Уникальный идентификатор пользователя sftp в журнале
Я регистрирую поведение SFTP в /var/log/auth.log. Вывод выглядит так
May 27 05:58:16 test-server sshd[20044]: User child is on pid 20049
May 27 05:58:16 test-server sshd[20049]: subsystem request for sftp by user test-user
May 27 05:58:16 test-server internal-sftp[20050]: session opened for local user test-user from [192.168.1.1]
May 27 05:58:16 test-server internal-sftp[20050]: received client version 3
May 27 05:58:16 test-server internal-sftp[20050]: realpath "."
May 27 05:58:21 test-server internal-sftp[20050]: opendir "/home/test-user/"
May 27 05:58:21 test-server internal-sftp[20050]: closedir "/home/test-user/"
May 27 05:58:21 test-server internal-sftp[20050]: lstat name "/home/test-user/upload"
May 27 05:58:21 test-server internal-sftp[20050]: realpath "/home/test-user/upload/"
May 27 05:58:21 test-server internal-sftp[20050]: stat name "/home/test-user/upload"
May 27 05:58:24 test-server internal-sftp[20050]: open "/home/test-user/upload/test-file.pdf" flags WRITE,CREATE,TRUNCATE mode 0664
May 27 05:58:25 test-server internal-sftp[20050]: close "/home/test-user/upload/test-file.pdf" bytes read 0 written 1282941
Но идентификатор всегда меняется для нового сеанса. Есть ли возможность иметь одинаковый идентификатор для каждого сеанса для каждого пользователя? Например, пользователь "ребенок" будет иметь для всех своих сессий идентификатор 20050,
Я ищу это или подобное решение, чтобы я мог разобрать его в своей системе и получить записи о поведении пользователя.
1 ответ
Решение
Это не идентификатор сеанса. Это идентификатор процесса, который обрабатывает соединение. Этот идентификатор присваивается ядром Linux при запуске процесса. Это не возможно, что этот идентификатор остается прежним.