要在 Debian 系统中配置 SFTP 的加密协议,核心操作就是修改 SSH 服务器的配置文件 /etc/ssh/sshd_config。虽然流程不算复杂,但有几个关键步骤需要特别注意,否则容易导致连接问题。接下来我们按照规范步骤,逐一设置正确的加密参数。

第一步:备份配置文件至关重要:无论你是资深管理员还是新手,在修改系统文件前务必进行备份。执行以下命令,保存原始配置副本:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak第二步:编辑 SSH 配置文件:使用你偏好的文本编辑器(如
nano或vim)打开/etc/ssh/sshd_config:sudo nano /etc/ssh/sshd_config第三步:配置加密算法(Ciphers):在配置文件中查找或新增
Ciphers参数,其后列出允许使用的加密算法。以下示例包含当前主流算法,你可以根据安全等级灵活调整:Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com重要提示:请确保列表中至少包含一个当前 OpenSSH 版本支持的算法,否则 SFTP 连接将无法建立。
第四步:设置消息认证码(MAC)算法:MAC 算法用于保障数据传输的完整性,同样不可忽视。建议至少启用以下两种算法:
MACs hmac-sha2-256,hmac-sha2-512如需更高安全级别,可额外添加
hmac-sha2-512-etm@openssh.com等加密后认证的选项。第五步:指定密钥交换算法:这直接影响初始握手阶段的安全性。建议优先采用椭圆曲线算法,并回退到 Diffie-Hellman 作为备选:
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256注意:若使用旧版 OpenSSH,可能不支持
curve25519-sha256@libssh.org,请根据实际版本调整。第六步:重启 SSH 服务应用新配置:保存并退出编辑器后,执行以下命令重启 SSH 守护进程:
sudo systemctl restart sshd重启前请务必保持当前 SSH 连接不断开,或开启一个备用终端验证连接正常,以免被锁定在系统外。
第七步:验证配置是否生效:通过以下命令检查 SSH 服务状态:
sudo systemctl status sshd若状态为
active (running)且无错误日志,则配置已生效。还可以在客户端使用ssh -v连接测试,确认协商的算法在允许范围内。
执行上述步骤后,你的 Debian 系统上的 SFTP 加密方式已根据需求配置完成。需要留意的是,不同 OpenSSH 版本所支持的算法列表存在差异,尤其是在较旧系统上部分新算法可能不被支持。建议查阅当前 sshd 版本的官方文档,逐个确认参数的有效性。
