如何通过Debian SFTP日志管理轻松提升Linux系统安全性?
- 内容介绍
- 文章标签
- 相关推荐
前言:为何 SFTP 日志是系统平安的第一道防线?
心情复杂。 在企业级服务器上,SFTP 已经成为文件交付的标配。可是一旦出现未授权访问、恶意篡改或者数据泄露,往往是主要原因是我们对日志视而不见。把日志打开、 做好归档、精准审计——这三件事像是为服务器披上一层隐形盔甲,让潜在风险无处遁形。
一、 让 SFTP 的每一次心跳都记录下来
SFTP 本质上是 SSH 的子系统,所有日志到头来都会流向 SSH 的日志设施。只要把 sshd 的日志级别调高, 躺赢。 并为内部 sftp 开启 INFO 级别,就能看到最全的信息。
# /etc/ssh/sshd_config
LogLevel VERBOSE # 把 SSH 日志级别调高
Subsystem sftp internal-sftp -l INFO # 为内部 sftp 启用 INFO 级别
# 可选:把 sftp 日志单独投递到 local5
#Subsystem sftp internal-sftp -l INFO -f LOCAL5
编辑完毕后记得重启服务:
# systemctl restart sshdSFTP 登录信息已经够用了吗?
这是可以说的吗? 如果你想追踪具体哪个用户改动了哪一个文件,仅靠 /var/log/auth.log 是力不从心的。这时候 auditd 能帮忙, 它可以记录每一次对指定目录的读写操作,让“翻旧账”变得轻而易举。
二、 把 SFTP 日志单独分流,便于聚合与分析
默认情况下 SFTP 日志混杂在 /var/log/auth.log 中,搜索时常常被海量信息淹没。
前言:为何 SFTP 日志是系统平安的第一道防线?
心情复杂。 在企业级服务器上,SFTP 已经成为文件交付的标配。可是一旦出现未授权访问、恶意篡改或者数据泄露,往往是主要原因是我们对日志视而不见。把日志打开、 做好归档、精准审计——这三件事像是为服务器披上一层隐形盔甲,让潜在风险无处遁形。
一、 让 SFTP 的每一次心跳都记录下来
SFTP 本质上是 SSH 的子系统,所有日志到头来都会流向 SSH 的日志设施。只要把 sshd 的日志级别调高, 躺赢。 并为内部 sftp 开启 INFO 级别,就能看到最全的信息。
# /etc/ssh/sshd_config
LogLevel VERBOSE # 把 SSH 日志级别调高
Subsystem sftp internal-sftp -l INFO # 为内部 sftp 启用 INFO 级别
# 可选:把 sftp 日志单独投递到 local5
#Subsystem sftp internal-sftp -l INFO -f LOCAL5
编辑完毕后记得重启服务:
# systemctl restart sshdSFTP 登录信息已经够用了吗?
这是可以说的吗? 如果你想追踪具体哪个用户改动了哪一个文件,仅靠 /var/log/auth.log 是力不从心的。这时候 auditd 能帮忙, 它可以记录每一次对指定目录的读写操作,让“翻旧账”变得轻而易举。
二、 把 SFTP 日志单独分流,便于聚合与分析
默认情况下 SFTP 日志混杂在 /var/log/auth.log 中,搜索时常常被海量信息淹没。