一阵见血。 服务器平安就像是悬在每一位运维工程师头顶的达摩克利斯之剑。你是否经历过这样的时刻：凌晨三点， 手机屏幕突然亮起刺眼的红光，平安告警短信如雪片般飞来——你的服务器正在遭受暴力破解攻击？日志里成千上万行“Failed password for root”的记录， 不仅让人心惊肉跳，更在疯狂消耗着系统资源。如果你还在使用单纯的密码进行SFTP或SSH连接，那么你其实吧是在为黑客敞开大门。

说实话，密码认证机制在当今强大的算力面前，显得越来越脆弱。弱口令、撞库、社会工程学攻击……任何一种手段都可能让你的防线瞬间崩塌。为了彻底杜绝这种隐患， 最有效、也是最被业界推崇的方法，就是彻底禁用密码登录，转而强制使用SSH密钥对进行身份验证。这不仅仅是一个技术选项，更是一种对数据负责的态度。

今天 我们就来深入探讨一下如何通过SFTP配置禁用密码登录，为你的账户平安加上一道坚不可摧的锁。别担心， 虽然过程听起来有些繁琐， 谨记... 但只要跟着步骤走，你会发现这其实比想象中要简单得多，而且一旦完成，那种“高枕无忧”的平安感，绝对值得你付出的努力。

为什么密码认证是最大的软肋？

在动手敲代码之前，我们需要先达成一个共识：为什么密码这么不招人待见？想象一下 密码就像是你家大门的钥匙，如果你每天出门都把钥匙藏在门口的地垫下或者这把钥匙能被无限复制，那么小偷进门只是时间问题。

特别是对于SFTP服务，它通常承载着文件传输、备份等重要任务。一旦攻击者通过SFTP获取了服务器权限， 他们可以窃取敏感数据、植入勒索软件，甚至将你的服务器作为跳板攻击内网其他设备。 优化一下。 而禁用密码登录，就像是把地垫下的钥匙扔掉了改成了只有你拥有的指纹和只有你知道的密码。没有私钥，任凭黑客把键盘敲烂，也无法登录系统。

准备工作：在动手之前， 请先系好平安带

在修改SSH配置这种核心操作之前，有一个铁律必须遵守：永远保留一条后路。如果你直接禁用了密码登录， 却发现密钥配置有问题， 看好你哦！ 那么恭喜你，你刚刚成功把自己锁在了服务器门外只能求助于机房管理员重启单用户模式了。

所以呢，请务必确保你已经成功配置了密钥登录，并且能够通过密钥正常连接服务器。在确认“密钥登录”完美无瑕之前，绝对不要关闭“密码登录”这扇门。这是无数前辈用血泪换来的教训，整一个...。

第一步：生成并部署SSH密钥对

至于吗？ 既然要抛弃密码，我们就需要一个新的身份凭证——SSH密钥对。这包含两个部分：公钥和私钥。你可以把公钥想象成一把锁， 安装在服务器上；而私钥则是开锁的钥匙，必须牢牢保存在你的本地电脑中，绝对不能泄露给任何人。

1. 在客户端生成密钥对

先说说在你的本地电脑上施行以下命令来生成密钥。我们推荐使用RSA或ED25519算法，ED25519更现代、更平安，但RSA兼容性更好，我怀疑...。

ssh-keygen -t rsa -b 4096

或者使用更平安的ED25519：

ssh-keygen -t ed25519

施行命令后系统会提示你保存文件的位置。直接回车使用默认路径即可。接着，系统会要求你设置一个 passphrase。虽然这一步是可选的，但我强烈建议你设置一个。这相当于给你的私钥再加了一把锁， 即使你的私钥文件不幸被盗，黑客没有这个passphrase也无法使用它，盘它。。

2. 将公钥部署到服务器

生成密钥后你需要把公钥放到服务器上对应用户的 ~/.ssh/authorized_keys 文件中。 换个角度。 如果你有 ssh-copy-id 工具， 这会非常简单：

ssh-copy-id username@your_server_ip

欧了！ 如果没有这个工具，也别慌，手动操作也很容易。先登录服务器，施行以下命令创建必要的目录和文件：

mkdir -p /home/sftpuser/.ssh
touch /home/sftpuser/.ssh/authorized_keys
chmod 700 /home/sftpuser/.ssh
chmod 600 /home/sftpuser/.ssh/authorized_keys
chown -R sftpuser:sftpuser /home/sftpuser/.ssh

注意这里的权限设置！.ssh 目录必须是700， authorized_keys 文件必须是600，且所有者必须是登录用户本身。SSH服务非常挑剔，如果权限太开放，它会拒绝使用这些密钥。然后把你本地生成的公钥内容复制粘贴到服务器的 authorized_keys 文件中，不妨...。

第二步：修改SSH配置文件——核心手术

现在 密钥已经准备好了是时候动真格的了。我们需要修改SSH服务的配置文件，告诉它：“从现在起，拒绝所有密码登录请求，只接受密钥。”

使用文本编辑器打开SSH配置文件。在大多数Linux发行版中， 很棒。 它的位置都在这里：

sudo nano /etc/ssh/sshd_config

在这个文件里你需要像侦探一样仔细寻找以下几行配置。有时候，某些行可能被 # 注释掉了你需要去掉注释符并修改它们的值。

1. 确保启用公钥认证

先说说找到 PubkeyAuntication 这一行。确保它的值是 yes。这是开启密钥登录的总开关，有啥说啥...。

PubkeyAuntication yes

2. 禁用密码认证

你没事吧？ 这是最关键的一步。找到 PasswordAuntication 这一行。默认情况下它通常是 yes。现在请大刀阔斧地把它改成 no。

PasswordAuntication no

为了保险起见， 你还可以顺便关闭其他基于挑战-响应的认证方式，比如 KbdInteractiveAuntication 和 ChallengeResponseAuntication将它们也设置为 no。这样做的目的是为了彻底堵死任何可能回退到密码输入的漏洞，泰酷辣！。

KbdInteractiveAuntication no
ChallengeResponseAuntication no

3. 配置SFTP子系统

如果你使用的是较新版本的OpenSSH， 建议使用系统自带的内部SFTP服务，这比调用外部的 sftp-server 更高效且更易于控制Chroot。 我直接好家伙。 找到 Subsystem 这一行：

Subsystem sftp internal-sftp

第三步：重启服务与验证

绝了... 配置文件修改完成后保存并退出编辑器。这时候，配置还没有生效。你需要重启SSH服务来让这些更改落地。

对于Linux系统：

中肯。 大多数现代Linux发行版使用systemd：

sudo systemctl restart sshd

或者有些系统是：

sudo systemctl restart ssh

如果是较旧的系统：

sudo service ssh restart

对于Windows系统：

放心去做... 如果你是在Windows Server上配置OpenSSH服务，配置文件通常位于 C:\ProgramData\ssh\sshd_config。修改完成后 你需要以管理员身份打开PowerShell，施行以下命令：

Restart-Service sshd

服务重启的一瞬间，你的心跳可能会加速一下。别慌，现在打开一个新的终端窗口，尝试连接服务器，让我们一起...。

sftp sftpuser@your_server_ip

如果一切顺利， 你应该直接登录了或者只被要求输入私钥的passphrase，而不再看到“Password:”的提示。恭喜你，你刚刚成功地把黑客挡在了门外！

进阶平安：构建SFTP专用Chroot环境

仅仅禁用密码登录可能还不够。有时候， 我们创建SFTP账号只是为了给合作伙伴或开发人员传文件，并不希望他们能随意浏览整个服务器系统，更不希望他们能通过SSH登录到Shell施行命令。这时候，我们就需要用到Chroot功能，把用户“禁锢”在特定的目录里，来一波...。

这需要在 /etc/ssh/sshd_config 文件的末尾添加一段特定的配置。让我们一步步来：，对，就这个意思。

1. 创建SFTP用户组和用户

先说说 我们创建一个专门的用户组，方便管理：，绝绝子...

sudo groupadd sftpgroup

然后创建一个用户，并指定他的家目录。注意， 这里我们不想让他有Shell登录权限，所以可以把他的shell设置为 /bin/false 或 /usr/sbin/nologin，人间清醒。。

sudo useradd -m -s /bin/false -G sftpgroup sftpuser
sudo passwd sftpuser

2. 设定Chroot目录权限

还行。 这是Chroot配置中最容易出错的地方。Chroot目录及其所有上级目录，所有者必须是root用户，且权限不能超过755。否则，SSH服务会主要原因是平安原因拒绝连接。

假设我们要把用户限制在 /home/sftpuser 目录下：，吃瓜。

sudo chown root:root /home/sftpuser
sudo chmod 755 /home/sftpuser

但是 用户需要在目录下上传文件，所以我们需要在Chroot目录下创建一个属于该用户的子目录：

sudo mkdir /home/sftpuser/uploads
sudo chown sftpuser:sftpgroup /home/sftpuser/uploads
sudo chmod 755 /home/sftpuser/uploads

3. 配置Match规则

回到 /etc/ssh/sshd_config 文件，在文件最末尾添加以下内容。这段配置的意思是：对于属于 sftpgroup 的用户， 强制使用内部SFTP服务，并将根目录切换到用户的家目录，就这？。

Match Group sftpgroup
    ForceCommand internal-sftp
    ChrootDirectory %h
    PermitTunnel no
    AllowTcpForwarding no
    X11Forwarding no

添加完成后 重启SSH服务：

sudo systemctl restart sshd

现在当 sftpuser 连接时他看到的根目录就是 /home/sftpuser他无法向上跳转，也无法施行任何Shell命令。这种“既不让你乱跑，也不让你乱动”的配置，对于多用户环境下的文件传输平安至关重要，歇了吧...。

常见问题排查与避坑指南

内卷。 配置过程中，难免会遇到一些“坑”。这里了一些常见的问题和解决方案，希望能帮你节省几个晚上的熬夜时间。

现象	可能原因	解决方案
提示 "Permission denied "	1. 公钥未正确放入 authorized_keys 2. .ssh 目录或文件权限不正确 3. SELinux 阻止了读取	1. 检查公钥内容是否完整 2. 确保 .ssh 是700， authorized_keys 是600 3. 尝试临时关闭 SELinux 测试: setenforce 0
连接后直接断开，提示 "packet_write_wait: Connection to ... broken"	Chroot 目录权限设置不当，所有者不是 root 或权限超过了 755	检查 ChrootDirectory 指定的路径及其父目录权限，确保 root 拥有且权限合规。
WinSCP 或 FileZilla 连接失败	客户端软件未正确配置私钥路径，或私钥格式不兼容	在客户端软件中手动指定私钥文件。如果是 PuTTY，需要用 PuTTYgen 将 .ssh/id_rsa 转换为 .ppk 格式。
禁用密码后 自己也被锁在外面了	密钥未测试成功就关闭了密码认证	需要通过 VNC/IPMI/KVM 等控制台登录服务器，修改配置恢复密码认证，或者检查密钥配置。

我晕... 还有一个经常被忽视的细节：SELinux。在CentOS、 RHEL等系统上，即使文件权限看起来完美无缺，SELinux的平安上下文也可能导致SSH无法读取 .ssh 目录或 authorized_keys 文件。如果你怀疑是这个问题， 可以使用 ls -Z 命令查看上下文，或者使用 restorecon -R -v ~/.ssh 命令重置上下文。

平安是一场持续的修行

通过SFTP配置禁用密码登录， 并不是一个复杂的操作，但它带来的平安感却是巨大的。我们不仅修改了几个配置参数，更是从根本上改变了服务器的认证逻辑——从“你知道什么”变成了“你拥有什么”，闹笑话。。

当然平安没有终点。禁用密码登录只是万里长征的第一步。接下来 你还可以考虑更改SSH默认端口、配置防火墙规则限制访问来源、安装Fail2ban自动封禁暴力破解IP，甚至使用双因素认证来进一步提升平安等级，地道。。

尊嘟假嘟？ 但无论如何，请记住：不要等到服务器被入侵了才后悔莫及。现一把只有你有的钥匙，永远比一串可能被猜出的密码要可靠得多。

---