审计SCP命令操作的最佳实践 - 运维安全中心（堡垒机）

堡垒机不支持对SCP命令进行审计。若您需要通过堡垒机对SCP命令进行审计，可在进行文件传输之前，在本地客户端配置ProxyJump，实现堡垒机对SCP命令操作的审计。

背景信息

ProxyJump是OpenSSH自7.3版本开始引入的一项功能。当个人电脑配置ProxyJump后，您在使用SCP命令上传或文件操作时，SSH客户端会先与堡垒机建立安全连接，然后再通过堡垒机与目标主机通信，从而实现堡垒机对SCP命令的审计。

前提条件

请确保本地客户端与堡垒机网络连接正常且可以正常登录堡垒机。如何排查，请参见客户端连接堡垒机相关问题。
已将运维的主机和主机账户托管至堡垒机。具体操作，请参见新建主机和管理主机账户。
已将主机授权给堡垒机用户。具体操作，请参见按用户授权主机或按用户授权资产组。
客户端需使用OpenSSH 7.3及以上版本。

配置ProxyJump

登录本地Linux系统。

执行以下命令，在.ssh目录下创建config文件并进行配置。

vim ~/.ssh/config

配置内容如下：

#-------堡垒机配置---------#

# 堡垒机别名
Host bastion
    # 堡垒机运维地址
    HostName ****-public.bastionhost.aliyuncs.com 
    # 堡垒机默认端口60022
    Port 60022 
    # 堡垒机用户
    User bastion-user
#-------主机配置---------#

# 主机别名
Host target-host-A 
    # 托管至堡垒机的主机IP
    HostName 192.168.XX.XX 
    # 主机用户名
    User tagert-user
    # 配置ProxyJump。即当执行SCP命令时会先连接堡垒机bastion，再通过堡垒机连接主机target-host-A
    ProxyJump bastion 
#--------可配置多个主机--------#
#Host target-host-B
#    HostName 192.168.XX.XX 
#    User tagert-user
#    ProxyJump bastion

使用SCP命令将文件上传到目标主机或下载到本地。示例如下：
- 上传文件至目标主机示例：
  表示将本地file-name.txt文件上传至目标主机（target-host-A）的home目录下。
```
scp /file-name.txt target-host-A:/home/
```
- 下载文件至本地示例：
  表示将目标主机（target-host-A）中的file-name.txt文件下载至本地home目录下。
```
scp target-host-A:/file-name.txt /home/
```

查看堡垒机审计记录

登录堡垒机查看SCP命令操作审计记录。具体操作，请参见搜索和查看会话。