IT001

現場(環境):CentOS 7.4          套件:sshd、rsyslog

一般來說，我們可以透過ssh方式來進行sftp傳輸的行為。

這個很方便，因為等同於你知道帳號&密碼之後就可以進行資料傳輸。

但方便就等於危險，帳號密碼被取得的當下。

伺服器就送人家了。

所以我們會先將Root可以進行SSH連線關閉掉。

避免到時候Root真的連入出現了其他問題。

把PermitRootLogin 註解掉。再重啟服務就可以。

再來就是要開啟sftp 的Log

預設狀況下，ssh可以紀錄使用者登入&時間的紀錄。

但不會紀錄做了什麼，所以我們要來將這個Log開啟。

找到Subsystem這一行

在sftp-server後面加上 -I INFO -f AUTH

=!===

Subsystem sftp /usr/lib64/ssh/sftp-server -l INFO -f AUTH

===!=

接著去修改rsyslog

#vim /etc/rsyslog.conf

加上一行

=!===

auth,authpriv.*             /var/log/sftp.log

===!=

接著重啟服務。

#systemctl restart rsyslog

#systemctl restart sshd

可以開始看LOG訊息了。

#cat /var/log/sftp.log

or

#vim /var/log/sftp.log

sftp傳輸紀錄就會一樣被紀錄下來。

包含使用者在系統上的一些操作。

<本篇完>

參考網址:

http://blog.51cto.com/b0undless/1269409