怎样监控SFTP活动

监控 SFTP 活动的实用方案

一 日志与审计基线

• 系统日志定位与实时查看
  • 在 RHEL/CentOS 上，SSH/SFTP 日志通常写入 /var/log/secure；在 Debian/Ubuntu 上通常为 /var/log/auth.log。
  • 实时查看：执行 sudo tail -f /var/log/secure 或 sudo tail -f /var/log/auth.log；过滤 SFTP 子系统：sudo grep 'sftp' /var/log/secure。
• 提升日志细节
  • 在 /etc/ssh/sshd_config 调整子系统与日志级别，例如：
    • Subsystem sftp internal-sftp -l INFO -f AUTH
      或
    • Subsystem sftp /usr/lib64/ssh/sftp-server -l INFO -f AUTH
  • 修改后重启服务：sudo systemctl restart sshd。
• 审计关键文件与目录（auditd）
  • 安装并启用：sudo yum install audit -y && sudo systemctl enable --now auditd。
  • 对日志与 SFTP 根目录设置“写/属性”监控：
    • sudo auditctl -w /var/log/secure -p wa -k sftp_log
    • sudo auditctl -w /srv/sftp -p wa -k sftp_root（示例目录，按实际调整）
  • 查询审计记录：sudo ausearch -k sftp_log 或 sudo ausearch -k sftp_root。
• 日志集中与可视化
  • 使用 ELK（Elasticsearch/Logstash/Kibana） 或 rsyslog 将 /var/log/secure 或 /var/log/auth.log 汇聚到集中平台，便于检索、告警与可视化。

二 网络层与实时连接监控

• 抓包分析
  • 抓取 22 端口流量：sudo tcpdump -i any port 22 -w sftp_traffic.pcap；后续用 Wireshark 打开 .pcap 文件进行细粒度分析。
• 实时连接与带宽
  • 查看当前连接：ss -tnp | grep :22 或 netstat -tnp | grep :22。
  • 观察接口带宽：iftop 或 nload（注意这类工具不解析 SFTP 协议内容，仅反映流量级别）。
• 合规提示
  • 抓包与流量监控可能涉及隐私与合规要求，实施前请确保具备合法授权并遵循相关法规。

三 关键指标与告警规则示例

• 快速统计示例
  • 统计某用户的 SFTP 连接次数：grep 'sftp.*username' /var/log/secure | wc -l
  • 查找失败登录尝试：grep 'Failed password' /var/log/secure 或 grep 'Login incorrect' /var/log/auth.log
  • 审计日志检索：sudo ausearch -k sftp_log 或 sudo ausearch -k sftp_root

四 集中化与自动化实践

• 日志集中与可视化
  • 使用 rsyslog 将 auth/secure 转发至 Logstash，再由 Elasticsearch 存储、Kibana 展示与告警；在 Kibana 中建立索引模式（如 sftp-logs-*）并配置可视化面板与阈值告警。
• 主机与应用指标联动
  • 通过 Prometheus Node Exporter 采集系统资源指标，在 Grafana 与 SFTP 日志面板联动展示，用于容量与异常关联分析。
• 文件变更监控
  • 对关键配置或上传目录，使用 changedetection.io 通过 SFTP 定期拉取并比对内容，支持正则过滤与多渠道通知，适合“配置漂移”和“上传文件合规”的轻量监控场景。

五 安全与合规要点

• 最小权限与目录隔离：为 SFTP 用户配置 chroot，仅授予所需目录的读写权限，避免使用 root 直连。
• 密钥与口令策略：优先使用 SSH 密钥，禁用口令登录；定期轮换密钥并限制可登录来源。
• 日志保护：对 /var/log/secure 与 /var/log/audit/audit.log 设置不可随意修改的权限与完整性保护（如只读挂载、不可删除/截断）。
• 合法合规：抓包、内容审计与用户行为监控需事先明确授权与告知，满足本地数据保护法规与审计要求。