Category: SFTP

Posted on

[命令] SFTP 常用命令

内容一:SFTP 显示相关

1.1 显示目录或文件

1.1.1 显示远程的目录或文件
sftp> ls
1.1.2 显示本地的目录或文件
sftp> lls

1.2 显示目录路径

1.2.1 显示远程目录路径
sftp> pwd
1.2.2 显示本地目录路径
sftp> lpwd

1.3 显示协议版本

sftp> version

1.4 显示帮助信息

sftp> help

内容二:SFTP 目录相关

2.1 创建目录

2.1.1 创建远程目录
sftp> mkdir <directory>
2.1.2 创建本地目录
sftp> lmkdir <directory>

2.2 删除目录

2.2.1 删除远程目录
sftp> rmdir <directory>
2.2.2 删除本地目录
sftp> lmkdir <directory>

2.3 修改目录下

2.3.1 修改目录的所属主
sftp> chown <user> <directory>
2.3.2 修改目录的所属组
sftp> chgrp <group> <directory>
2.3.3 修改目录权限
sftp> chmod <privilege> <directory>

2.4 进入目录

2.4.1 进入远程目录
sftp> cd <directory>
2.4.2 进入本地目录
sftp> lcd <directory>

内容三:SFTP 文件相关

3.1 删除文件

3.1.1 删除远程文件
sftp> rm <file>
3.1.2 删除本地文件
sftp> lrm <file>

3.2 移动文件

移动远程文件

sftp> mv <file>

内容四:上传和下载

4.1 从远程下载文件到本地
sftp> get <file>
4.2 从本地上传文件到远程
sftp> put <file>

内容五:SFTP 管理相关

退出 SFTP

sftp> exit

或者:

sftp> quit
Posted on

[排错] 解决 SFTP 登录时报错 “client_loop: send disconnect: Broken pipe ……”

报错代码

client_loop: send disconnect: Broken pipe
Connection closed.  
Connection closed

分析

SFTP 目录的所属主必须是 root,权限最高只能是 755,否则就算此目录的所属主是此 SFTP 用户也会报错

解决方法

步骤一:将 SFTP 目录的所属主设置为 root

# chown root: <sftp directory>

步骤二:将 SFTP 目录的权限设置为 755

# chmod 755 <sftp directory>
Posted on

[内容] SFTP 的配置案例

案例一:将 SFTP 用户的家目录作为 SFTP 用户的 SFTP 目录,让 SFTP 用户通过 SFTP 登录时被限制在自己的家目录里,并使用 2200 端口

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......
Subsystem       sftp    internal-sftp
Match LocalPort 2200
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory %h
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

(补充:这里以将 /etc/ssh/sshd_config 最为 SFTP 的配置文件为例)

(注意:SFTP 目录的所属主必须是 root,权限最高只能是 755,否则就算此目录的所属主是此 SFTP 用户也会报错)

案例二:将根目录下以和 SFTP 用户名同名的目录作为此 SFTP 用户的 SFTP 目录,让此 SFTP 用户通过 SFTP 登录时被限制在根目录下以和自己用户名同名的目录里,但是此设置只适用于组是 sftpuser 的用户

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......
Subsystem       sftp    internal-sftp
Match Group sftpuser
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory /%u
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

(补充:这里以将 /etc/ssh/sshd_config 最为 SFTP 的配置文件为例)

(注意:SFTP 目录的所属主必须是 root,权限最高只能是 755,否则就算此目录的所属主是此 SFTP 用户也会报错)

案例三:将根目录下以和 SFTP 用户名同名的目录作为此 SFTP 用户的 SFTP 目录,让此 SFTP 用户通过 SFTP 登录时被限制在根目录下以和自己用户名同名的目录里,但是此设置只适用于用户 sftpuser

# vim /etc/ssh/sshd_config

将以下内容:

......
Subsystem       sftp ......
......

修改为:

......
# Subsystem       sftp ......
......

并添加以下内容:

......
Subsystem       sftp    internal-sftp
Match User sftpuser
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory /%u
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

(补充:这里以将 /etc/ssh/sshd_config 最为 SFTP 的配置文件为例)

(注意:SFTP 目录的所属主必须是 root,权限最高只能是 755,否则就算此目录的所属主是此 SFTP 用户也会报错)

Posted on

[步骤] audit 的设置 (日志保存时间)

方法一:通过 audit 配置文件设置

1.1 设置 audit 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下:

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......


补充:这里以
1) 开启 audit 日志 (local_events = yes) (write_logs = yes)
2) 将 audit 日志写入 /var/log/audit/audit.log 文件 (log_file = /var/log/audit/audit.log)
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志 (max_log_file = 8) (max_log_file_action = ROTATE),也可以修改成: max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份 (num_logs =5)
为例

1.2 让设置的 audit 时间生效

# service auditd restart

方法二:通过 logrotate 配置文件设置

2.1 设置 audit 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容:

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}


补充:这里以:
1) 备份的日志文件保留 30 份 (rotate 30)
2) 每天将现在的日志文件进行备份并生成新的日志文件 (dayly)

2.2 让设置的 audit 时间生效

# systemctl restart logrotate.service
Posted on

[步骤] SFTP 日志的开启 (禁止 SFTP 用户 SSH 登录、限制 SFTP 用户可进入的目录范围和端口分离版)

注意:

在禁止 SFTP 用户 SSH 登录、限制 SFTP 用户可进入的目录和端口分离的情况下开启 SFTP 日志前,要先设置 SFTP 相应的安全项:

SFTP 安全
(禁止 SFTP 用户 SSH 登录、
限制 SFTP 用户可以进入的目录
和端口分离版)

正文:

步骤一:开启 SFTP 日志

1.1 开启 SFTP 的登录日志

1.1.1 修改配置文件 /etc/ssh/sshdsftp_config,开启 sshdsftp 的日志功能
# vim /etc/ssh/sshdsftp_config

将部分内容修改如下:

......
LogLevel INFO
......
1.1.2 让修改的配置生效
# systemctl restart sshdsftp.service

1.2 开启 SFTP 的文件日志

1.2.1 修改 /etc/audit/auditd.conf 配置文件,指定 auditd 日志的存放位置
# vim /etc/audit/auditd.conf

将部分内容修改如下:

......
log_file = /var/log/audit/audit.log
......
1.2.2 修改 /etc/audit/rules.d/audit.rules 配置文件,监控用于 SFTP 服务器的目录以及目录下的目录和文件
# vim /etc/audit/rules.d/audit.rules

添加以下内容:

......
-a exit,always -F dir=/sftpuser -F perm=rwxa

(补充:这里以添加 /sftpuser 目录为例)

1.2.2 让修改的配置生效
# service auditd restart

步骤二:显示 SFTP 日志

2.1 显示 SFTP 的登录日志

# cat /var/log/messages | grep systemd-logind


补充:这里会显示
1) 用户
2) 用户的登录时间
3) 用户的退出时间

(注意:普通用户的登录记录也在里面)

2.2 显示 SFTP 的文件日志

# cat /var/log/audit/audit.log


补充:这里会显示
1) 用户
2) 操作的时间
2) 被操作的文件
3) 被操作的动作 (创建、删除和显示)

或者:

# sudo ausearch -i -k user-modify

(补充:这里以显示文件被修改的记录为例)