Załóżmy, że łączę się z serwerem za pośrednictwem SCP i kopiuję niektóre pliki ze zdalnego serwera na komputer domowy. Czy administratorzy serwera mogą powiedzieć, że coś skopiowałem, zobaczyć, co zostało skopiowane, lub wiedzieć, kto to skopiował?
Załóżmy, że łączę się z serwerem za pośrednictwem SCP i kopiuję niektóre pliki ze zdalnego serwera na komputer domowy. Czy administratorzy serwera mogą powiedzieć, że coś skopiowałem, zobaczyć, co zostało skopiowane, lub wiedzieć, kto to skopiował?
Odpowiedzi:
Pytanie ServerFault jest prawie identyczne z tym. Mam nadzieję, że sprawdziłeś przed opublikowaniem pytania, ale twoje jest trochę inne, więc odpowiem tutaj.
Krótka odpowiedź brzmi: jeśli KAŻDY ma dostęp i uprawnienia do punktu końcowego (systemu, scp
z którego korzystasz lub scp
z którego korzystasz), może zobaczyć, co się stanie. Jeśli nie mają dostępu do żadnego z punktów końcowych, prawdopodobnie nie będą mieli dostępu ani nie będą w stanie odszyfrować tego, co robisz (oprócz potencjalnej znajomości aplikacji według numerów protokołów).
Odpowiedź jest ostatecznie bardzo zależna od infrastruktury. Najprawdopodobniej, dopóki nie będzie intensywnego monitorowania, a SCP nie będzie uważany za zagrożony w firmie (co spowoduje wyrzucenie czerwonych flag), twój ruch będzie niezauważony. Dotyczy to szczególnie mniejszych firm.
Jak wspomniano @ SimonRichter : jeśli ktoś może wykonać polecenie w twoim systemie (np. Admin lub inne), może sprawdzić twoją listę procesów i zobaczyć linię poleceń scp -args /filepath/
. Wymaga to jednak rejestrowania całej aktywności procesu lub sprawdzania jej w czasie przesyłania. Ponadto, jeśli robisz to z własnego systemu w pracy do innego systemu (powiedzmy w domu lub w innym miejscu), niekoniecznie będą mieć taką widoczność.
Dodatkowo, jak wspomniano @ alex.forencich: Możliwe jest również rejestrowanie wszystkich wywołań systemowych (w tym wywołań otwierania i odczytu plików), więc nawet jeśli program kopiujący (scp, sftp itp.) Niczego nie rejestruje lub nie wyciekają (argumenty wiersza poleceń ), nadal można dowiedzieć się, jakie pliki zostały odczytane lub zapisane. Zobacz system kontroli linux. -
Nie tylko administrator.
Do testowania właśnie skopiowałem /bin
z serwera do katalogu tymczasowego na laptopie. ps
na serwerze pokazuje
$ ps 24096
PID TTY STAT TIME COMMAND
24096 ? Ss 0:00 scp -r -f /bin
Informacje te są ogólnie dostępne dla wszystkich użytkowników.
/proc
z opcją hidepid=2
wyłącza to ..
scp
działa przy pomocy kodu działającego na serwerze ( sshd
i na scp
samym sobie). Ten kod serwera jest teoretycznie całkowicie kontrolowany przez administratora serwera, a wersja scp
uruchomiona na serwerze, aby zapisać plik do twojego połączenia, jest inna niż wersja scp
uruchomiona na twoim komputerze, aby wysłać żądanie.
Administrator serwera może, na przykład, zastąpić scp
na serwerze wersją, która rejestruje wszystkie żądania, podobnie jak serwer WWW może zapisywać dzienniki. Następnie mogliby zobaczyć z tych dzienników dokładnie to, co skopiowałeś.
To, czy mają wiedzę i motywację, aby to zrobić, jest mniej określone, ale jeśli chcą, to w zasadzie nic ich nie powstrzyma.
Myślę, że te pytania są uzupełnieniem Twoich: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs
Chociaż nie znam wszystkich szczegółów, wydaje się, że od razu po wyjęciu z pudełka scp
i sshd
nie mam opcji, aby zalogować się o co pytasz. Być może potrzeba więcej niż prostej konfiguracji, ale nie można oderwać się od faktu, że administratorzy kontrolują serwer.
Wszystko, co przechodzi niezaszyfrowane w pamięci komputera, może zostać odczytane lub zmienione przez odpowiednio uprzywilejowanego użytkownika na tym komputerze.
Nazwy uruchomionych procesów i wiersz poleceń użyte do ich uruchomienia są dostępne dla każdego zalogowanego użytkownika w systemie Linux. (Dla ciekawskich nie ma to miejsca w systemie Windows). Dlatego administrator lub ktokolwiek inny, kto jest w pobliżu, może zobaczyć, które pliki skopiowałeś. Ponadto administrator może całkowicie skonfigurować rejestrowanie dostępu do plików lub zastąpić / poruszyć scp
program na jednym końcu, aby wykonać dodatkowe rejestrowanie.
scp
tylko chroni cię przed sieciowymi snifferami. Oczywiście oba końce muszą znać odszyfrowane dane, więc istnieje możliwość, aby wyrafinowany administrator jednego z punktów końcowych wyssał dane z scp
pamięci. Inne rozwiązania, nawet te, które nie wymagają wierszy poleceń, również są na to otwarte: oba końce sftp
wiedzą, co się dzieje, dzięki czemu można ustalić poprzez kontrolę pamięci, co sftp
myśli / przekazuje.
Ogólna zasada jest taka, że osoba z dostępem do katalogu głównego może wiedzieć wszystko (jeśli może to sprawić kłopot). Prawdopodobnie jedyną rzeczą, która jest niedostępna, jest system plików zaszyfrowany certyfikatem.
podczas aktu scp
otwiera proces po drugiej stronie, który każdy może zobaczyć, po prostu wywołując ps
. Jeśli uda Ci się ukryć wiersz poleceń pojawiający się na liście procesów, wówczas lsof
(lista otwartych plików) może pokazać, które pliki są dotykane. To takie proste, robię to, aby zobaczyć, jak daleko jest proces kopiowania, który rozpocząłem, jeśli uruchomię proces na terminalu, którego nie mogę obecnie wyświetlić (gdzie jest wyświetlana lista plików).
po akcie szybkie skanowanie find
może znaleźć najnowsze pliki (jeśli znaczniki czasu nie zostały zachowane podczas kopiowania). Jeśli pliki były otwierane lub dotykane w jakikolwiek sposób podczas ssh
sesji, .bash_history
pokazuje, co robiłeś (ale możesz to usunąć, jeśli chcesz).
Jeśli zabezpieczenia mają być bardzo rygorystyczne, zawsze możesz skonfigurować dodatkowe monitorowanie: możesz słuchać wszystkich modyfikacji plików za pomocą prostego demona i rejestrować wszystko o transakcjach w systemie plików, lokalnych i zdalnych, nie ma znaczenia. Nie byłoby zaskoczeniem rejestrowanie wszystkich procesów spawnowanych przez użytkownika . Jeśli wykonywane są kopie zapasowe, pliki mogą być nadal przechowywane gdzieś po ich usunięciu.
file
, miałeś na myśli find
?
Administratorzy serwera są w stanie monitorować ruch przychodzący lub wychodzący z serwera, dzięki czemu mogą z łatwością monitorować ruch SCP, jeśli chcą, i zobaczyć, czy skopiowałeś pliki i jakie pliki skopiowałeś.
sftp
. Może być zalogowany, ale nie jest wyraźnie widoczny jako tytuł procesuscp
.