因此,我遇到了似乎无法记录用户 SFTP 活动的问题。我可以看到特定用户何时创建新会话,但看不到他们去过哪里或者他们可能在目录中删除了什么。
我的 SFTP 用户都被 chroot 到同一个位置 (/data/SFTP/) - 每个用户都没有特定的文件夹。
我的目录如下所示:
/data/SFTP/SFTPHome
每个 SFTP 用户都可以访问 /SFTPHome 目录,但不能访问其父目录。
/etc/ssh/sshd_config:
Subsystem sftp internal-sftp -f AUTH -l VERBOSE
Match Group SFTPUsers
PasswordAuthentication no
X11Forwarding no
AllowTcpForwarding no
ChrootDirectory /data/SFTP/
ForceCommand internal-sftp -f AUTH -l VERBOSE
/etc/rsyslog.conf:
# Logs all SFTP activity
auth.* /var/log/sftp.log
完成此操作后,填充 /var/log/sftp.log 的唯一信息是
Feb 13 16:05:59 Host_SFTP systemd-logind: New session 30 of user JOHNSON.
Feb 13 16:06:30 Host_SFTP systemd-logind: Removed session 30.
Feb 13 16:09:17 Host_SFTP sshd[7126]: rexec line 63: Deprecated option RhostsRSAAuthentication
Feb 13 16:09:32 Host_SFTP systemd-logind: New session 31 of user JOHNSON.
Feb 13 16:09:32 Host_SFTP systemd-logind: Removed session 31.
Feb 13 16:14:17 Host_SFTP sshd[7154]: rexec line 63: Deprecated option RhostsRSAAuthentication
Feb 13 16:14:24 Host_SFTP sshd[7156]: rexec line 63: Deprecated option RhostsRSAAuthentication
Feb 13 16:14:32 Host_SFTP systemd-logind: New session 32 of user JOHNSON.
Feb 13 16:14:57 Host_SFTP systemd-logind: Removed session 32.
如何设置才能监控 SFTP 目录中的文件位置和内容?