1 linux ubuntu file-server sftp
我必须负责我们用作文件服务器的 Ubuntu Linux 机器。我之前几乎没有使用 Linux 的经验。我试图处理的一件事是一堆非常大的文件,有人正在将这些文件传输到该服务器并耗尽所有可用空间。我四处询问,没有人使用这些文件或知道它们来自哪里。我不想每天都登录来删除这些文件,但我不知道由谁来追踪它们的来源。我所知道的是,这些文件很可能通过 sftp 被推送到我们的服务器,并且我们没有从某个地方提取文件(我还没有找到任何执行此操作的 cron 作业)。有什么方法可以让我找出这些文件的来源并可能阻止它们吗?
几个想法:
是否有每个人用来连接服务器的通用 SFTP 用户名和密码,或者每个人都有自己的用户名?如果他们每个人都有自己的用户名,您可以使用 . 查看文件的所有者ls -l path/to/file。
由于 SFTP 运行在 SSH 之上,因此您可以检查身份验证登录/var/log/auth.log以了解谁登录以及何时登录。您可以检查大文件中的创建时间,看看是否可以关联创建/登录时间。该auth.log文件包含每次尝试登录计算机的 IP 地址和用户名。获得 IP 地址后,您可以进行反向 DNS 查找(即使用 )dig @your_nameserver -x offending_ip +short,或者进行您能想到的任何其他网络侦察。
至于一旦发现谁用完了所有空间该怎么办,这取决于谁在使用您的文件服务器。如果它是一个公共文件服务器,禁止该 IP 似乎是合理的,但如果有人意图滥用您的服务,他们可以通过另一个 IP 进行代理,然后再做一遍。如果它是您组织的内部文件服务器,您可能想与犯罪者交谈(如果您可以找到他们)。起草一套简单的使用文件服务器的规则(即不要上传大文件)并将其发布到人们可以看到的地方可能是值得的。