Если вы говорите об аудите передаваемых файлов, то это можно сделать, если вы перенастроите свою sshd
конфигурацию, после чего вы можете сделать записи в журнале черезsyslog
например
Subsystem sftp internal-sftp -f AUTH -l INFO
Не забудьте перезапустить sshd
после изменения этого файла.
Теперь я могу запустить сеанс на своем сервере:
% sftp test1
Connected to test1.
sftp> ls
myfile
sftp> get myfile
Fetching /home/sweh/myfile to myfile
/home/sweh/myfile 100% 8 5.1KB/s 00:00
sftp> ^D
И мы можем увидеть всю эту активность в логах (на CentOS это в/var/log/messages
)
May 7 11:14:05 test1 internal-sftp[5610]: session opened for local user sweh from [10.0.0.137]
May 7 11:14:07 test1 internal-sftp[5610]: opendir "/home/sweh"
May 7 11:14:07 test1 internal-sftp[5610]: closedir "/home/sweh"
May 7 11:14:10 test1 internal-sftp[5610]: open "/home/sweh/myfile" flags READ mode 0666
May 7 11:14:10 test1 internal-sftp[5610]: close "/home/sweh/myfile" bytes read 8 written 0
May 7 11:14:11 test1 internal-sftp[5610]: session closed for local user sweh from [10.0.0.137]
Эти строки показывают логин, команду ls
(opendir
)и команду get
(open
).
Теперь становится возможным проверять sftp
деятельность.