使用 auditd 记录 SFTP 活动

Question

您可以记录 SFTP 会话/活动（见下面的示例），但日志消息将写入 /var/log/messages。

我不知道你是否可以配置审计之后“扫描” /var/log/messages 文件，但情况如下：

vi /etc/ssh/sshd_conf

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# Change this to 
Subsystem       sftp    /usr/libexec/openssh/sftp-server -f AUTH -l INFO

service sshd restart

INFO 日志级别提供有关文件传输、权限更改等的详细信息。如果您需要更多信息，可以使用：QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2 和 DEBUG3

Answer 1

您可以记录 SFTP 会话/活动（见下面的示例），但日志消息将写入 /var/log/messages。

我不知道你是否可以配置审计之后“扫描” /var/log/messages 文件，但情况如下：

vi /etc/ssh/sshd_conf

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# Change this to 
Subsystem       sftp    /usr/libexec/openssh/sftp-server -f AUTH -l INFO

service sshd restart

INFO 日志级别提供有关文件传输、权限更改等的详细信息。如果您需要更多信息，可以使用：QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2 和 DEBUG3

使用 auditd 记录 SFTP 活动

答案1

相关内容