Я в настоящее время использую auditd для входа действия TTY для пользователей, которые являются SSH'd в мою систему. Однако сессии SFTP не зарегистрированы таким образом. Существует ли способ зарегистрировать их использующий auditd, или я должен буду использовать отдельный регистратор для SFTP?
Вы можете регистрировать сеансы / активность SFTP (пример ниже), но сообщения журнала будут записываться в / var / log / messages.
Я не знаю, можете ли вы настроить auditd для "сканирования" файла / var / log / messages после этого, но вот оно:
vi /etc/ssh/sshd_conf
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
# Change this to
Subsystem sftp /usr/libexec/openssh/sftp-server -f AUTH -l INFO
service sshd restart
Уровень ведения журнала INFO предоставляет подробную информацию о файле переводы, изменения разрешений и т. д. Если вам нужна дополнительная информация, вы можете использовать: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 и DEBUG3