SFTP一般指SSH文件传输协议，在计算机领域，SSH文件传输协议（英语：SSH File Transfer Protocol，也称Secret File Transfer Protocol，中文：安全文件传送协议，英文：Secure FTP或字母缩写：SFTP）是一数据流连接，提供文件访问、传输和管理功能的网络传输协议。

1、SFTP相关命令及配置

1.1SFTP相关命令

1.2配置内容说明

vim /etc/ssh/sshd_config

# Subsystem sftp /usr/libexec/openssh/sftp-server #注释此行

Subsystem sftp internal-sftp  #指定使用sftp服务使用系统自带的internal-sftp

Match User xxx  #匹配用户，匹配多个用户或组用逗号分割，匹配用户组进用Match Group

ChrootDirectory /var/www/ #指定xxx用户只能sftp到本/var/www/目录，注此目录非用家

Match User yyy   #设置第N个账号

ChrootDirectory /var/www/

ForceCommand internal-sftp #限定Match到用户只能使用ftp模式登录，禁用ssh模式

#禁止端口转发

# 如果不希望该用户能使用端口转发的话就加上，否则删掉或注释

X11Forwarding no　　　

AllowTcpForwarding no

注意：ChrootDirectory一旦设定，则相应的用户登录时会话的根目录“/”切换为此目录，如果你此时使用ssh而非sftp协议登录，则很有可能会被提示：/bin/bash: No such file or director，造成被用户无法进行ssh登录。#ForceCommand  强制用户登录会话时使用的初始命令，如果如上配置了此项则 Match到的用户只能使用sftp协议登录，而无法使用ssh登录，会被提示：This service allows sftp connections only错误，请将参数放Match下面，否者会造成所有用户无法ssh登录。

2、SFTP实例

2.1 配置root帐号登录SFTP

2.1.1备份sshd配置文件

[root@lhp336 ~] cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

​​​​​​​2.1.2 修改sshd配置文件

[root@lhp336 ~] vim /etc/ssh/sshd_config

# Subsystem sftp /usr/lib/openssh/sftp-server  #注释掉

Subsystem sftp internal-sftp   #指定使用sftp服务使用系统自带的internal-sftp

# 禁用端口转发，否则删掉或注释

AllowTcpForwarding no

X11Forwarding no

注：root如查使用Match匹配限制，将无法登录，建议不做限制。

​​​​​​​2.1.3重启sshd服务

root@tianshl:~# systemctl ssh restart

​​​​​​​2.1.4使用其他电脑登录sftp验证

2.2配置限制ssh登录的sftp用户

2.2.1创建活动目录

[root@lhp336 ~]# mkdir /sftp

[root@lhp336 ~]# chown root:root /sftp

注：chroot目录必须是root:root (chroot规则,否则用户无法登录)

2.2.2新建用户

# 创建用户

# -d: 家目录

# -m: 创建家目录

# -g: 组

# -s: shell

[root@lhp336 ~]# useradd -d /sftp/test -m test  #创建test指定用户的主目录

[root@lhp336 ~]# chown root:test /sftp/test

[root@lhp336 ~]# passwd ftp-test #为ftp-test设置密码

[root@lhp336 ~]# mkdir /sftp/test/sftp_data #创建test帐号sftp目录

[root@lhp336 ~]# chown test:test /sftp/test/sftp_data

2.3 配置sshd配置文件

[root@lhp336 ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak #备份sshd配置文件

2.3修改sshd配置文件

[root@lhp336 ~]# vim /etc/ssh/sshd_config

# Subsystem sftp /usr/lib/openssh/sftp-server  #注释掉

Subsystem sftp internal-sftp  #指定使用sftp服务使用系统自带的internal-sftp

Match User test    #匹配用户test

ChrootDirectory /sftp/%u    #限定test活动目录,此目录所属用户必是root，否则无法登录

ForceCommand internal-sftp #限定test只能使用sftp模式登录，禁用ssh模式

# 禁用端口转发，否则删掉或注释

AllowTcpForwarding no

X11Forwarding no

​​​​​​​2.2.4重启sshd服务

[root@lhp336 ~]# systemctl ssh restart

​​​​​​​2.2.5使用其他电脑登录sftp验证