Onde você encontraria logs SCP?

2

Não consigo obter logs do SCP (no servidor) para aparecer em qualquer lugar. Pesquisei em algumas páginas, incluindo:

scp / ssh log no ssh-server

link

link

Já experimentei 10.04 (sim, EOL, etc.) com o OpenSSH 5.3 e 12.04 com o OpenSSH 5.9, habilitei todos os níveis de log incluindo DEBUG3 em /etc/ssh/sshd_config e experimentei usuários regulares e root, mas nada sobre o arquivo que foi transferido (ou mesmo que um arquivo foi transferido) aparece em qualquer log de SCP . SFTP logs aparecem em auth.log mesmo sem ativar o LogLevel para VERBOSE .

Há algo que eu esteja perdendo? Alguém pode confirmar que eles são capazes de obter logs SCP para aparecer em algum lugar?

Obrigado

    
por rew 10.08.2015 / 22:17

2 respostas

3

Eu estudei isso uma vez quando tive que criar uma maneira de monitorar transferências SCP. O utilitário OpenSSH scp não registra nada. Ele suporta a saída de depuração para a sessão SSH subjacente, mas isso não registra as transferências de arquivos reais que estão ocorrendo.

Da mesma forma, o servidor OpenSSH pode ser configurado para registrar detalhes sobre o que está fazendo e pode ser configurado para registrar o fato de que um usuário conectou e executou scp , mas não registrará as transferências de arquivos reais ocorrendo.

Se você não conseguir que esses usuários usem o SFTP, existem três abordagens disponíveis para você:

  1. Investigue servidores SSH / SFTP / SCP comerciais. Eles geralmente devem suportar o registro de transferências de arquivos.

  2. Substitua o utilitário scp no servidor por um que registre os dados desejados. OpenSSH é open source. Alguém que saiba programar em C para Unix poderia baixar a fonte e modificá-la.

  3. Substitua o utilitário scp por um "wrapper" que inicialize o programa scp original e monitore o que ele faz. Existem ferramentas de depuração para o Unix que podem monitorar o que outro processo está fazendo.

Nós adotamos a terceira abordagem. Nós escrevemos um script Perl que lançou o programa scp original em strace . Strace mostraria os nomes dos arquivos sendo abertos e fechados pelo processo scp. O script Perl leu a saída strace e a converteu em entradas de log.

    
por Kenster 11.08.2015 / 18:40
0

scp é executado internamente, assim como o comando ssh e os arquivos transferidos não são registrados. Você tem apenas logs de autenticação em /var/log/auth.log ou em algum lugar como este.

    
por Jakuje 11.08.2015 / 15:00