Tham gia Đăng nhập
Điểm:1
Matrix avatar Server

Tìm các tệp đã xóa/đã nhập trong máy chủ SFTP bằng nhật ký

lá cờ cn
Matrix

Chúng tôi có một máy chủ SFTP, tôi đang cố gắng tìm hiểu xem một số tệp cụ thể đã bị xóa khỏi máy chủ hay chúng thậm chí đã được nhập vào máy chủ hay chưa. Tôi đang xem qua các tệp nhật ký bên dưới/var/log nhưng không thể tìm ra các nhật ký có liên quan cho đến nay.

Tôi tự hỏi tôi có thể tìm thấy thông tin như vậy trong tệp nhật ký nào?

Bất kỳ trợ giúp sẽ được đánh giá cao.

Đã cập nhật:

Dựa trên câu trả lời và liên kết: nhập mô tả liên kết ở đây Tôi đã sửa đổi tập tin cấu hình mà các phần của nó trông giống như bên dưới:

Hệ thống con sftp internal-sftp -f AUTH -l INFO

# Buộc sftp và bỏ tù chroot đối với các thành viên của nhóm sftp
Ghép nhóm sftp
ForceCommand nội bộ-sftp
ChrootDirectory /sftp/%u

# Thành viên của sftp-glob có quyền truy cập vào tất cả các thư mục người dùng
So khớp nhóm sftp-glob
ForceCommand nội bộ-sftp
ChrootDirectory /sftp


# Kích hoạt tính năng này để có thêm nhật ký
LogLevel RÕ RÀNG

Sau đó khởi động lại sshd:

Sudo systemctl khởi động lại sshd

Trong trường hợp này, tôi chỉ có thể xem nhật ký được tạo bởi người dùng quản trị viên (tôi) trong /var/log/auth.log

Ngày 17 tháng 1 12:57:50 ios-sftp internal-sftp[5262]: xóa tên "/tmp/test.txt"

Để ghi nhật ký các hành động của người dùng đã chroot, tôi đã thực hiện việc này:

cd /sftp 
nhà phát triển sudo mkdir
nhà phát triển sudo chmod 755
Sudo touch dev/log
Sudo mount --bind /dev/log dev/log

Tuy nhiên, tôi vẫn không thể thấy những người dùng khác đăng nhập /var/log/auth.log nếu họ tải lên hoặc xóa tệp.

Nó bắt đầu hoạt động sau khi sửa tệp cấu hình bằng cách thay đổi ForceCommand internal-sftp thành ForceCommand internal-sftp -f AUTH -l INFO

Hệ thống con sftp internal-sftp -f AUTH -l INFO

# Buộc sftp và bỏ tù chroot đối với các thành viên của nhóm sftp
Ghép nhóm sftp
ForceCommand internal-sftp -f AUTH -l INFO
ChrootDirectory /sftp/%u

# Thành viên của sftp-glob có quyền truy cập vào tất cả các thư mục người dùng
So khớp nhóm sftp-glob
ForceCommand internal-sftp -f AUTH -l INFO
ChrootDirectory /sftp


# Kích hoạt tính năng này để có thêm nhật ký
LogLevel RÕ RÀNG

bây giờ tôi có thể xem nhật ký trong /var/log/auth.log:

Ngày 18 tháng 1 10:13:02 user-sftp internal-sftp[7466]: set "/folder1/folder2/myfile.xml" thời gian sửa đổi 20210106-10:32:58
153
0 + 0
Điểm:3
vidarlo avatar Server
lá cờ ar
vidarlo

Theo mặc định, các tệp được truyền không được sftp ghi lại trong nhật ký hệ thống, chỉ ngắt kết nối.

có thể được kích hoạt cho các giao dịch trong tương lai, nhưng điều đó có thể sẽ không giúp bạn giải quyết vấn đề hiện tại - nhưng nó có thể giải quyết vấn đề đó trong tương lai.

0 + 0
Matrix avatar
lá cờ cn
Matrix
Cảm ơn đã trả lời nhanh chóng. Sau khi thêm nó vào tệp sshd_config, tôi chỉ có thể xem nhật ký của người dùng quản trị trong /var/log/auth.log. Tuy nhiên, tôi quan tâm nhiều hơn đến những người dùng đã chroot khác. Thư mục chroot của tôi nằm trong/sftp, vì vậy dựa trên liên kết, tôi đã tạo một thư mục dev trong thư mục/sftp và một tệp nhật ký (touch dev/log) cũng được gắn/dev/log vào/sftp/dev/log. nhưng tôi vẫn không thể thấy nhật ký của người dùng trong /dev/log/auth.log. Có thư mục nào khác mà tôi nên kiểm tra không? hoặc có một thiết lập khác mà tôi đang thiếu?
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Tôi nghĩ tin nhắn có lẽ phù hợp hơn auth.log
0
Hồi đáp
Matrix avatar
lá cờ cn
Matrix
Tôi không có tập tin tin nhắn trong thư mục đó
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Tôi không biết môi trường của bạn được cấu hình như thế nào. khai thác gỗ.
0
Hồi đáp
Matrix avatar
lá cờ cn
Matrix
nó có thiết lập mặc định như tôi biết.Vì tôi có thể thấy nhật ký đến từ người dùng quản trị viên trong /var/log/auth.log nên tôi cho rằng nhật ký của người dùng đã chroot sẽ ở cùng một nơi, phải không? Tôi đã cập nhật câu hỏi của mình với nhiều thông tin hơn.
0
Hồi đáp
Matrix avatar
lá cờ cn
Matrix
Nó đã được sửa, tôi đã bỏ lỡ một số cấu hình trong tệp sshd_config, hiện tại nó đang hoạt động tốt :) cảm ơn vì câu trả lời hữu ích.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.