Czy administrator serwera może zobaczyć, co kopiuję przez SCP?

Załóżmy, że łączę się z serwerem za pośrednictwem SCP i kopiuję niektóre pliki ze zdalnego serwera na komputer domowy. Czy administratorzy serwera mogą powiedzieć, że coś skopiowałem, zobaczyć, co zostało skopiowane, lub wiedzieć, kto to skopiował?

Pytanie ServerFault jest prawie identyczne z tym. Mam nadzieję, że sprawdziłeś przed opublikowaniem pytania, ale twoje jest trochę inne, więc odpowiem tutaj.

Krótka odpowiedź brzmi: jeśli KAŻDY ma dostęp i uprawnienia do punktu końcowego (systemu, scpz którego korzystasz lub scpz którego korzystasz), może zobaczyć, co się stanie. Jeśli nie mają dostępu do żadnego z punktów końcowych, prawdopodobnie nie będą mieli dostępu ani nie będą w stanie odszyfrować tego, co robisz (oprócz potencjalnej znajomości aplikacji według numerów protokołów).

Odpowiedź jest ostatecznie bardzo zależna od infrastruktury. Najprawdopodobniej, dopóki nie będzie intensywnego monitorowania, a SCP nie będzie uważany za zagrożony w firmie (co spowoduje wyrzucenie czerwonych flag), twój ruch będzie niezauważony. Dotyczy to szczególnie mniejszych firm.

Jak wspomniano @ SimonRichter : jeśli ktoś może wykonać polecenie w twoim systemie (np. Admin lub inne), może sprawdzić twoją listę procesów i zobaczyć linię poleceń scp -args /filepath/. Wymaga to jednak rejestrowania całej aktywności procesu lub sprawdzania jej w czasie przesyłania. Ponadto, jeśli robisz to z własnego systemu w pracy do innego systemu (powiedzmy w domu lub w innym miejscu), niekoniecznie będą mieć taką widoczność.

Dodatkowo, jak wspomniano @ alex.forencich: Możliwe jest również rejestrowanie wszystkich wywołań systemowych (w tym wywołań otwierania i odczytu plików), więc nawet jeśli program kopiujący (scp, sftp itp.) Niczego nie rejestruje lub nie wyciekają (argumenty wiersza poleceń ), nadal można dowiedzieć się, jakie pliki zostały odczytane lub zapisane. Zobacz system kontroli linux. -

Nie tylko administrator.

Do testowania właśnie skopiowałem /binz serwera do katalogu tymczasowego na laptopie. psna serwerze pokazuje

$ ps 24096
  PID TTY      STAT   TIME COMMAND
24096 ?        Ss     0:00 scp -r -f /bin

Informacje te są ogólnie dostępne dla wszystkich użytkowników.

scpdziała przy pomocy kodu działającego na serwerze ( sshdi na scpsamym sobie). Ten kod serwera jest teoretycznie całkowicie kontrolowany przez administratora serwera, a wersja scpuruchomiona na serwerze, aby zapisać plik do twojego połączenia, jest inna niż wersja scpuruchomiona na twoim komputerze, aby wysłać żądanie.

Administrator serwera może, na przykład, zastąpić scpna serwerze wersją, która rejestruje wszystkie żądania, podobnie jak serwer WWW może zapisywać dzienniki. Następnie mogliby zobaczyć z tych dzienników dokładnie to, co skopiowałeś.

To, czy mają wiedzę i motywację, aby to zrobić, jest mniej określone, ale jeśli chcą, to w zasadzie nic ich nie powstrzyma.

Myślę, że te pytania są uzupełnieniem Twoich: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs

Chociaż nie znam wszystkich szczegółów, wydaje się, że od razu po wyjęciu z pudełka scpi sshd nie mam opcji, aby zalogować się o co pytasz. Być może potrzeba więcej niż prostej konfiguracji, ale nie można oderwać się od faktu, że administratorzy kontrolują serwer.

Wszystko, co przechodzi niezaszyfrowane w pamięci komputera, może zostać odczytane lub zmienione przez odpowiednio uprzywilejowanego użytkownika na tym komputerze.

Nazwy uruchomionych procesów i wiersz poleceń użyte do ich uruchomienia są dostępne dla każdego zalogowanego użytkownika w systemie Linux. (Dla ciekawskich nie ma to miejsca w systemie Windows). Dlatego administrator lub ktokolwiek inny, kto jest w pobliżu, może zobaczyć, które pliki skopiowałeś. Ponadto administrator może całkowicie skonfigurować rejestrowanie dostępu do plików lub zastąpić / poruszyć scpprogram na jednym końcu, aby wykonać dodatkowe rejestrowanie.

scptylko chroni cię przed sieciowymi snifferami. Oczywiście oba końce muszą znać odszyfrowane dane, więc istnieje możliwość, aby wyrafinowany administrator jednego z punktów końcowych wyssał dane z scppamięci. Inne rozwiązania, nawet te, które nie wymagają wierszy poleceń, również są na to otwarte: oba końce sftpwiedzą, co się dzieje, dzięki czemu można ustalić poprzez kontrolę pamięci, co sftpmyśli / przekazuje.

Ogólna zasada jest taka, że ​​osoba z dostępem do katalogu głównego może wiedzieć wszystko (jeśli może to sprawić kłopot). Prawdopodobnie jedyną rzeczą, która jest niedostępna, jest system plików zaszyfrowany certyfikatem.

podczas aktu scpotwiera proces po drugiej stronie, który każdy może zobaczyć, po prostu wywołując ps. Jeśli uda Ci się ukryć wiersz poleceń pojawiający się na liście procesów, wówczas lsof(lista otwartych plików) może pokazać, które pliki są dotykane. To takie proste, robię to, aby zobaczyć, jak daleko jest proces kopiowania, który rozpocząłem, jeśli uruchomię proces na terminalu, którego nie mogę obecnie wyświetlić (gdzie jest wyświetlana lista plików).

po akcie szybkie skanowanie findmoże znaleźć najnowsze pliki (jeśli znaczniki czasu nie zostały zachowane podczas kopiowania). Jeśli pliki były otwierane lub dotykane w jakikolwiek sposób podczas sshsesji, .bash_historypokazuje, co robiłeś (ale możesz to usunąć, jeśli chcesz).

Jeśli zabezpieczenia mają być bardzo rygorystyczne, zawsze możesz skonfigurować dodatkowe monitorowanie: możesz słuchać wszystkich modyfikacji plików za pomocą prostego demona i rejestrować wszystko o transakcjach w systemie plików, lokalnych i zdalnych, nie ma znaczenia. Nie byłoby zaskoczeniem rejestrowanie wszystkich procesów spawnowanych przez użytkownika . Jeśli wykonywane są kopie zapasowe, pliki mogą być nadal przechowywane gdzieś po ich usunięciu.

Administratorzy serwera są w stanie monitorować ruch przychodzący lub wychodzący z serwera, dzięki czemu mogą z łatwością monitorować ruch SCP, jeśli chcą, i zobaczyć, czy skopiowałeś pliki i jakie pliki skopiowałeś.