要监控CentOS上的SFTP活动,您可以使用以下方法:
使用auditd服务:
安装auditd服务:
sudo yum install audit
启动并启用auditd服务:
sudo systemctl start auditd
sudo systemctl enable auditd
为SFTP配置审计规则。编辑/etc/audit/audit.rules文件,添加以下内容:
-a exit,always -F arch=b32 -S execve -k sftp
-a exit,always -F arch=b64 -S execve -k sftp
重新启动auditd服务以应用更改:
sudo systemctl restart auditd
查看SFTP活动日志:
sudo ausearch -k sftp
使用tcpdump工具:
使用tcpdump捕获SFTP流量。请注意,这需要在具有root权限的用户下运行。
sudo tcpdump -i any -n -v -w /var/log/sftp_traffic.pcap port 22
要实时查看SFTP流量,请添加-l选项:
sudo tcpdump -i any -n -v -l -w /var/log/sftp_traffic.pcap port 22
使用Wireshark或其他支持pcap格式的工具分析捕获的流量。
使用sshd配置文件:
编辑/etc/ssh/sshd_config文件,添加以下内容以启用SFTP连接日志记录:
Subsystem sftp internal-sftp -l INFO
LogLevel INFO
重新启动SSH服务以应用更改:
sudo systemctl restart sshd
查看SFTP连接日志:
sudo tail -f /var/log/secure
这些方法可以帮助您监控CentOS上的SFTP活动。您可以根据需要选择最适合您的方法。
