Ubuntu SFTP如何监控流量使用

Ubuntu SFTP流量监控实用方案

一 实时连接与端口监控

• 查看当前 SFTP（SSH）会话与进程：使用 ss -tnp | grep sshd 或 netstat -tnp | grep sshd 可列出所有到端口 22 的 TCP 连接、状态与对应进程，便于快速判断活跃会话与来源 IP。
• 实时查看登录与会话事件：使用 sudo journalctl -u sshd.service -f 跟踪 sshd 日志，或使用 sudo tail -f /var/log/auth.log 观察认证与 SFTP 会话的开始、结束与失败尝试。
• 抓包分析 SFTP 流量：使用 sudo tcpdump -i any port 22 -w sftp_traffic.pcap 抓取 SSH/SFTP 流量，后续用 Wireshark 分析会话与数据量特征（注意仅在合规授权范围内抓包）。

二 按用户或目录的流量与访问审计

• 提升日志级别以细化记录：在 /etc/ssh/sshd_config 中设置 LogLevel VERBOSE 或针对特定用户使用 Match User username 设置 LogLevel INFO，然后 sudo systemctl restart sshd。重启后用 journalctl -u sshd -f 或 tail -f /var/log/auth.log 观察更详细的会话与认证信息。
• 文件访问审计：使用 auditd 记录对 SFTP 根目录的访问。示例：
  • 安装：sudo apt-get install auditd audispd-plugins
  • 监控目录：sudo auditctl -w /path/to/sftp/directory -p wa -k sftp_monitor
  • 查询审计日志：sudo ausearch -k sftp_monitor
    该方式能精确记录谁在何时对哪些文件执行了读写等系统调用，适合合规审计与取证。

三 带宽与速率监控

• 实时速率与连接概览：使用 iftop -P -f “tcp port 22” 按端口 22 汇总显示当前带宽占用、源/目的 IP 与实时速率，便于定位大流量会话。
• 按进程统计流量：使用 nethogs -C 可直接按进程（如 sshd）汇总带宽，直观看到每个 SFTP 会话的上传/下载速率。
• 历史与可视化：使用 vnstat -l -i eth0 查看指定网卡（如 eth0）的实时速率与历史统计，适合容量评估与趋势观察。
• 安装命令（如未预装）：sudo apt-get install iftop nethogs vnstat。

四 安全与异常流量处置

• 暴力登录与异常会话阻断：使用 fail2ban 自动封禁恶意 IP。示例配置（/etc/fail2ban/jail.local）：
  • [sshd] enabled = true port = sshd filter = sshd logpath = /var/log/auth.log maxretry = 3 bantime = 600
  • 应用：sudo systemctl restart fail2ban。
    这能显著降低暴力破解对带宽与资源的消耗，并配合日志分析快速处置异常来源。

五 实用组合与落地建议

• 快速排查组合：同时运行 ss -tnp | grep sshd（看会话）、iftop -P -f “tcp port 22”（看带宽）、journalctl -u sshd -f（看事件），可在几秒内定位“谁在传、传多大、传多久”。
• 合规与隐私：抓包与审计涉及用户数据与隐私，务必取得明确授权，最小化采集范围，妥善保护日志与抓包文件。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！