注意:
在禁止 SFTP 用户 SSH 登录、限制 SFTP 用户可进入的目录和端口分离的情况下开启 SFTP 日志前,要先设置 SFTP 相应的安全项:
正文:
步骤一:开启 SFTP 日志
1.1 开启 SFTP 的登录日志
1.1.1 修改配置文件 /etc/ssh/sshdsftp_config,开启 sshdsftp 的日志功能
# vim /etc/ssh/sshdsftp_config将部分内容修改如下:
......
LogLevel INFO
......1.1.2 让修改的配置生效
# systemctl restart sshdsftp.service1.2 开启 SFTP 的文件日志
1.2.1 修改 /etc/audit/auditd.conf 配置文件,指定 auditd 日志的存放位置
# vim /etc/audit/auditd.conf将部分内容修改如下:
......
log_file = /var/log/audit/audit.log
......1.2.2 修改 /etc/audit/rules.d/audit.rules 配置文件,监控用于 SFTP 服务器的目录以及目录下的目录和文件
# vim /etc/audit/rules.d/audit.rules添加以下内容:
......
-a exit,always -F dir=/sftpuser -F perm=rwxa(补充:这里以添加 /sftpuser 目录为例)
1.2.2 让修改的配置生效
# service auditd restart或者:
# augenrules步骤二:显示 SFTP 日志
2.1 显示 SFTP 的登录日志
# cat /var/log/messages | grep systemd-logind(
补充:这里会显示
1) 用户
2) 用户的登录时间
3) 用户的退出时间
)
(注意:普通用户的登录记录也在里面)
2.2 显示 SFTP 的文件日志
# cat /var/log/audit/audit.log(
补充:这里会显示
1) 用户
2) 操作的时间
2) 被操作的文件
3) 被操作的动作 (创建、删除和显示)
)
或者:
# sudo ausearch -i -k user-modify(补充:这里以显示文件被修改的记录为例)