Best practices for auditing SCP command operations - Bastionhost - Alibaba Cloud ドキュメントセンター

Bastionhost は、SCP コマンドの監査をサポートしていません。Bastionhost を通じて SCP コマンド操作を監査するには、ファイル転送を実行する前に、ローカルクライアントで ProxyJump を設定します。これにより、Bastionhost で SCP コマンド操作の監査が可能になります。

背景情報

ProxyJump は、OpenSSH バージョン 7.3 で導入された機能です。お使いのコンピューターで ProxyJump を設定すると、SCP コマンドを使用してファイルをアップロードまたはダウンロードする際に、SSH クライアントはまず Bastionhost との安全な接続を確立します。その後、Bastionhost を経由してターゲットホストと通信するため、Bastionhost で SCP コマンドの監査が可能になります。

前提条件

ローカルクライアントと Bastionhost 間のネットワーク接続が正常で、Bastionhost にログオンできることを確認してください。トラブルシューティングの手順については、「クライアント接続の問題」をご参照ください。
Bastionhost に O&M ホストとホストアカウントが登録済みであること。詳細については、「ホストの作成」および「ホストアカウントの管理」をご参照ください。
Bastionhost ユーザーにホストへのアクセス権が付与済みであること。詳細については、「ユーザーへのアセットおよびアセットアカウントへのアクセス権の付与」または「ユーザーへのアセットグループおよびアセットグループアカウントへのアクセス権の付与」をご参照ください。
クライアントで OpenSSH バージョン 7.3 以降が使用されていること。

ProxyJump の設定

ローカルの Linux システムにログインします。

次のコマンドを実行して、.ssh ディレクトリに config ファイルを作成し、設定します。

vim ~/.ssh/config

次の設定を使用します。

#-------Bastionhost の設定---------#
# Bastionhost のエイリアス
Host bastion
    # Bastionhost の O&M アドレス
    HostName ****-public.bastionhost.aliyuncs.com 
    # Bastionhost のデフォルトポート 60022
    Port 60022 
    # Bastionhost ユーザー
    User bastion-user
#-------ホストの設定---------#
# ホストのエイリアス
Host target-host-A 
    # Bastionhost に登録されているホストの IP アドレス
    HostName 192.168.XX.XX 
    # ホストのユーザー名
    User target-user
    # ProxyJump の設定。SCP コマンド実行時、クライアントは bastion 経由で target-host-A に接続します
    ProxyJump bastion 
#--------複数のホストを設定できます--------#
# Host target-host-B
#    HostName 192.168.XX.XX 
#    User target-user
#    ProxyJump bastion

SCP コマンドを使用して、ターゲットホストにファイルをアップロードするか、ローカルマシンにファイルをダウンロードします。以下に例を示します。
- 例：ターゲットホストへのファイルのアップロード
  
  ローカルファイル file-name.txt をターゲットホスト (target-host-A) の home ディレクトリにアップロードします。
```
scp /file-name.txt target-host-A:/home/
```
- 例：ローカルマシンへのファイルのダウンロード
  
  ターゲットホスト (target-host-A) のファイル file-name.txt をローカルの home ディレクトリにダウンロードします。
```
scp target-host-A:/file-name.txt /home/
```

Bastionhost での監査記録の表示

Bastionhost にログインして、SCP コマンド操作の監査記録を表示します。詳細については、「セッションの検索と表示」をご参照ください。

セッション監査ページで、[File transfer] タブをクリックして SCP コマンドの監査記録を表示します。監査記録には、時刻、ホスト IP アドレスまたはホスト名、ユーザー、ソース IP、タイプ ([Upload file] や [Download file] など)、コンテンツ (ファイル名) などのフィールドが含まれます。時刻、キーワード、ホスト IP、ユーザー名、またはその他の条件で検索できます。