Listando logins anteriores por meio do sftp

Navegue suas respostas
1

Olá pessoal do stackexchange,

Estou tendo um pouco de dificuldade para encontrar um local de um determinado arquivo de log, que espero que alguém possa me ajudar.

O que eu estou tentando fazer é listar as datas / horários de login para um usuário em particular no nosso servidor sftp. Da pesquisa on-line eu tenho até agora

cat /var/log/auth.log | grep "username" que listou alguns dos logins, mas não tão longe quanto eu estou procurando.

Eu também tentei

last -n 1000 | grep "username" mas infelizmente isso só parece funcionar para o acesso ssh ao servidor, em vez de sftp (tanto quanto eu sei)

Alguém pode pensar em algum outro método de listar os logins de um usuário em particular de um usuário do sftp?

muito obrigado antecipadamente, daark. N.B. o usuário é chrooted para seu próprio diretório inicial, se isso ajudar de alguma forma.

Editar: Eu não notei alguns arquivos no primeiro caso, eles me deram até um mês de logins, o que é melhor. Nova pergunta: Por padrão, por quanto tempo os CentOs ficam nos logs de autenticação arquivados? Se é mais de um mês para onde os arquivos mais antigos são transferidos? Eu verifiquei o logrotate.conf e não há menção de /var/log/auth.log , então estou assumindo que está usando valores padrão.

Editar: Editar Acho que encontrei a resposta que estava procurando, mas postando isso de qualquer maneira, caso seja de alguma utilidade para alguém.

O script logrotate é /etc/logrotate.d/rsyslog . Por padrão, eles alternam semanalmente e armazenam até 4 semanas de logs.

Eu ainda não tenho a reputação de colocar isso como uma resposta, mas se um administrador ver isso, sinta-se à vontade para fechá-lo.

Felicidades ~ daark

    
por daark 01.11.2013 / 10:01

1 resposta

0

No CentOS 6, /var/log/secure contém a saída do sshd, que inicia o subsistema sftp. Por padrão, você verá mensagens semelhantes às seguintes, mas não muito mais: 

Feb 25 12:34:56 server sshd[1234]: Accepted password for user from 1.2.3.4 port 12345 ssh2
Feb 25 12:34:56 server sshd[1234]: pam_unix(sshd:session): session opened for user user by (uid=0)
Feb 25 12:34:57 server sshd[1234]: subsystem request for sftp

Se você quiser ter mais visibilidade das ações do sftp, como quais arquivos foram transferidos, modifique a seguinte linha em /etc/ssh/sshd_config : 

Subsystem       sftp    /usr/libexec/openssh/sftp-server

para ser 

Subsystem       sftp    /usr/libexec/openssh/sftp-server -f AUTHPRIV -l INFO

e, em seguida, reinicie o sshd: 

# service sshd restart

Em seguida, você terá os registros padrão e os registros, como os seguintes: 

Feb 25 12:34:56 server sftp-server[1234]: session opened for local user user from 1.2.3.4
Feb 25 12:34:56 server sftp-server[1234]: opendir "/home/user/"
Feb 25 12:34:56 server sftp-server[1234]: closedir "/home/user/"
Feb 25 12:34:56 server sftp-server[1234]: open "/home/user/test" flags READ mode 0666
Feb 25 12:34:56 server sftp-server[1234]: close "/home/user/test" bytes read 1234 written 0
Feb 25 12:34:56 server sftp-server[1234]: session closed for local user user from 1.2.3.4
    
por 25.02.2016 / 17:19

Tags

Relatório de memória bizarra do Linux O que está impedindo que o ifenslave ligue vários túneis OpenVPN-through-Tor no modo balance-rr?