审计SCP命令操作的最佳实践

堡垒机不支持对SCP命令进行审计。若您需要通过堡垒机对SCP命令进行审计,可在进行文件传输之前,在本地客户端配置ProxyJump,实现堡垒机对SCP命令操作的审计。

背景信息

ProxyJump是OpenSSH自7.3版本开始引入的一项功能。当个人电脑配置ProxyJump后,您在使用SCP命令上传或文件操作时,SSH客户端会先与堡垒机建立安全连接,然后再通过堡垒机与目标主机通信,从而实现堡垒机对SCP命令的审计。

前提条件

配置ProxyJump

  1. 登录本地Linux系统。

  2. 执行以下命令,在.ssh目录下创建config文件并进行配置。

    vim ~/.ssh/config

    配置内容如下:

    #-------堡垒机配置---------#
    
    # 堡垒机别名
    Host bastion
        # 堡垒机运维地址
        HostName ****-public.bastionhost.aliyuncs.com 
        # 堡垒机默认端口60022
        Port 60022 
        # 堡垒机用户
        User bastion-user
    #-------主机配置---------#
    
    # 主机别名
    Host target-host-A 
        # 托管至堡垒机的主机IP
        HostName 192.168.XX.XX 
        # 主机用户名
        User tagert-user
        # 配置ProxyJump。即当执行SCP命令时会先连接堡垒机bastion,再通过堡垒机连接主机target-host-A
        ProxyJump bastion 
    #--------可配置多个主机--------#
    #Host target-host-B
    #    HostName 192.168.XX.XX 
    #    User tagert-user
    #    ProxyJump bastion 
  3. 使用SCP命令将文件上传到目标主机或下载到本地。示例如下:

    • 上传文件至目标主机示例:

      表示将本地file-name.txt文件上传至目标主机(target-host-A)的home目录下。

      scp /file-name.txt target-host-A:/home/
    • 下载文件至本地示例:

      表示将目标主机(target-host-A)中的file-name.txt文件下载至本地home目录下。

      scp target-host-A:/file-name.txt /home/

查看堡垒机审计记录

登录堡垒机查看SCP命令操作审计记录。具体操作,请参见搜索和查看会话

image