在Debian上配置SFTP安全审计可以帮助你监控和记录SFTP服务器的活动,从而提高安全性。以下是一个详细的步骤指南:
首先,确保你已经安装了OpenSSH服务器和auditd(用于审计)。
sudo apt update
sudo apt install openssh-server auditd audispd-plugins
编辑SSH配置文件 /etc/ssh/sshd_config,确保以下配置项存在并正确设置:
# 启用SFTP子系统
Subsystem sftp /usr/lib/openssh/sftp-server
# 限制用户只能使用SFTP
Match Group sftpusers
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
创建一个专门用于SFTP的用户组,并将需要使用SFTP的用户添加到该组中。
sudo groupadd sftpusers
sudo usermod -aG sftpusers your_username
确保chroot目录存在并且用户有权限访问。
sudo mkdir -p /home/your_username
sudo chown root:root /home/your_username
sudo chmod 755 /home/your_username
编辑auditd配置文件 /etc/audit/auditd.conf,确保以下配置项存在并正确设置:
# 启用文件完整性监控
fsaudit = 1
# 设置日志文件路径
log_file = /var/log/audit/audit.log
# 设置日志轮转策略
log_rotations = 7
log_rotation_size = 100M
创建一个审计规则文件 /etc/audit/rules.d/sftp.rules,并添加以下内容:
# 监控SFTP用户登录和文件操作
-w /home/your_username -p wa -k sftp_audit
重启SSH和auditd服务以应用更改。
sudo systemctl restart sshd
sudo systemctl restart auditd
你可以使用以下命令查看审计日志:
sudo ausearch -k sftp_audit
定期检查审计日志,确保没有异常活动,并根据需要进行维护和调整。
通过以上步骤,你可以在Debian上配置SFTP安全审计,从而提高系统的安全性。
