使用 auditd 记录 SFTP 活动

使用 auditd 记录 SFTP 活动

我目前使用 auditd 记录通过 SSH 进入我系统的用户的 TTY 活动。但是,SFTP 会话不以这种方式记录。有没有办法使用 auditd 记录它们,还是我需要为 SFTP 使用单独的记录器?

答案1

您可以记录 SFTP 会话/活动(见下面的示例),但日志消息将写入 /var/log/messages。

我不知道你是否可以配置审计之后“扫描” /var/log/messages 文件,但情况如下:

vi /etc/ssh/sshd_conf

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# Change this to 
Subsystem       sftp    /usr/libexec/openssh/sftp-server -f AUTH -l INFO

service sshd restart

INFO 日志级别提供有关文件传输、权限更改等的详细信息。如果您需要更多信息,可以使用:QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2 和 DEBUG3

相关内容