Bastionhost不支援對SCP命令進行審計。若您需要通過Bastionhost對SCP命令進行審計,可在進行檔案傳輸之前,在本地用戶端配置ProxyJump,實現Bastionhost對SCP命令操作的審計。
背景資訊
ProxyJump是OpenSSH自7.3版本開始引入的一項功能。當個人電腦配置ProxyJump後,您在使用SCP命令上傳或檔案操作時,SSH用戶端會先與Bastionhost建立安全連線,然後再通過Bastionhost與目標主機通訊,從而實現Bastionhost對SCP命令的審計。
前提條件
請確保本地用戶端與Bastionhost網路連接正常且可以正常登入Bastionhost。如何排查,請參見用戶端串連Bastionhost相關問題。
已將主機授權給Bastionhost使用者。具體操作,請參見為使用者授權資產及資產賬戶或為使用者授權資產組及資產組賬戶。
用戶端需使用OpenSSH 7.3及以上版本。
配置ProxyJump
登入本地Linux系統。
執行以下命令,在
.ssh目錄下建立config檔案並進行配置。vim ~/.ssh/config配置內容如下:
#-------Bastionhost配置---------# # Bastionhost別名 Host bastion # Bastionhost營運地址 HostName ****-public.bastionhost.aliyuncs.com # Bastionhost預設連接埠60022 Port 60022 # Bastionhost使用者 User bastion-user #-------主機配置---------# # 主機別名 Host target-host-A # 託管至Bastionhost的主機IP HostName 192.168.XX.XX # 主機使用者名稱 User tagert-user # 配置ProxyJump。即當執行SCP命令時會先串連Bastionhostbastion,再通過Bastionhost串連主機target-host-A ProxyJump bastion #--------可配置多個主機--------# #Host target-host-B # HostName 192.168.XX.XX # User tagert-user # ProxyJump bastion使用SCP命令將檔案上傳到目標主機或下載到本地。樣本如下:
上傳檔案至目標主機樣本:
表示將本地
file-name.txt檔案上傳至目標主機(target-host-A)的home目錄下。scp /file-name.txt target-host-A:/home/下載檔案至本地樣本:
表示將目標主機(target-host-A)中的
file-name.txt檔案下載至本地home目錄下。scp target-host-A:/file-name.txt /home/
查看Bastionhost審計記錄
登入Bastionhost查看SCP命令Action Trail記錄。具體操作,請參見搜尋和查看會話。
