堡垒机不支持对SCP命令进行审计。若您需要通过堡垒机对SCP命令进行审计,可在进行文件传输之前,在本地客户端配置ProxyJump,实现堡垒机对SCP命令操作的审计。
背景信息
ProxyJump是OpenSSH自7.3版本开始引入的一项功能。当个人电脑配置ProxyJump后,您在使用SCP命令上传或文件操作时,SSH客户端会先与堡垒机建立安全连接,然后再通过堡垒机与目标主机通信,从而实现堡垒机对SCP命令的审计。
前提条件
请确保本地客户端与堡垒机网络连接正常且可以正常登录堡垒机。如何排查,请参见客户端连接堡垒机相关问题。
客户端需使用OpenSSH 7.3及以上版本。
配置ProxyJump
登录本地Linux系统。
执行以下命令,在
.ssh
目录下创建config
文件并进行配置。vim ~/.ssh/config
配置内容如下:
#-------堡垒机配置---------# # 堡垒机别名 Host bastion # 堡垒机运维地址 HostName ****-public.bastionhost.aliyuncs.com # 堡垒机默认端口60022 Port 60022 # 堡垒机用户 User bastion-user #-------主机配置---------# # 主机别名 Host target-host-A # 托管至堡垒机的主机IP HostName 192.168.XX.XX # 主机用户名 User tagert-user # 配置ProxyJump。即当执行SCP命令时会先连接堡垒机bastion,再通过堡垒机连接主机target-host-A ProxyJump bastion #--------可配置多个主机--------# #Host target-host-B # HostName 192.168.XX.XX # User tagert-user # ProxyJump bastion
使用SCP命令将文件上传到目标主机或下载到本地。示例如下:
上传文件至目标主机示例:
表示将本地
file-name.txt
文件上传至目标主机(target-host-A)的home
目录下。scp /file-name.txt target-host-A:/home/
下载文件至本地示例:
表示将目标主机(target-host-A)中的
file-name.txt
文件下载至本地home
目录下。scp target-host-A:/file-name.txt /home/
查看堡垒机审计记录
登录堡垒机查看SCP命令操作审计记录。具体操作,请参见搜索和查看会话。
文档内容是否对您有帮助?