У нас есть SFTP-сервер, я пытаюсь выяснить, были ли какие-то конкретные файлы удалены с сервера или даже импортированы на сервер или нет. Я просматриваю файлы журналов в /var/log, но пока не могу найти соответствующие журналы.
Мне интересно, в каком файле журнала я могу найти такую информацию?
Любая помощь будет оценена по достоинству.
Обновлено:
Судя по ответу и ссылке: введите сюда описание ссылки
Я изменил файл конфигурации, части которого выглядят следующим образом:
Подсистема sftp internal-sftp -f AUTH -l INFO
# Принудительная тюрьма sftp и chroot для членов группы sftp
Группа соответствия sftp
ForceCommand внутренний-sftp
ChrootDirectory /sftp/%u
# Члены sftp-glob имеют доступ ко всем папкам пользователя
Группа соответствия sftp-glob
ForceCommand внутренний-sftp
ChrootDirectory/sftp
# Включите это для большего количества журналов
ПОДРОБНО
Затем перезапустил sshd:
sudo systemctl перезапустить sshd
В этом случае я могу видеть только журналы, созданные пользователем-администратором (мной) в /var/log/auth.log.
17 января, 12:57:50 ios-sftp internal-sftp[5262]: удалить имя «/tmp/test.txt»
Для регистрации действий пользователей с chroot я сделал это:
компакт-диск/sftp
sudo mkdir dev
судо чмод 755 разработчик
sudo touch dev/журнал
sudo mount --bind /dev/log dev/log
Однако я по-прежнему не вижу журналы других пользователей в /var/log/auth.log, если они загружают или удаляют файлы.
Он начал работать после исправления файла конфигурации, изменив ForceCommand internal-sftp на ForceCommand internal-sftp -f AUTH -l INFO
Подсистема sftp internal-sftp -f AUTH -l INFO
# Принудительная тюрьма sftp и chroot для членов группы sftp
Группа соответствия sftp
ForceCommand internal-sftp -f AUTH -l INFO
ChrootDirectory /sftp/%u
# Члены sftp-glob имеют доступ ко всем папкам пользователя
Группа соответствия sftp-glob
ForceCommand internal-sftp -f AUTH -l INFO
ChrootDirectory/sftp
# Включите это для большего количества журналов
ПОДРОБНО
теперь я вижу журналы в /var/log/auth.log:
18 янв.
