在Debian上监控SFTP活动可通过以下方式实现:
命令行工具
ss
/netstat
:查看SFTP连接状态,如sudo ss -tnp | grep sshd
。tcpdump
:捕获SFTP流量(默认端口22),如sudo tcpdump -i any port 22 -w sftp.pcap
。journalctl
:实时查看SSH/SFTP日志,如sudo journalctl -u sshd -f | grep sftp
。日志分析
/var/log/auth.log
(Debian默认日志路径),过滤SFTP相关条目,如sudo tail -f /var/log/auth.log | grep sftp
。安全工具
fail2ban
:监控日志并自动封禁异常IP,需配置/etc/fail2ban/jail.local
启用SSH规则。auditd
:审计系统调用,记录SFTP文件访问行为,需在/etc/audit/rules.d/audit.rules
中添加规则。第三方工具
paramiko
库)自定义监控逻辑。注:部分操作需安装对应工具(如tcpdump
、fail2ban
),可通过sudo apt install <工具名>
安装。