¿Hay una manera fácil de ver un registro de la actividad de SCP en un servidor (ala / var / log / secure para el inicio de sesión ssh)?

Question

¿Hay una manera fácil de ver un registro de la actividad de SCP en un servidor (ala / var / log / secure para el inicio de sesión ssh)?

#1 de schroeder (5 votos)
#2 de Andy Smith (1 votos)

7

En los sistemas Linux, /var/log/secure (o similar, dependiendo de la distribución) muestra toda la actividad de inicio de sesión de SSH. ¿Hay un registro similar para SCP? Si no, ¿cuál es un buen enfoque para habilitar el registro de la actividad de scp en mis servidores? ¿Es SELinux a través de /var/log/audit/audit.log?

forensics ssh logging selinux

pregunta JJC 09.05.2012 - 10:39

fuente

2 respuestas

Lea otras preguntas en las etiquetas forensics ssh logging selinux

¿Cuánto tiempo permanecen las llaves en los servidores de llaves? proveedor de correo web seguro

score 5 · Answer 1

5

Debe ajustar su nivel de registro sshd a DEBUG para ver las conexiones de los clientes de scp.

Mire el /etc/ssh/sshd_config para la directiva "LogLevel".

LogLevel DEBUG

O el scp -o LogLevel para la prueba.

respondido por el schroeder 09.05.2012 - 21:36

fuente

score 1 · Answer 2

SCP usa conexiones SSH para transferir archivos, por lo que los inicios de sesión de SCP deberían aparecer en los mismos registros junto con los inicios de sesión de SSH. De las páginas de manual :

scp copia archivos entre hosts en una red. Utiliza ssh (1) para datos. transferencia, y utiliza la misma autenticación y proporciona la misma seguridad como ssh (1).