Czy administrator serwera może zobaczyć, co kopiuję przez SCP?


31

Załóżmy, że łączę się z serwerem za pośrednictwem SCP i kopiuję niektóre pliki ze zdalnego serwera na komputer domowy. Czy administratorzy serwera mogą powiedzieć, że coś skopiowałem, zobaczyć, co zostało skopiowane, lub wiedzieć, kto to skopiował?


2
użyć sftp. Może być zalogowany, ale nie jest wyraźnie widoczny jako tytuł procesu scp.
Jakuje

2
Prawdopodobnie to tylko kwestia zmiany poziomu dziennika na serwerze? Nie sprawdziłem.
jcaron

14
Zawsze zakładam, że wszystko jest ściśle monitorowane i rejestrowane, jeśli nie masz kontroli nad serwerem.
axk

3
Administratorzy serwerów mogą zobaczyć wszystko, co robisz na ich serwerze; jest to trochę implikowane przez termin „admin”. Jedyne pytanie dotyczy tego, czy rzeczywiście zwracają uwagę czy troskę.
Ajedi32

Odpowiedzi:


31

Pytanie ServerFault jest prawie identyczne z tym. Mam nadzieję, że sprawdziłeś przed opublikowaniem pytania, ale twoje jest trochę inne, więc odpowiem tutaj.

Krótka odpowiedź brzmi: jeśli KAŻDY ma dostęp i uprawnienia do punktu końcowego (systemu, scpz którego korzystasz lub scpz którego korzystasz), może zobaczyć, co się stanie. Jeśli nie mają dostępu do żadnego z punktów końcowych, prawdopodobnie nie będą mieli dostępu ani nie będą w stanie odszyfrować tego, co robisz (oprócz potencjalnej znajomości aplikacji według numerów protokołów).

Odpowiedź jest ostatecznie bardzo zależna od infrastruktury. Najprawdopodobniej, dopóki nie będzie intensywnego monitorowania, a SCP nie będzie uważany za zagrożony w firmie (co spowoduje wyrzucenie czerwonych flag), twój ruch będzie niezauważony. Dotyczy to szczególnie mniejszych firm.

Jak wspomniano @ SimonRichter : jeśli ktoś może wykonać polecenie w twoim systemie (np. Admin lub inne), może sprawdzić twoją listę procesów i zobaczyć linię poleceń scp -args /filepath/. Wymaga to jednak rejestrowania całej aktywności procesu lub sprawdzania jej w czasie przesyłania. Ponadto, jeśli robisz to z własnego systemu w pracy do innego systemu (powiedzmy w domu lub w innym miejscu), niekoniecznie będą mieć taką widoczność.

Dodatkowo, jak wspomniano @ alex.forencich: Możliwe jest również rejestrowanie wszystkich wywołań systemowych (w tym wywołań otwierania i odczytu plików), więc nawet jeśli program kopiujący (scp, sftp itp.) Niczego nie rejestruje lub nie wyciekają (argumenty wiersza poleceń ), nadal można dowiedzieć się, jakie pliki zostały odczytane lub zapisane. Zobacz system kontroli linux. -


Możliwe jest również rejestrowanie wszystkich wywołań systemowych (w tym wywołań otwierania plików i odczytu), więc nawet jeśli program kopiujący (scp, sftp itp.) Nie rejestruje ani nie wycieknie (argumenty wiersza poleceń), nadal można ustalić jakie pliki zostały odczytane lub zapisane. Zobacz system kontroli linux.
alex.forencich

Dzięki @ alex.forencich, dodaję komentarz do odpowiedzi!
Abraxas,

33

Nie tylko administrator.

Do testowania właśnie skopiowałem /binz serwera do katalogu tymczasowego na laptopie. psna serwerze pokazuje

$ ps 24096
  PID TTY      STAT   TIME COMMAND
24096 ?        Ss     0:00 scp -r -f /bin

Informacje te są ogólnie dostępne dla wszystkich użytkowników.


6
Dla jądra> = 3.2, (ponowne) zamontowanie /procz opcją hidepid=2wyłącza to ..
heemayl

„Informacje te są ogólnie dostępne dla wszystkich użytkowników”. Hę, naprawdę? Wszyscy użytkownicy mogą zobaczyć, co robią wszyscy inni użytkownicy? Nie próbowałem tego, ale wydaje mi się to mało prawdopodobne. Nawet w systemie Windows możesz zobaczyć tylko własne procesy (chyba że jesteś administratorem i nie klikniesz specjalnego przycisku administratora).
Lekkość ściga się z Moniką

@PreferenceBean, tak, ale to jest ustawienie domyślne. W zależności od tego, jak administrator skonfigurował ustawienie umask , katalogi domowe innych osób mogą być również domyślnie czytelne.
Simon Richter

Wyświetlanie takich informacji na temat innego użytkownika, takiego jak ten, brzmi jak wyjątkowo głupie domyślne.
CodesInChaos

@CodesInChaos, to stara decyzja, podjęta na czas, kiedy ludzie musieli współużytkować komputer wspólnie, więc najlepiej byłoby, gdybyś mógł łatwo powiedzieć, kto przejmuje procesor i dlaczego, abyś mógł z nimi porozmawiać. Obecnie nikt się tym nie przejmuje, ponieważ bardzo niewiele osób loguje się na współdzielonych komputerach.
Simon Richter

12

scpdziała przy pomocy kodu działającego na serwerze ( sshdi na scpsamym sobie). Ten kod serwera jest teoretycznie całkowicie kontrolowany przez administratora serwera, a wersja scpuruchomiona na serwerze, aby zapisać plik do twojego połączenia, jest inna niż wersja scpuruchomiona na twoim komputerze, aby wysłać żądanie.

Administrator serwera może, na przykład, zastąpić scpna serwerze wersją, która rejestruje wszystkie żądania, podobnie jak serwer WWW może zapisywać dzienniki. Następnie mogliby zobaczyć z tych dzienników dokładnie to, co skopiowałeś.

To, czy mają wiedzę i motywację, aby to zrobić, jest mniej określone, ale jeśli chcą, to w zasadzie nic ich nie powstrzyma.

Myślę, że te pytania są uzupełnieniem Twoich: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs

Chociaż nie znam wszystkich szczegółów, wydaje się, że od razu po wyjęciu z pudełka scpi sshd nie mam opcji, aby zalogować się o co pytasz. Być może potrzeba więcej niż prostej konfiguracji, ale nie można oderwać się od faktu, że administratorzy kontrolują serwer.


10

Wszystko, co przechodzi niezaszyfrowane w pamięci komputera, może zostać odczytane lub zmienione przez odpowiednio uprzywilejowanego użytkownika na tym komputerze.

Nazwy uruchomionych procesów i wiersz poleceń użyte do ich uruchomienia są dostępne dla każdego zalogowanego użytkownika w systemie Linux. (Dla ciekawskich nie ma to miejsca w systemie Windows). Dlatego administrator lub ktokolwiek inny, kto jest w pobliżu, może zobaczyć, które pliki skopiowałeś. Ponadto administrator może całkowicie skonfigurować rejestrowanie dostępu do plików lub zastąpić / poruszyć scpprogram na jednym końcu, aby wykonać dodatkowe rejestrowanie.

scptylko chroni cię przed sieciowymi snifferami. Oczywiście oba końce muszą znać odszyfrowane dane, więc istnieje możliwość, aby wyrafinowany administrator jednego z punktów końcowych wyssał dane z scppamięci. Inne rozwiązania, nawet te, które nie wymagają wierszy poleceń, również są na to otwarte: oba końce sftpwiedzą, co się dzieje, dzięki czemu można ustalić poprzez kontrolę pamięci, co sftpmyśli / przekazuje.


6

Ogólna zasada jest taka, że ​​osoba z dostępem do katalogu głównego może wiedzieć wszystko (jeśli może to sprawić kłopot). Prawdopodobnie jedyną rzeczą, która jest niedostępna, jest system plików zaszyfrowany certyfikatem.

podczas aktu scpotwiera proces po drugiej stronie, który każdy może zobaczyć, po prostu wywołując ps. Jeśli uda Ci się ukryć wiersz poleceń pojawiający się na liście procesów, wówczas lsof(lista otwartych plików) może pokazać, które pliki są dotykane. To takie proste, robię to, aby zobaczyć, jak daleko jest proces kopiowania, który rozpocząłem, jeśli uruchomię proces na terminalu, którego nie mogę obecnie wyświetlić (gdzie jest wyświetlana lista plików).

po akcie szybkie skanowanie findmoże znaleźć najnowsze pliki (jeśli znaczniki czasu nie zostały zachowane podczas kopiowania). Jeśli pliki były otwierane lub dotykane w jakikolwiek sposób podczas sshsesji, .bash_historypokazuje, co robiłeś (ale możesz to usunąć, jeśli chcesz).

Jeśli zabezpieczenia mają być bardzo rygorystyczne, zawsze możesz skonfigurować dodatkowe monitorowanie: możesz słuchać wszystkich modyfikacji plików za pomocą prostego demona i rejestrować wszystko o transakcjach w systemie plików, lokalnych i zdalnych, nie ma znaczenia. Nie byłoby zaskoczeniem rejestrowanie wszystkich procesów spawnowanych przez użytkownika . Jeśli wykonywane są kopie zapasowe, pliki mogą być nadal przechowywane gdzieś po ich usunięciu.


Kiedy pisałeś file, miałeś na myśli find?
CVn

1

Administratorzy serwera są w stanie monitorować ruch przychodzący lub wychodzący z serwera, dzięki czemu mogą z łatwością monitorować ruch SCP, jeśli chcą, i zobaczyć, czy skopiowałeś pliki i jakie pliki skopiowałeś.


„że skopiowałeś pliki” różni się bardzo od „tego, co kopiuję”, jak wskazuje PO.
CVn

też to widzą
Micheal Johnson
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.