質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Q&A

解決済

1回答

2692閲覧

ChrootされたSFTPの詳細ログがrsyslogで取得できません。

ichitwimi

総合スコア15

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

0グッド

0クリップ

投稿2018/03/18 14:23

前提・実現したいこと

今回作成するchrootされたSFTPサーバ(Amazon Linux 2)において、
SFTPの詳細ログを取得したい。

該当サーバのバージョン情報

  • Amazon Linux 2 (※1)
  • OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
  • rsyslog.24.0 (Release 2,amzn2)

※1 ローカルで構築した CentOS 7.4.1708 でも同様の事象が発生しています。

概要

今回、SFTPサーバ(OpenSSH)を構築したいと考えております。
そのSFTPサーバは下記を必須条件としております。

  1. SFTP接続するユーザーは、SFTP専用とする。(SSH接続不可)
  2. 当該SFTPサーバは複数名の利用が想定される。
  3. 自信が格納したファイルしか閲覧できない。

(他ユーザーが格納したファイルは閲覧させない。)
0. SFTP転送における詳細なログを取得する。

これらの必須条件のうち、上記4だけ実現ができません。

なお、chrootされたSftp-serverからUNIXドメインソケットを経由させるため、ChrootDirectory/dev/log の作成は行っております。

解決策を模索しているのですが、全く見当がつかず、何らか考えらえる可能性をご教示いただけないでしょうか。

構築状況(各種コンフィグ内容)

OpenSSHのChrootを用いて、上記必須条件1~3は解決しております。

各種コンフィグファイルは下記の通り編集しております。
なお、下記コードは前述の必須条件以外に、下記2点を想定しています。

  1. SFTP接続を行うユーザーは全て、sftp_usersグループに参加させる。
  2. 下記コード上では test_user でのSFTP接続を想定し、接続するユーザーが増えれば、下記(※2)の行を追記していく運用とする。
  • /etc/ssh/sshd_config
下記コードを追記(変更)しています。    Subsystem sftp internal-sftp -f local5 -l VERBOSE    Match Group sftp_users ChrootDirectory /chroot/%u    ForceCommand internal-sftp
  • /etc/rsyslog.conf
下記コードを追記(変更)しています。    local5.* /var/log/sftp.log $ModLoad imuxsock $AddUnixListenSocket /chroot/test_user/dev/log(※2)
  • (参考)ChrootDirectoryにあたる /chroot/test_user の権限

 ※ ChrootDirectoryの権限には留意する必要があるという記述を見たため

drwxr-xr-x 3 root root 20 Mar 18 01:28 chroot

恐れ入りますが、ご教示のほどよろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

ForceCommand internal-sftp の方にもオプションが必要だと思います。

Match Group sftp_users ChrootDirectory /chroot/%u ForceCommand internal-sftp -f local5 -l VERBOSE

投稿2018/03/19 01:35

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ichitwimi

2018/03/19 01:48

TaichiYanagiya様 ご教示ありがとうございます。 いただきましたアドバイスで無事解決いたしました。 心より感謝いたします。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問