在Debian上监控SFTP活动可通过以下方式实现:
命令行工具
ss/netstat:查看SFTP连接状态,如sudo ss -tnp | grep sshd。tcpdump:捕获SFTP流量(默认端口22),如sudo tcpdump -i any port 22 -w sftp.pcap。journalctl:实时查看SSH/SFTP日志,如sudo journalctl -u sshd -f | grep sftp。日志分析
/var/log/auth.log(Debian默认日志路径),过滤SFTP相关条目,如sudo tail -f /var/log/auth.log | grep sftp。安全工具
fail2ban:监控日志并自动封禁异常IP,需配置/etc/fail2ban/jail.local启用SSH规则。auditd:审计系统调用,记录SFTP文件访问行为,需在/etc/audit/rules.d/audit.rules中添加规则。第三方工具
paramiko库)自定义监控逻辑。注:部分操作需安装对应工具(如tcpdump、fail2ban),可通过sudo apt install <工具名>安装。