[RedHat] sftp서버 로그 저장

기본적으로 SFTP 서버는 사용자 활동에 대한 로그를 기록하지 않습니다. 그러나 파일 송수신 중 문제를 해결하거나, 보안 정책상 사용자 기록을 추적해야 할 경우 로그 활성화가 필요합니다. 로그 활성화 방법은 아주 간단하며 레드햇 리눅스의 SSHD데몬에 포함된 기능중 하나인 sftp의 로그 설정 방법에 대해 알아봅니다.

 

환경

Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 9


기본 로그 설정: /var/log/messages에 기록하기

SFTP 로그를 남기기 위해서는 /etc/ssh/sshd_config 파일 내 Subsystem sftp 항목을 수정해야 합니다. 기본 설정은 다음과 같이 주석 처리한 후, 로그 레벨을 명시한 형태로 변경합니다.

[root@rhel8 ~]# vim /etc/ssh/sshd_config
...
# override default of no subsystems
# Subsystem       sftp    /usr/libexec/openssh/sftp-server       --> 기존 설정 주석 처리
Subsystem       sftp    /usr/libexec/openssh/sftp-server -l INFO
...
  • -l <로그 레벨>: INFO 수준의 로그를 남김. 그 외 옵션으로는 QUIET, ERROR, DEBUG 등이 있으며, 로그 양에 따라 조절 가능합니다.
  • -f <로그 채널(facility)>: possible values are: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7

옵션에 관한 자세한 내용은 man 페이지를 참조할 수 있다.

[root@rhel8 ~]# man sftp-server
...
     -f log_facility
             Specifies the facility code that is used when logging messages from sftp-server.  The possible
             values are: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7.
             The default is AUTH.

     -h      Displays sftp-server usage information.

     -l log_level
             Specifies which messages will be logged by sftp-server.  The possible values are: QUIET, FATAL,
             ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, and DEBUG3.  INFO and VERBOSE log transactions that
             sftp-server performs on behalf of the client.  DEBUG and DEBUG1 are equivalent.  DEBUG2 and
             DEBUG3 each specify higher levels of debugging output.  The default is ERROR.

설정이 끝났으면 다음 명령으로 SSHD 데몬을 재시작합니다.

[root@rhel8 ~]# systemctl restart sshd

SFTP 로그 생성 확인

설정 이후 실제 로그가 기록되는지 확인하려면 SFTP 접속을 시도해보면 됩니다. 예를 들어 로컬호스트에 접속하여 디렉토리 목록만 조회해도 로그가 생성됩니다.

[root@rhel8 ~]# sftp localhost
root@localhost's password:
Connected to localhost.
sftp> ls

INFO 레벨로 설정했기 때문에 접속, 디렉토리 열기/닫기 등 모든 기본 활동이 /var/log/messages에 기록됩니다. 로그 사용량이 많거나 로그 파일 크기 증가가 우려된다면, 로그 레벨을 ERROR로 낮추는 것도 고려할 수 있습니다.

[root@rhel8 ~]# vi /var/log/messages
...
Jun 10 14:47:51 rhel8 sftp-server[711037]: session opened for local user root from [::1]
Jun 10 14:47:53 rhel8 sftp-server[711037]: opendir "/root"
Jun 10 14:47:53 rhel8 sftp-server[711037]: closedir "/root"
Jun 10 14:48:48 rhel8 sftp-server[711037]: session closed for local user root from [::1]

별도 파일로 SFTP 로그 분리 기록 (/var/log/sftp.log)

특정 파일에 로그 기록을 위해서는 저널 로그를 파일로 이동시키는 rsyslog설정까지 함께 진행해야 한다. 위에서 로그 레벨만 설정해 주면 로그가 /var/log/messages에 기록이 되는데 이는 이미 기본적으로 rsyslog가 모든 로그를 /var/log/messages에 기록하도록 설정되어 있기 때문이다.

/etc/rsyslog.conf의 아래 내용에 관련 설정이 있다.

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

위 설정은 모든 채널(facility)의 INFO 이상 등급의 로그는 /var/log/messages 파일에 기록하되 mail, authpriv, cron 채널의 로그는 제외한다는 설정이다.

따라서 특정 파일(/var/log/sftp.log)에 로그를 기록하기 위해 sftp 설정에서 로그 채널을 별도로 분리하고 rsyslog 설정에서 해당 채널의 로그를 /var/log/sftp.log 파일에 기록하게 해주면 된다.


1. sftp 로그 설정

로그 레벨은 INFO로 그리고 로그 채널(facility)은 lcoal3으로 설정하였다. local의 번호는 분리 목적이므로 사용하지 않는다면 다른 번호를 입력해도 된다.

먼저, sshd_config에서 로그 채널을 LOCAL3로 지정합니다.

Subsystem       sftp    /usr/libexec/openssh/sftp-server -l INFO -f LOCAL3

2. rsyslog 의 RULE 설정

채널이 local3인 로그는 /var/log/sftp.log파일에 로그를 기록하도록 설정하고 “&~” 규칙을 바로 아래 추가해 처리한 규칙을 더 이상 다른 규칙에 의해 처리되지 않도록 설정한다.

/etc/rsyslog.conf에 다음 라인을 추가합니다.

[root@rhel8 ~]# vim /etc/rsyslog.conf
...
local3.*                        /var/log/sftp.log
&~
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
...

  • &~: 앞에서 처리된 로그 항목을 더 이상 다른 규칙에서 중복 처리하지 않도록 방지
  • 이 설정은 반드시 *.info 라인보다 위에 있어야 우선 적용됩니다.


3. 서비스 재시작

sshd_configrsyslog.conf 설정을 모두 마쳤다면 다음 단계는 두 데몬을 재시작하여 변경 사항을 반영하는 것입니다.

[root@rhel8 ~]# systemctl restart sshd
[root@rhel8 ~]# systemctl restart rsyslog
이제 SFTP 접속 시 로그가 /var/log/sftp.log 파일에만 기록되고, 기존 /var/log/messages 파일에는 중복 저장되지 않습니다. 로그 확인은 다음 명령으로 수행할 수 있습니다.

4. 로그 로테이션 설정

신규 로그 파일인 /var/log/sftp.log에는 기본적으로 로그 로테이션이 설정되어 있지 않으므로 수동으로 등록이 필요합니다. 시스템에 따라 편집해야 할 설정 파일은 다음과 같습니다:

  • RHEL 8: /etc/logrotate.d/syslog

  • RHEL 9: /etc/logrotate.d/rsyslog

해당 파일을 열어 최상단에 로그 파일을 등록합니다.

[root@rhel8 ~]# vim /etc/logrotate.d/syslog
/var/log/sftp.log            --> 파일의 가장 위에 해당 라인 추가
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
        /usr/bin/systemctl -s HUP kill rsyslog.service >/dev/null 2>&1 || true
    endscript
}

추가 설정 없이 등록만 하면, 나머지 옵션은 기존 항목들과 동일하게 적용되어 자동 로테이션 됩니다. RHEL8은 anacron에 의해, RHEL9은 systemd 타이머 유닛을 통해 주기적으로 logrotate.service가 실행되어 파일 순환을 수행합니다.


참조

https://access.redhat.com/articles/1374633

댓글

댓글 쓰기

이 블로그의 인기 게시물

[Linux] RHEL Local YUM Repository 구성

이미지
RHEL(Redhat Enterprise Linux)에 Local YUM Repository 구성하는 방법에 대하여 설명합니다. 레드햇 리눅스 같은 경우 기업환경의 인터넷이 되지 않는 환경에서 사용되는 경우가 많은데 Local YUM Repository를 구성하여 패키지를 쉽게 설치할 수 있습니다.   테스트 환경 • Red Hat Enterprise Linux (RHEL)   Local YUM Repository 구성 목적 Local YUM Repository를 구성하는 방법에 여러 가지가 있지만 가장 간단한 방법인 설치 CD를 이용해 구성하는 방법에 대해 소개합니다. 주로 이 방법은 OS 엔지니어가 RHEL을 설치 후 사용하며, local repo를 서버에 구성한 뒤 철수합니다. 그러면 애플리케이션 측에서 추가 패키지를 요청하여도 서버 관리자분들이 yum 명령어를 사용하여 쉽게 서버에 설치할 수 있습니다.   Local YUM Repository 설정 레드햇 설치 CD에는 기본 RHEL 서브스크립션에서 제공하는 RPM 패키지들이 모두 포함되어 있습니다. 따라서 RHEL을 설치한 버전과 동일한 ISO 파일 이 준비되어 있어야 하며, 이를 통해 로컬 저장소를 구성할 수 있습니다.   VMware Workstation을 기준으로 설명하자면, RHEL ISO 파일을 가상 머신에 마운트 하면 됩니다. ISO 파일이 마운트되면 시스템은 자동으로 /dev/sr0 장치를 생성하게 되며, 이는 udev 에 의해 처리됩니다.   CD가 삽입되면 시스템에서는 /dev/sr0 장치를 자동으로 생성합니다. 이 장치는 **광학 디스크 장치(CD/DVD)**로 인식되며, 이를 확인하는 가장 쉬운 방법은 lsblk 명령어를 사용하는 것입니다. # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 0 2G 0 disk └─mpatha ...
자세한 내용 보기

[Linux Command] sudo command 설명

이미지
  이번 글에서는 Linux 명령어 중 sudo 명령어에 대해 알아보겠습니다. 일반 사용자에게 "root" 권한을 부여하려면 보통 root 계정의 비밀번호를 제공해야 합니다. 이후 사용자는 su 명령어를 통해 root 계정으로 로그인할 수 있습니다. root 계정은 시스템 내 모든 명령을 실행할 수 있는 강력한 권한을 가지고 있기 때문에, 신중한 관리가 필요합니다. 리눅스에 익숙하지 않은 사용자가 root 권한을 사용할 경우, 시스템 운영에 필요한 핵심 파일이 삭제되거나 권한 설정이 변경되는 등의 사고가 발생할 수 있습니다. sudo 기능을 사용하면 root 전체 권한이 아닌 특정 명령어만 일반 사용자에게 허용할 수 있어 이러한 위험을 줄일 수 있습니다. 또한, 사용 권한은 부여하되 root 비밀번호를 공개하지 않아도 된다는 점도 sudo 의 중요한 장점 중 하나입니다.   환경 : Red Hat Enterprise Linux (RHEL)   sudo command 개념 명령어 사용법을 보기 전에, sudo 명령어로 어떤 작업이 가능한지 먼저 알아보겠습니다. 일반 사용자가 /etc/shadow 파일을 열려고 하면 권한 부족으로 인해 파일을 열 수 없습니다. 아래는 실제 출력 예시입니다. 일반유저로 shadow파일 오픈 실패 [user1@localhost ~]$ cat /etc/shadow cat: /etc/shadow: Permission denied 또한 mount 명령어도 일반 사용자 권한으로는 실행할 수 없습니다. 일반 유저로 mount 명령 실패 [user1@localhost sbin]$ mount /dev/sr0 /media mount: only root can do that 이제 일반 사용자에게 mount 명령어만 sudo 를 통해 root 권한으로 실행할 수 있도록 설정해보겠습니다. [user1@localhost ~]$ sudo mount /dev/...
자세한 내용 보기

[Ansible Modules] Fetch module 설명 및 활용

이미지
  Ansible modules 중 하나인 Fetch module에 대해 알아보겠습니다. Fetch는 관리 대상 노드에서 제어 노드로 파일을 복사해 오는 데 사용되는 모듈입니다 Fetch module 이란 Fetch는 영어로 "가져오다"라는 의미입니다. Ansible의 copy 모듈과 반대로 동작하는 기능으로, copy 가 제어 노드에서 관리 노드로 파일을 전송하는 데 사용된다면, fetch 는 그 반대 방향으로, 관리 대상 노드의 파일을 제어 노드로 복사해 오는 데 사용됩니다. 여기서 제어 노드(control node)는 Ansible을 실행하는 노드를, 관리 노드(managed node)는 Ansible로 관리되는 대상 시스템을 의미합니다. Ansible modules(fetch_module) Fetch module 옵션   fetch 모듈에서 주로 사용되는 주요 옵션은 다음과 같습니다: src : 관리 대상 노드에서 복사해 올 파일의 경로입니다. dest : 제어 노드에 파일을 저장할 경로입니다. flat (기본값: false ) false : {{ inventory_hostname }}/path/to/file 형태의 디렉토리 구조로 파일이 저장됩니다. 호스트별로 디렉토리가 생성되므로 여러 노드에서 같은 파일 경로를 가져올 때 유용합니다. true : 파일 경로 구조 없이 파일만 단순 복사됩니다. 이름이 같은 파일은 덮어써지기 때문에, 관리 노드가 하나이거나 파일명이 충돌하지 않는 경우에 적합합니다. 또한 디렉토리를 지정할 경우 dest 경로 끝에 슬래시( / )를 반드시 붙여야 합니다. Fetch module 사용 방법 예제에서는 다음과 같은 인벤토리 파일을 사용합니다. [test] rocky86.lab.example.com rocky84.lab.example.com   예제 1. 기본값( flat: false )으로 파일 가져오기 fetch  모듈을 이용해 관리 노드의...
자세한 내용 보기