Logs SFTP

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Logs SFTP

robinou

Bonjour,

Je souhaiterai avoir les logs lorsqu'on effectue un transfert en SFTP.

Mon fichier ssh_config est composé :

# Logging
SyslogFacility AUTH
LogLevel INFO
Subsystem sftp internal-sftp -l INFO -f AUTH

Et mon fichier rsyslog :

auth,authpriv.*                 /var/log/auth.log

Je ne comprends pas trop pourquoi dans les logs auth.log je n'ai que les connexions des utilisateurs en sshd et rien venant du server-sftp, j'ai beau changer les LogLevel jusqu'à DEBUG3 rien n'y fait.

Si quelqu'un a une solution à ce petit problème, je suis preneur

Je vous remercie

balou86

Chez moi ça marche plutot bien ...

Mar  9 15:00:48 sftp-server[18724]: opendir "/home/thewintch/torrents/BtN"
Mar  9 15:00:48 sftp-server[18724]: closedir "/home/thewintch/torrents/BtN"
Mar  9 15:00:55 sftp-server[18724]: opendir "/home/thewintch/torrents/BtN/Banshee"
Mar  9 15:00:55 sftp-server[18724]: closedir "/home/thewintch/torrents/BtN/Banshee"
Mar  9 15:00:58 sftp-server[18724]: open "/home/thewintch/torrents/BtN/Banshee/Banshee.S03E09.720p.HDTV.x264-KILLERS.mkv" flags READ mode 0666
Mar  9 15:01:06 sftp-server[18724]: close "/home/thewintch/torrents/BtN/Banshee/Banshee.S03E09.720p.HDTV.x264-KILLERS.mkv" bytes read 5439488 written 0
Mar  9 15:01:12 sftp-server[18724]: session closed for local user thewintch from [185.xx.x.xxx]

Mon sshd_config :

Subsystem sftp /usr/lib/openssh/sftp-server -l INFO -f AUTH

J'avais jamais testé tiens ...
tes utilisateurs ils seraient pas chrootés des fois ? il me semble que dans ce cas ça merde mais je t'avoue jamais m’être penché sur la question....

*EDIT : dsl, j'avais pas fait gaffe a ta config...c'est bien ton chroot qui met la pagaille, il faut que tu contournes ce pb en créant un /dev/log dans chaque /user/ chrooté , puis ajouter un socket pour chaque ds rsyslog blablabeurk BREF tu trouveras moultes explications un peu partout

Tu nous raconteras ta soluce ? ça a l'air un peu relou a faire ....

robinou

Oui mes utilisateurs sont bien chrooter dans leurs répertoires respectifs. Ca marche, je vais essayer et si j'y arrive je le poste.

En tout cas merci de la réponse

robinou

Bon voilà ça fonctionne, si quelqu'un est intéressé par la solution.

Mon fichier sshd :

Match User user1,user2
	ChrootDirectory /home/%u
	X11Forwarding no
	ForceCommand internal-sftp -l VERBOSE -f LOCAL6

Si comme dans mon cas, les utilisateurs ne sont pas dans le root filesystem. Il faut modifier le fichier syslog ou rsyslog :

# For SFTP logging
local6.*                        /var/log/sftp.log
# Create an additional socket for some of the sshd chrooted users.
$AddUnixListenSocket /home/sftp.log.socket
# Log internal-sftp in a separate file
:programname, isequal, "internal-sftp" -/var/log/sftp.log
:programname, isequal, "internal-sftp" ~

Explication : You will see verbose sftp logging being produced in the /var/logmessages for each chroot’ed user, where by default this should go to the daemon.log. The reason for this is that the chroot’ed sftp process can not open /dev/log as this is not within the chrooted filesystem.

Chaque utilisateur doit avoir son log :

mkdir /home/user1/dev
chmod 755 /home/user1/dev
ln /home/sftp.log.socket /home/user1/dev/log

Puis relancer les services SSH et RSYSLOG.

Par contre, les messages sont en doubles dans le sftp.log je ne sais pas encore trop pourquoi.

Source

balou86

Cool!

Merci pour le retour.

Et pour le double log...aucune idée

n3xT

hello,

merci pour ce tuto,

malheureusement en tenant compte de ta solution les logs ne s'affiche tjs pas..
as tu fait qqch de plus qu'expliquer plus haut ?

merci

robinou

Hi,

Non, je n'ai rien fait de plus .. Si ça marche pas, tu supprimes le dev/log et tu le recrées.

J'espère que ça marchera

n3xT

ce que je en comprends pas c'est ton :

# Create an additional socket for some of the sshd chrooted users.
$AddUnixListenSocket /sftp/sftp.log.socket

où est creer le folder /sftp ?

robinou

Ah en effet, il y a une faute sur cette ligne par rapport à celle qui est écrite en dessous.

Il faut mettre dans le fichier rsyslog :

$AddUnixListenSocket /home/sftp.log.socket

Ce qui est bien en lien avec :

ln /home/sftp.log.socket /home/user1/dev/log

n3xT

mhh.. en essayant de creer le lien je me retrouve avec cette erreur..

ln /home/sftp.log.socket /home/user1/dev/log
ln: impossible de créer le lien direct « /home/user1/dev/log » => « /home/sftp.log.socket »: Lien croisé de périphéque invalide

j'ai pourtant bien les logs de mon user root dans /var/log/sftp.log
et le fichier sftp.log.socket est présent dans le /home général..

robinou

C'est bien sur la même partition ?

n3xT

négatif, les 4 users on des /home respectifs sur différentes partition..

robinou

Ah c'est pour cela que ça fonctionne pas.

Tu peux essayer avec la commande : ln -s

Soit :

ln -s /home/sftp.log.socket /home/user1/dev/log

J'espère que cela va fonctionner.

Robin

n3xT

merci pour le tips.. ça fonctionne pour le lien avec cette commande mais malheureusement pour moi le sftp.log.socket dans /home reste vide..

j'avoue que je sèche .. comme si les users chrooted ne voulais pas faire de logs, alors que le socket est ajouté dans le rsyslog.conf comme décris plus haut..

robinou

Hello,

J'avoue que je commence à sécher également ..

Je sais que parfois, qu'une fois quand ça marchait pas, j'ai recommencé toute la procédure :

mkdir /home/user1/dev
chmod 755 /home/user1/dev
ln /home/sftp.log.socket /home/user1/dev/log

Et redémarrer rsyslog.

Robin