Hace ya un par de meses escribí la forma de configurar el sistema sftp como una jaula chroot, para que todos los usuarios que accedan al sistema queden "dentro" de la carpeta para la que tienen permisos y así no anden de cotillas por el resto del sistema. En sistemas compartidos esto es perfecto, ya que cada usuario tiene su espacio, por ejemplo, su página web, y de ahí no se mueve.
Sin embargo siempre se suele dar el caso de que alguien protesta por algo que hizo y no lo recuerda. Un fichero no tiene el contenido que debería, una carpeta desapareció, hay una carpeta que no debería, etc. Para evitar esos problemas sftp tiene la opción de escribir todo lo que un usuario está a realizar y así evitar que tengamos ese problema. Si recordamos un poco, para habilitar el sistema sftp en el servidor ssh tenemos que crear el siguiente contenido,
... Subsystem sftp internal-sftp ....
Pues bien, si leemos el man de sftp, podemos observar que existe una opción, -l log_level que hace justamente lo que nos interesa, por lo tanto sólo queda añadirla a la línea de sftp
... Subsystem sftp internal-sftp -l INFO ....
Y relanzar el servicio ssh,
shell service sshd restart
Tras ello, el resultado que observamos es el siguiente,
Oct 12 16:52:23 s1 sftp-server[28846]: mkdir name "/tmp/aa" mode 0777 Oct 12 16:52:26 s1 sftp-server[28846]: opendir "/tmp/aa" Oct 12 16:52:26 s1 sftp-server[28846]: closedir "/tmp/aa" Oct 12 16:52:26 s1 sftp-server[28846]: rmdir name "/tmp/aa"
Un log perfectamente depurado de las acciones del usuario, para así estar protegidos ante eventuales contratiempos.
No hay comentarios :
Publicar un comentario