我目前使用 auditd 记录通过 SSH 进入我系统的用户的 TTY 活动。但是,SFTP 会话不以这种方式记录。有没有办法使用 auditd 记录它们,还是我需要为 SFTP 使用单独的记录器?
答案1
您可以记录 SFTP 会话/活动(见下面的示例),但日志消息将写入 /var/log/messages。
我不知道你是否可以配置审计之后“扫描” /var/log/messages 文件,但情况如下:
vi /etc/ssh/sshd_conf
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
# Change this to
Subsystem sftp /usr/libexec/openssh/sftp-server -f AUTH -l INFO
service sshd restart
INFO 日志级别提供有关文件传输、权限更改等的详细信息。如果您需要更多信息,可以使用:QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2 和 DEBUG3