В настоящее время я использую auditd для регистрации активности TTY для пользователей, подключенных к моей системе по SSH. Однако сеансы SFTP не регистрируются таким образом. Есть ли способ регистрировать их с помощью auditd или мне нужно будет использовать отдельный регистратор для SFTP?
Вы можете регистрировать сеансы / активность SFTP (пример ниже), но сообщения журнала будут записываться в / var / log / messages.
Не знаю, можно ли настроить аудит чтобы "просканировать" файл / var / log / messages после этого, но вот оно:
vi /etc/ssh/sshd_conf
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
# Change this to
Subsystem sftp /usr/libexec/openssh/sftp-server -f AUTH -l INFO
service sshd restart
Уровень ведения журнала INFO предоставляет подробную информацию о передаче файлов, изменении разрешений и т. Д. Если вам нужна дополнительная информация, вы можете использовать: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 и DEBUG3