С переводом ваших пользователей/разработчиков с ftp на sftp вы теряете очень важную вещь — логи действий пользователей. sshd по умолчанию не логгирует sftp в нужной нам степени. Настучим ему по шапке и исправим это.
Эта статью можно неплохо дополнить совсем недавней статьей про snoopy. , чтобы получить суммарно достаточно подробную информацию о том, что на вашем сервере делает кто-то, кроме вас.
Как обычно, путь для ленивых:
root@server:~# sed -i 's/Subsystem sftp \/usr\/lib\/openssh\/sftp-server/Subsystem sftp \/usr\/lib\/openssh\/sftp-server -l INFO/' /etc/ssh/sshd_config
root@server:~# /etc/init.d/ssh restart
Для дотошных — открываем файл /etc/ssh/sshd_config, находим там строку, описывающую вызов sftp (по умолчанию — Subsystem sftp /usr/lib/openssh/sftp-server), дописываем к ней -l INFO
В итоге, в логе /var/log/auth.log у нас будут такие записи:
Dec 22 17:15:19 dev sftp-server[23764]: opendir "/"
Dec 22 17:15:19 dev sftp-server[23764]: closedir "/"
Dec 22 17:15:19 dev sftp-server[23764]: opendir "/hom/"
Dec 22 17:15:19 dev sftp-server[23764]: sent status No such file
Dec 22 17:15:22 dev sftp-server[23764]: sent status No such file
Dec 22 17:15:33 dev sftp-server[23764]: opendir "/home/inky"
Dec 22 17:15:33 dev sftp-server[23764]: closedir "/home/inky"
Dec 22 17:17:55 dev sftp-server[23764]: open "/home/inky/rootkit.sh" flags WRITE,CREATE,TRUNCATE mode 0664
Dec 22 17:17:56 dev sftp-server[23764]: close "/home/inky/rootkit.sh" bytes read 0 written 6
Записи понятные, смысл понятен. Вроде всё.
Комментариев пока нет.