Sunucu yöneticisi SCP ile neleri kopyaladığımı görebilir mi?

Diyelim ki bir sunucuya SCP üzerinden bağlanıyorum ve bazı dosyaları uzak sunucudan ev bilgisayarıma kopyalıyorum. Sunucu yöneticileri bir şeyi kopyaladığımı söyleyebilir, neyin kopyalandığını görebilir veya kimin kopyaladığını biliyor mu?

Bir ServerFault sorusu neredeyse bununla aynı. Umarım sorunuzu göndermeden önce kontrol ettiniz, ancak sizinki biraz farklı, bu yüzden burada cevaplayacağım.

Kısa cevap, HERHANGİ bir son noktaya (izin verdiğiniz scpveya scpgirdiğiniz sistem) erişimi ve izinleri varsa, ne olduğunu görebilecekleridir. Her iki uç noktaya da erişemezlerse, büyük olasılıkla ne yaptığınıza erişemeyebilir veya deşifre edemezler (uygulamayı protokol numaralarıyla potansiyel olarak bilmenin dışında).

Bu sorunun cevabı nihayetinde altyapınıza bağlı. Büyük olasılıkla, yoğun izleme olmadığı ve SCP'nin şirkette tehdit altında olduğu düşünülmediği sürece (kırmızı bayraklar fırlatacak), trafiğiniz fark edilmeyecektir. Bu özellikle küçük şirketler için geçerlidir.

@SimonRichter'in belirttiği gibi : eğer birisi sisteminizde bir komut çalıştırabilirse (örn. Admin veya diğerleri), işlem listenizi kontrol edebilir ve komut satırını görebilir scp -args /filepath/. Ancak bu, tüm işlem etkinliklerini günlüğe kaydetmelerini veya aktardığınız sırada kontrol etmelerini gerektirir. Ek olarak, işte kendi sisteminizden işte başka bir sisteme (evde ya da başka bir yerde) yapıyorsanız, mutlaka bu görünürlükte olmayacaklar.

Ek olarak, @ alex.forencich'in dediği gibi: Kopyalama programınız (scp, sftp, vb.) Herhangi bir şeyi kaydetmese veya sızdırmaz olsa bile tüm sistem çağrılarını (dosya açma ve okuma çağrıları dahil) kaydetmek mümkündür. ), hangi dosyaların okunduğunu veya yazıldığını hala bulmak mümkündür. Linux denetim sistemine bakınız. -

Sadece yönetici değil.

Test için, /binsunucumdan dizüstü bilgisayarımdaki geçici bir dizine kopyaladım . pssunucuda gösterir

$ ps 24096
  PID TTY      STAT   TIME COMMAND
24096 ?        Ss     0:00 scp -r -f /bin

Bu bilgilere genellikle tüm kullanıcılar tarafından erişilebilir.

scpSunucuda çalışan kodun yardımı ile çalışır ( sshdve scpkendisi). Bu önemli kod teoride tamamen sunucu yöneticisinin kontrolü altındadır ve scpdosyayı bağlantıyı size yazmak için sunucuda scpçalıştırma sürümü , isteği yayınlamak için makinenizde çalışan sürümünden farklıdır.

Sunucunun yöneticisi, örneğin, scpbir web sunucusunun günlükleri yazabilmesi gibi, tüm istekleri kaydeden bir sürümle sunucudaki yerini alabilir. Sonra o kayıtlardan tam olarak ne kopyaladığınızı görebilirler.

Bu konuda uzmanlık ve motivasyona sahip olup olmadıkları daha az kesin değildir, ancak o zaman prensipte onları durduracak hiçbir şey yoktur.

Bence bu sorular sizin için yardımcı olabilir: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs

Her ne kadar tüm detayları bilmeme rağmen, sanki kutudan çıkar çıkmış gibi görünüyor scpve ne sorduğunuzu kaydetme seçeneğiniz sshd yok . Bu yüzden belki basit bir konfigürasyondan daha fazlasına ihtiyaç vardır, ancak yöneticilerin sunucuyu kontrol ettiği gerçeğinden uzak duramazsınız.

Bir bilgisayarın hafızası üzerinden şifrelenmemiş olan herhangi bir şey, bu makinede yeterince ayrıcalıklı bir kullanıcı tarafından okunabilir veya değiştirilebilir.

Çalışan işlemlerin adlarını ve bunları başlatmak için kullanılan komut satırını Linux'ta oturum açan herhangi bir kullanıcı tarafından erişilebilir. (Bu, meraklılar için Windows'ta geçerli değildir.) Bu nedenle, yönetici veya etrafta olan herhangi bir kişi hangi dosyaları kopyaladığınızı görebilir. Ek olarak, yöneticinin bir çeşit dosya erişim günlüğü ayarlaması veya scpek bir günlüğe kaydetme yapmak için programı bir uçta değiştirmiş / çalkalamış olması tamamen mümkündür .

scpsadece sizi ağ koklayıcılardan korur. Açıkçası, her iki ucun şifresi çözülen verileri bilmek zorunda olduğu için, uç noktalardan herhangi birinde bulunan karmaşık bir yönetici için verileri scpbellekten dışarı çıkarma fırsatı vardır . Komut satırı içermeyen diğer çözümler de buna açıktır: sftpNeyin olup bittiğini bilmenin her iki ucu da, hafıza denetimi ile ne sftpdüşündüğünü / aktardığını belirlemek mümkündür .

Temel kural, kök erişimli bir kişinin her şeyi bilmesidir (eğer kontrol etmekte sorun varsa). Muhtemelen sınırları aşan tek şey sertifika ile şifrelenmiş bir dosya sistemidir.

Kanun sırasında , scpuzak taraftaki herhangi bir kişi tarafından sadece çağrı yapılarak görülebilecek bir işlem açılır ps. İşlem listesinde gösterilen komut satırını gizlemeyi başarırsanız, o zaman lsof(açık dosyalar listesi) hangi dosyalara dokunulduğunu gösterebilir. Çok kolay, aslında başlattığım bazı kopyalama işlemlerinin ne kadar olduğunu gözlemlemek için yapıyorum, eğer bir terminalde işlemi başlattıysam şu anda göremiyorum (dosya listesinin çıktılandığı yer).

Kanunun ardından , hızlı bir tarama ile finden yeni dosyalar bulunabilir (zaman damgaları kopyalanma sırasında korunmazsa). Dosyalara bir sshoturum aracılığıyla herhangi bir şekilde erişildiyse veya bunlara dokunduysanız .bash_history, ne yaptığınızı gösterir (ancak isterseniz silebilirsiniz).

Güvenlik çok sıkı olması gerekiyorsa, her zaman ek izleme ayarlayabilirsiniz: tüm dosya değişikliklerini basit bir arka plan programı kullanarak dinleyebilir ve yerel veya uzaktaki dosya sistemi işlemleri ile ilgili her şeyi günlüğe kaydedebilirsiniz. Kullanıcı tarafından oluşturulan tüm işlemlerin kaydedilmesi sürpriz olmaz . Yedeklemeler yapılıyorsa, siz sildikten sonra dosyalar hala bir yerde saklanabilir.

Sunucu yöneticileri, sunucularına giren veya çıkan herhangi bir trafiği izleyebilir, böylece isterlerse kolayca SCP trafiğini izleyebilir ve dosyaları kopyaladığınızı ve hangi dosyaları kopyaladığınızı görebilirler.