înregistrare Logare
Puncte:1
Matrix avatar Server

Găsirea fișierelor șterse/importate pe serverul SFTP folosind jurnalele

drapel cn
Matrix

Avem un server SFTP, incerc sa aflu daca unele fisiere anume au fost sterse de pe server sau chiar au fost importate pe server sau nu. Parcurg fișierele jurnal de sub /var/log, dar nu am putut găsi jurnalele relevante până acum.

Mă întreb în ce fișier jurnal pot găsi astfel de informații?

Orice ajutor ar fi apreciat.

Actualizat:

Pe baza răspunsului și a linkului: introduceți descrierea linkului aici Am modificat fișierul de configurare care părți ale acestuia arată ca mai jos:

Subsistem sftp intern-sftp -f AUTH -l INFO

# Forțați sftp și chroot jail pentru membrii grupului sftp
Grupul de potriviri sftp
ForceCommand intern-sftp
ChrootDirectory /sftp/%u

# Membrii sftp-glob au acces la toate folderele utilizatorilor
Grupul de potriviri sftp-glob
ForceCommand intern-sftp
ChrootDirectory /sftp


# Activați acest lucru pentru mai multe jurnale
LogLevel VERBOSE

Apoi a repornit sshd:

sudo systemctl restart sshd

În acest caz, pot vedea doar jurnalele create de utilizatorul admin (eu) sub /var/log/auth.log

17 ianuarie 12:57:50 ios-sftp internal-sftp[5262]: eliminați numele „/tmp/test.txt”

Pentru a înregistra acțiunile utilizatorilor chrootate, am făcut asta:

cd /sftp 
sudo mkdir dev
sudo chmod 755 dev
sudo touch dev/log
sudo mount --bind /dev/log dev/log

Cu toate acestea, încă nu pot vedea ceilalți utilizatori se autentifică în /var/log/auth.log dacă încarcă sau șterg fișiere.

A început să funcționeze după repararea fișierului de configurare prin schimbarea ForceCommand internal-sftp în ForceCommand internal-sftp -f AUTH -l INFO

Subsistem sftp intern-sftp -f AUTH -l INFO

# Forțați sftp și chroot jail pentru membrii grupului sftp
Grupul de potriviri sftp
ForceCommand internal-sftp -f AUTH -l INFO
ChrootDirectory /sftp/%u

# Membrii sftp-glob au acces la toate folderele utilizatorilor
Grupul de potriviri sftp-glob
ForceCommand internal-sftp -f AUTH -l INFO
ChrootDirectory /sftp


# Activați acest lucru pentru mai multe jurnale
LogLevel VERBOSE

acum pot vedea jurnalele sub /var/log/auth.log:

18 ianuarie 10:13:02 user-sftp internal-sftp[7466]: setați „/folder1/folder2/myfile.xml” modtime 20210106-10:32:58
153
0 + 0
Puncte:3
vidarlo avatar Server
drapel ar
vidarlo

În mod implicit, fișierele transferate nu sunt înregistrate de sftp în jurnalele de sistem, ci doar deconectarea-deconectare.

Aceasta poate fi activat pentru tranzacții viitoare, dar asta probabil că nu vă va ajuta să vă rezolvați problema la îndemână - dar o poate rezolva pentru viitor.

0 + 0
Matrix avatar
drapel cn
Matrix
Multumesc pentru raspuns rapid. După ce l-am adăugat în fișierul sshd_config, pot vedea doar jurnalele utilizatorului admin în /var/log/auth.log. Cu toate acestea, sunt mai interesat de ceilalți utilizatori chrootati. Directorul meu chroot este în /sftp, așa că pe baza linkului, am creat un folder dev sub folderul /sftp și un fișier jurnal (touch dev/log) montat, de asemenea, /dev/log în /sftp/dev/log. dar tot nu pot vedea jurnalul utilizatorului sub /dev/log/auth.log. Există un alt director pe care ar trebui să-l verific? sau există o altă configurație care îmi lipsește?
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
Cred că mesajele sunt probabil mai potrivite decât auth.log
0
Răspunde
Matrix avatar
drapel cn
Matrix
Nu am fișier de mesaje în acel director
0
Răspunde
vidarlo avatar
drapel ar
vidarlo
Nu știu cum este configurat mediul dvs. Logare.
0
Răspunde
Matrix avatar
drapel cn
Matrix
are setare implicită, după cum știu.După cum pot vedea jurnalele care provin de la utilizatorul admin sub /var/log/auth.log, așa că presupun că jurnalele utilizatorilor chrootati ar trebui să vină în același loc, nu-i așa? Mi-am actualizat întrebarea cu mai multe informații.
0
Răspunde
Matrix avatar
drapel cn
Matrix
Este remediat, am ratat unele configurații din fișierul sshd_config, acum funcționează bine :) mulțumesc pentru răspunsul util.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.