Praktik terbaik untuk mengaudit operasi berbasis SCP - Bastionhost

Bastionhost tidak mendukung audit perintah Secure Copy (SCP). Untuk mengaudit operasi berbasis SCP menggunakan Bastionhost, Anda dapat mengonfigurasi ProxyJump di komputer lokal sebelum menjalankan perintah SCP untuk mentransfer file.

Informasi latar belakang

ProxyJump didukung oleh OpenSSH versi 7.3 dan yang lebih baru. Saat menjalankan perintah SCP untuk mengunggah atau mengunduh file dari klien SSH pada komputer yang dikonfigurasi dengan ProxyJump, klien SSH pertama-tama akan membuat koneksi aman ke host bastion. Kemudian, klien SSH berkomunikasi dengan host target melalui host bastion. Dengan cara ini, Anda dapat menggunakan host bastion untuk mengaudit operasi berbasis SCP.

Prasyarat

Klien lokal harus terhubung ke host bastion, dan Anda harus dapat masuk ke host bastion dari klien tersebut. Untuk informasi lebih lanjut tentang pemecahan masalah terkait, lihat FAQ tentang Koneksi antara Klien dan Host Bastion.
Host dan akun host tempat Anda ingin melakukan operasi O&M harus dikelola oleh host bastion. Untuk informasi lebih lanjut, lihat Tambahkan Host dan Kelola Akun Host.
Pengguna yang digunakan untuk mengakses host bastion harus memiliki otorisasi untuk mengelola host. Untuk informasi lebih lanjut, lihat Otorisasi Pengguna untuk Mengelola Host atau Otorisasi Pengguna untuk Mengelola Grup Host.
Klien harus menggunakan OpenSSH versi 7.3 atau yang lebih baru.

Konfigurasikan ProxyJump

Masuk ke komputer Linux lokal.

Jalankan perintah berikut untuk membuat file config di direktori .ssh dan konfigurasikan parameter-parameter yang diperlukan.

vim ~/.ssh/config

Contoh kode berikut menunjukkan cara mengonfigurasi parameter:

#-------Konfigurasi host bastion---------#

# Alias host bastion.
Host bastion
    # Alamat O&M host bastion.
    HostName ****-public.bastionhost.aliyuncs.com 
    # Nomor port host bastion. Port default adalah 60022.
    Port 60022 
    # Pengguna host bastion.
    User bastion-user
# -------Konfigurasi host yang dikelola oleh host bastion---------#

# Alias host.
Host target-host-A 
    # Alamat IP host.
    HostName 192.168.XX.XX 
    # Nama pengguna host.
    User tagert-user
    # Konfigurasikan ProxyJump. Saat Anda menjalankan perintah SCP, klien SSH terhubung ke host bastion dan kemudian terhubung ke host target-host-A menggunakan host bastion.
    ProxyJump bastion 
# --------Dukungan untuk beberapa host--------#
#Host target-host-B
#    HostName 192.168.XX.XX 
#    User tagert-user
#    ProxyJump bastion

Jalankan perintah SCP untuk mengunggah file ke host atau mengunduh file ke komputer Anda. Contoh:
- Unggah file ke host:
  Contoh kode berikut menunjukkan cara mengunggah file file-name.txt ke direktori home di host target-host-A.
```
scp /file-name.txt target-host-A:/home/
```
- Unduh file ke komputer Anda:
  Contoh kode berikut menunjukkan cara mengunduh file file-name.txt dari host target-host-A ke direktori home di komputer Anda.
```
scp target-host-A:/file-name.txt /home/
```

Lihat log audit di host bastion

Masuk ke host bastion untuk melihat log audit operasi berbasis SCP. Untuk informasi lebih lanjut, lihat Cari Sesi dan Lihat Detail Sesi.