não abra a porta 21 salvo FTP legacy
• Para WordPress, prefira chaves SSH + sftp ou ferramentas de deploy
• rsync sobre SSH é mais rápido para migrações grandes
• Verifique permissões se o upload falhar (dirs 755, ficheiros 644)
• Após alterações em sshd_config, teste SSH numa segunda sessão antes de fechar