Cum să configurezi SFTP pentru transfer securizat de fișiere

SFTP (SSH File Transfer Protocol) oferă upload și download criptat fără un daemon FTP separat. Pe Linux VPS, SFTP este integrat în OpenSSH — acest ghid arată configurarea sigură pe servere Hiddence.

SFTP cu utilizator dedicat

Creează un utilizator doar pentru upload de fișiere:

sudo adduser sftpuser
sudo passwd sftpuser

# Test SFTP:
sftp sftpuser@IP_VPS_ULUI_TĂU

# FileZilla: Protocol SFTP, port 22

Chroot jail (recomandat)

Restricționează utilizatorul la un singur director:

sudo mkdir -p /var/sftp/sftpuser/upload
sudo chown root:root /var/sftp/sftpuser
sudo chmod 755 /var/sftp/sftpuser
sudo chown sftpuser:sftpuser /var/sftp/sftpuser/upload

sudo nano /etc/ssh/sshd_config

Match User sftpuser
    ChrootDirectory /var/sftp/sftpuser
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

sudo systemctl restart sshd

Conectare de pe desktop

Clienții populari suportă SFTP nativ:

• FileZilla — Gazdă: sftp://IP, Port: 22
• WinSCP — Protocol: SFTP
• macOS Finder — Conectare la server: sftp://user@IP
• Linux: sftp user@IP sau scp file user@IP:/path/
• VS Code — extensia Remote SSH

Listă de verificare securitate

• Folosește chei SSH în loc de parole pentru utilizatori SFTP
• Nu partaja acces SFTP root cu terți
• Dezactivează autentificarea cu parolă pentru root în sshd_config
• Folosește chroot pentru conturi doar de upload
• Combină cu Fail2ban pe portul SSH
• Firewall: permite portul 22 doar de la IP-uri de încredere dacă e posibil

Sfaturi

• SFTP nu este FTP — nu deschide portul 21 decât dacă ai nevoie de FTP legacy
• Pentru WordPress, preferă chei SSH + sftp sau instrumente de deployment
• rsync peste SSH e mai rapid pentru migrări mari
• Verifică permisiunile dacă upload-ul eșuează (755 dir, 644 fișiere)
• După modificări sshd_config, testează SSH într-o a doua sesiune înainte de închidere