我们可以列出通过 sftp 传输的文件吗?
答案1
如果您正在谈论对传输的文件进行审核,那么如果您重新配置您的sshd配置,那么您可以通过以下方式使其记录条目syslog
例如
Subsystem sftp internal-sftp -f AUTH -l INFO
sshd记得更改此文件后重新启动。
现在我可以运行到我的服务器的会话:
% sftp test1
Connected to test1.
sftp> ls
myfile
sftp> get myfile
Fetching /home/sweh/myfile to myfile
/home/sweh/myfile 100% 8 5.1KB/s 00:00
sftp> ^D
我们可以在日志中看到所有这些活动(在 CentOS 上,位于/var/log/messages)
May 7 11:14:05 test1 internal-sftp[5610]: session opened for local user sweh from [10.0.0.137]
May 7 11:14:07 test1 internal-sftp[5610]: opendir "/home/sweh"
May 7 11:14:07 test1 internal-sftp[5610]: closedir "/home/sweh"
May 7 11:14:10 test1 internal-sftp[5610]: open "/home/sweh/myfile" flags READ mode 0666
May 7 11:14:10 test1 internal-sftp[5610]: close "/home/sweh/myfile" bytes read 8 written 0
May 7 11:14:11 test1 internal-sftp[5610]: session closed for local user sweh from [10.0.0.137]
这些行显示登录名、ls命令 ( opendir) 和get命令 ( open)。
现在可以审计sftp活动。