如何监控SFTP传输活动

监控 SFTP 传输活动的实用方案

一 服务端日志审计 OpenSSH 与系统日志

• 启用更详细日志：编辑 /etc/ssh/sshd_config，将 LogLevel 提升到 VERBOSE，并确保使用 internal-sftp（便于日志统一）。示例：
  • Subsystem sftp internal-sftp
  • SyslogFacility AUTH
  • LogLevel VERBOSE 修改后执行：systemctl restart sshd。SFTP 会话与文件操作会进入系统认证日志。
• 集中查看与实时跟踪：
  • Debian/Ubuntu：tail -f /var/log/auth.log | grep ‘sshd[’
  • RHEL/CentOS：tail -f /var/log/secure | grep ‘sshd[’
  • systemd 环境：journalctl -f -u sshd
• 细化到 SFTP 子系统日志级别（可选）：如使用外部 sftp-server，可在 subsystem 行追加 -l INFO（或 DEBUG），将日志写入系统日志。注意日志量与性能权衡。
• 日志轮转与留存：使用 logrotate 管理 /var/log/auth.log 或 /var/log/secure，示例策略：
  • daily、rotate 7、compress、delaycompress、missingok、notifempty
  • create 640 root adm；postrotate 可 reload sshd
  • 可叠加 maxsize、olddir 等策略控制体积与归档。

二 文件与目录变更监控

• 基于内容/目录的变更检测：使用 changedetection.io 通过 SFTP 定期抓取关键文件或目录（如 /etc/ssh/sshd_config、上传目录），支持差异比对与多通道告警（邮件、企业微信等）。适合做配置合规与“文件落地即告警”。
• 零侵入与密钥管理：以 sftp://user@host:/path?key_file=/path/id_rsa 方式连接；密钥文件权限建议 600，避免明文口令落地。
• 批量与一致性：对多台 SFTP 服务器的同类文件打标签、分组，启用跨监控比对，快速发现配置漂移。

三 网络层抓包取证

• 快速抓包定位异常会话或协议问题：
  • tcpdump：tcpdump -i eth0 port 22 -w sftp_capture.pcap
  • Wireshark：在接口上捕获后，用显示过滤器 ssh 分析 SFTP/SSH 会话
• 适用场景：排查客户端异常断开、传输中断、认证风暴、带宽异常等网络层问题；不适合长期审计（性能与合规原因）。

四 可视化与告警联动

• 实时日志报表与告警：使用 logwatch 生成日报/周报；配合 swatch 或 fail2ban 对暴力登录、异常失败等进行实时阻断与通知。
• 统一监控平台：将 auth.log/secure 或 journal 输出接入 syslog-ng、ELK/Graylog，结合规则引擎做“上传成功率、失败次数、传输时延、敏感目录访问”等 KPI 与告警。

五 落地配置与最佳实践

• 推荐最小配置清单：
  • 服务端：Subsystem sftp internal-sftp；LogLevel VERBOSE；SyslogFacility AUTH
  • 日志轮转：/etc/logrotate.d/sftp（daily/rotate 7/compress；create 640 root adm）
  • 实时查看：journalctl -f -u sshd 或 tail -f /var/log/{auth.log,secure}
  • 合规监控：changedetection.io 监控关键配置与上传目录，启用密钥认证与最小权限目录
  • 安全加固：禁用 root 登录、限制 SFTP 根目录（Chroot）、仅允许 sftp 组、开启 fail2ban
• 审计字段建议：记录并告警 用户、源 IP、时间、操作类型（上传/下载/删除/重命名）、路径、字节数、会话时长，便于溯源与对账。