如何在Debian上监控SFTP活动

在Debian上监控SFTP活动可通过以下方式实现：

1. 查看系统日志

   • 使用 journalctl 实时查看SSH服务日志（含SFTP活动）：
     sudo journalctl -u sshd -f
   • 或直接查看 /var/log/auth.log：
     sudo tail -f /var/log/auth.log | grep sftp

2. 网络连接监控

   • 用 ss 或 netstat 查看SFTP（默认端口22）连接状态：
     sudo ss -tnp | grep sshd
sudo netstat -tnp | grep sshd

3. 流量捕获与分析

   • 用 tcpdump 抓取SFTP流量（需安装）：
     sudo tcpdump -i any port 22 -w sftp_traffic.pcap
     可通过Wireshark等工具分析抓取的流量。

4. 使用专用工具

   • Fail2ban：监控日志并自动封禁异常IP，需配置 /etc/fail2ban/jail.local。
   • auditd：审计系统调用，记录SFTP相关操作（需安装并配置规则）。

5. 传输进度监控

   • 通过SFTP客户端（如FileZilla）图形界面查看实时进度。
   • 命令行使用 pv 工具监控文件传输进度（需安装）：
     pv -lep -s <文件大小> sftp://user@host/path > /local/path。

注：部分操作需安装对应工具（如tcpdump、pv），且涉及安全配置时建议先备份配置文件。