Список предыдущих логинов через sftp
Вы используете SELinux? Есть ли у Samba доступ к / mnt / sdb1 / share? В таких приложениях, как SELinux или AppArmor, вам обычно необходимо предоставить приложению разрешение на доступ к определенному каталогу / устройству. В SELinux они называются «контекстами».
Вы можете проверить, используя ls -Z , например:
$ ls -Z /var | grep "log$"
drwxr-xr-x. root root system_u:object_r:var_log_t:s0 log
1
daark
01.11.2013, 12:09
Ссылка
1 ответ
В CentOS 6, /var/log/secure содержит вывод от sshd, который запускает подсервер sftp. По умолчанию вы увидите сообщения, похожие на следующие, но не намного больше:
Feb 25 12:34:56 server sshd[1234]: Accepted password for user from 1.2.3.4 port 12345 ssh2
Feb 25 12:34:56 server sshd[1234]: pam_unix(sshd:session): session opened for user user by (uid=0)
Feb 25 12:34:57 server sshd[1234]: subsystem request for sftp
Если вы хотите иметь больше видимости действий sftp, например, какие файлы были переданы, измените следующую строку в /etc/ssh/sshd_config:
Subsystem sftp /usr/libexec/openssh/sftp-server
на
Subsystem sftp /usr/libexec/openssh/sftp-server -f AUTHPRIV -l INFO
и затем перезапустите sshd:
# service sshd restart
Тогда у вас будут журналы по умолчанию плюс журналы, подобные следующим:
Feb 25 12:34:56 server sftp-server[1234]: session opened for local user user from 1.2.3.4
Feb 25 12:34:56 server sftp-server[1234]: opendir "/home/user/"
Feb 25 12:34:56 server sftp-server[1234]: closedir "/home/user/"
Feb 25 12:34:56 server sftp-server[1234]: open "/home/user/test" flags READ mode 0666
Feb 25 12:34:56 server sftp-server[1234]: close "/home/user/test" bytes read 1234 written 0
Feb 25 12:34:56 server sftp-server[1234]: session closed for local user user from 1.2.3.4
0
28.01.2020, 02:02
Ссылка