Как логировать действия пользователя OpenSSH SFTP?

Question

[Anton B]

Всем привет.

Создал пользователя с домашней директорией, дал ему доступ по SFTP.
Как логировать его действия: создал файл, удалил файл, изменил файл?

Спасибо!

useradd -m -d /var/www/mysite.ru -s /bin/false mysite

addgroup --system sftp
usermod -G sftp mysite

vi /etc/ssh/sshd_config
	Subsystem sftp internal-sftp
	Match Group sftp
	    ChrootDirectory %h
	    X11Forwarding no
	    AllowTcpForwarding no
	    ForceCommand internal-sftp

Answer 1

[Anton B]

Много чего прочитал, разные решения предлагаются, но я люблю простые решения.

ForceCommand internal-sftp меняем на
ForceCommand internal-sftp -l INFO -f USER
-f USER нужно чтобы логи сваливались не в auth.log, а в user.log. Таким образом логи авторизации по SSH не будут мешаться с логами работы по SFTP.

Дальше возникает проблема, при авторизации через SFTP пользователь ограничен своим окружением (ChrootDirectory), потому в лог файл ничего не пишется. Решить эту проблема можно по разному, но самое простое:

mkdir /var/www/mysite.ru/dev 
touch /var/www/mysite.ru/dev/log 
chmod 511 /var/www/mysite.ru/dev 
chattr +i /var/www/mysite.ru/dev 
mount --bind /dev/log /var/www/mysite.ru/dev/log

То есть просто монтируем в окружение пользователя /dev/log, отсутствие доступа к которому не позволяло вести логи.

Answer 2

[Макс]

pam_tty_audit

Comments

[Anton B]

Извините, не понимаю что вы мне предлагаете.

[Макс]

Anton B: добавьте следующее в конфиг pam - "session required pam_tty_audit.so enable=*" просмотр логов "aureport --tty"

Answer 3

[Влад Животнев]

https://debian.pro/1149

Comments

[Anton B]

Не работает, пробовал. И не работает возможно потому, что в /var/log/auth.log не могут писать кто попало.

[Влад Животнев]

Anton B: в auth.log пишет sshd через syslog-сокет, syslog работает от рута.
Неправильно пробовали значит.

[Anton B]

Как можно неправильно попробовать, шесть символов всего добавить к тому что выше в настройках....

[Влад Животнев]

Anton B: при условии, что там не описан другой sftp, да..
ну и sshd рестартили?

[Anton B]

да, вообще всё один в один. другой sftp закомментирован, перезагружал.