1. 配置SSH詳細日志記錄(基礎審計)
Debian系統中��,SFTP作為SSH的子服務�,其活動日志主要由SSH服務記錄���。通過調整sshd_config文件可啟用詳細日志��,便于后續審計��。
- 編輯SSH配置文件:
sudo nano /etc/ssh/sshd_config��。
- 關鍵配置項:
LogLevel VERBOSE:設置日志級別為VERBOSE(詳細模式)��,記錄登錄嘗試��、文件傳輸�����、認證失敗等關鍵事件����;Subsystem sftp /usr/lib/openssh/sftp-server -l INFO:強制SFTP子系統記錄INFO級別日志(可調整為DEBUG獲取更詳細信息����,但會增加日志體積)�����。
- 應用配置:保存文件后重啟SSH服務�,
sudo systemctl restart sshd�。
- 日志位置:詳細日志默認存儲在
/var/log/auth.log(Debian/Ubuntu系統)�,可通過tail -f /var/log/auth.log實時查看實時日志����。
2. 使用auditd監控系統調用(深度審計)
auditd是Linux內核級審計工具�,可監控SFTP用戶的文件訪問�、修改���、刪除等底層系統調用���,提供更細粒度的審計能力���。
3. 分析SFTP日志(識別異常行為)
日志審計的核心是通過分析日志發現潛在威脅����,如暴力破解����、未授權訪問���、異常文件傳輸等����。
- 常用工具:
- logwatch:自動化日志分析工具����,可生成每日/每周報告�����,包含SFTP登錄成功/失敗統計�、文件傳輸量等信息�����。安裝后(
sudo apt install logwatch)�,配置/etc/logwatch/conf/services/ssh.conf中的LogFile指向/var/log/auth.log�����,即可定期接收報告�����。
- 實時監控:使用
tail -f /var/log/auth.log實時查看最新日志����,或通過journalctl -f -u sshd(systemd系統)監控SSH服務日志��。
- 關鍵關注點:
- 暴力破解:頻繁的“invalid user”(無效用戶)或“authentication failure”(認證失?�。┯涗?�;
- 異常登錄:非工作時間�����、陌生IP地址的登錄成功記錄����;
- 異常文件操作:大量文件刪除(
unlink)�、修改系統文件(如/etc/passwd)���、訪問敏感目錄(如/root)��。
4. 結合fail2ban防范暴力破解
fail2ban通過監控日志中的失敗嘗試����,自動封禁惡意IP地址�����,減少SFTP服務遭受的暴力破解攻擊���,間接提升審計數據的可信度���。
5. 定期歸檔與保留日志
日志文件長期積累會占用磁盤空間����,且舊日志可能被覆蓋��,因此需要配置日志輪轉和歸檔策略�。
