บรรจวบ เข้าสู่ระบบ
Score:1
Matrix avatar Server

ค้นหาไฟล์ที่ถูกลบ/นำเข้าในเซิร์ฟเวอร์ SFTP โดยใช้บันทึก

ธง cn
Matrix

เรามีเซิร์ฟเวอร์ SFTP ฉันกำลังพยายามค้นหาว่าไฟล์บางไฟล์ถูกลบออกจากเซิร์ฟเวอร์หรือนำเข้าไปยังเซิร์ฟเวอร์หรือไม่ ฉันกำลังดูไฟล์บันทึกภายใต้ /var/log แต่ไม่พบบันทึกที่เกี่ยวข้องจนถึงตอนนี้

ฉันสงสัยว่าฉันสามารถค้นหาข้อมูลดังกล่าวได้จากไฟล์บันทึกใด

ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชม

อัปเดต:

ตามคำตอบและลิงค์: ป้อนคำอธิบายลิงก์ที่นี่ ฉันได้แก้ไขไฟล์ config ซึ่งส่วนต่าง ๆ มีลักษณะดังนี้:

ระบบย่อย sftp internal-sftp -f AUTH -l INFO

# บังคับให้ sftp และ chroot คุกสำหรับสมาชิกของกลุ่ม sftp
จับคู่กลุ่ม SFTP
ForceCommand ภายใน-sftp
ChrootDirectory /sftp/%u

# สมาชิกของ sftp-glob สามารถเข้าถึงโฟลเดอร์ผู้ใช้ทั้งหมด
จับคู่กลุ่ม sftp-glob
ForceCommand ภายใน-sftp
ChrootDirectory/sftp


# เปิดใช้งานสิ่งนี้สำหรับบันทึกเพิ่มเติม
LogLevel VERBOSE

จากนั้นรีสตาร์ท sshd:

sudo systemctl รีสตาร์ท sshd

ในกรณีนี้ ฉันเห็นเฉพาะบันทึกที่สร้างโดยผู้ใช้ที่เป็นผู้ดูแลระบบ (ฉัน) ภายใต้ /var/log/auth.log

17 มกราคม 12:57:50 ios-sftp internal-sftp [5262]: ลบชื่อ "/tmp/test.txt"

สำหรับการบันทึกการกระทำของผู้ใช้ chrooted ฉันได้ทำสิ่งนี้แล้ว:

ซีดี /sftp 
sudo mkdir ผู้พัฒนา
sudo chmod 755 ผู้พัฒนา
sudo touch dev / บันทึก
sudo mount --bind /dev/log dev/log

อย่างไรก็ตาม ฉันยังไม่เห็นว่าผู้ใช้รายอื่นเข้าสู่ระบบ /var/log/auth.log หากพวกเขาอัปโหลดหรือลบไฟล์

มันเริ่มทำงานหลังจากแก้ไขไฟล์ปรับแต่งโดยเปลี่ยน ForceCommand internal-sftp เป็น ForceCommand internal-sftp -f AUTH -l INFO

ระบบย่อย sftp internal-sftp -f AUTH -l INFO

# บังคับให้ sftp และ chroot คุกสำหรับสมาชิกของกลุ่ม sftp
จับคู่กลุ่ม SFTP
ForceCommand internal-sftp -f AUTH -l ข้อมูล
ChrootDirectory /sftp/%u

# สมาชิกของ sftp-glob สามารถเข้าถึงโฟลเดอร์ผู้ใช้ทั้งหมด
จับคู่กลุ่ม sftp-glob
ForceCommand internal-sftp -f AUTH -l ข้อมูล
ChrootDirectory/sftp


# เปิดใช้งานสิ่งนี้สำหรับบันทึกเพิ่มเติม
LogLevel VERBOSE

ตอนนี้ฉันเห็นบันทึกภายใต้ /var/log/auth.log:

18 ม.ค. 10:13:02 user-sftp internal-sftp[7466]: set "/folder1/folder2/myfile.xml" modtime 20210106-10:32:58
153
0 + 0
Score:3
vidarlo avatar Server
ธง ar
vidarlo

ตามค่าเริ่มต้น ไฟล์ที่ถ่ายโอนจะไม่ถูกบันทึกโดย sftp ในบันทึกของระบบ มีเพียงการตัดการเชื่อมต่อเท่านั้น

มัน สามารถเปิดใช้งานได้ สำหรับการทำธุรกรรมในอนาคต แต่นั่นอาจจะไม่ช่วยให้คุณแก้ปัญหาที่เกิดขึ้นได้ - แต่อาจแก้ปัญหาได้ในอนาคต

0 + 0
Matrix avatar
cn flag
Matrix
ขอบคุณสำหรับการตอบกลับอย่างรวดเร็ว หลังจากเพิ่มลงในไฟล์ sshd_config แล้ว ฉันเห็นเฉพาะบันทึกของผู้ใช้ที่เป็นผู้ดูแลระบบใน /var/log/auth.log อย่างไรก็ตาม ฉันสนใจผู้ใช้ chrooted รายอื่นมากกว่า ไดเร็กทอรี chroot ของฉันอยู่ใน /sftp ตามลิงก์ ฉันได้สร้างโฟลเดอร์ dev ภายใต้โฟลเดอร์ /sftp และไฟล์บันทึก (touch dev/log) ติดตั้ง /dev/log ไปยัง /sftp/dev/log ด้วย แต่ฉันยังไม่เห็นบันทึกของผู้ใช้ภายใต้ /dev/log/auth.log มีไดเร็กทอรีอื่นที่ฉันควรตรวจสอบหรือไม่ หรือมีการตั้งค่าอื่นที่ฉันขาดหายไป?
0
ตอบกลับ
vidarlo avatar
ar flag
vidarlo
ฉันคิดว่าข้อความน่าจะเหมาะสมกว่า auth.log
0
ตอบกลับ
Matrix avatar
cn flag
Matrix
ฉันไม่มีไฟล์ข้อความในไดเรกทอรีนั้น
0
ตอบกลับ
vidarlo avatar
ar flag
vidarlo
ฉันไม่รู้ว่าสภาพแวดล้อมของคุณมีการกำหนดค่าอย่างไร เข้าสู่ระบบ
0
ตอบกลับ
Matrix avatar
cn flag
Matrix
มันมีการตั้งค่าเริ่มต้นอย่างที่ฉันรู้เนื่องจากฉันเห็นบันทึกที่มาจากผู้ใช้ที่เป็นผู้ดูแลระบบภายใต้ /var/log/auth.log ดังนั้นฉันจึงถือว่าบันทึกของผู้ใช้ที่มี chrooted ควรมาในที่เดียวกันใช่ไหม ฉันได้อัปเดตคำถามด้วยข้อมูลเพิ่มเติมแล้ว
0
ตอบกลับ
Matrix avatar
cn flag
Matrix
แก้ไขแล้ว ฉันพลาดการกำหนดค่าบางอย่างในไฟล์ sshd_config ตอนนี้ใช้งานได้ดี :) ขอบคุณสำหรับคำตอบที่เป็นประโยชน์
1
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา