L'amministratore del server può vedere cosa copio tramite SCP?

31

Supponiamo che mi stia collegando a un server tramite SCP e copiando alcuni file dal server remoto al mio computer di casa. Gli amministratori del server possono dire che ho copiato qualcosa, vedere cosa è stato copiato o sapere chi lo ha copiato?

ssh  scp 
kironide
fonte
2
usare sftp. Potrebbe essere registrato, ma non è chiaramente visibile come il titolo del processo di scp.
Jakuje,
2
Probabilmente è solo una questione di cambiare il livello di registro sul server? Non ho controllato.
Jcaron,
14
Suppongo sempre che tutto sia attentamente osservato e registrato se non si ha il controllo del server.
axk,
3
Gli amministratori del server possono vedere tutto ciò che fai sul loro server; questo è un po 'implicito con il termine "admin". L'unica domanda è se effettivamente prestano attenzione o cura.
Ajedi32,

Risposte:

31

Una domanda ServerFault è quasi identica a questa. Spero che tu abbia verificato prima di pubblicare la tua domanda, ma la tua è un po 'diversa, quindi risponderò qui.

La risposta breve è che se CHIUNQUE ha accesso e autorizzazioni a un endpoint (il sistema da cui stai scpeseguendo o da cui stai eseguendo scp), può vedere cosa succede. Se non hanno accesso a nessuno degli endpoint, probabilmente non avranno accesso o saranno in grado di decifrare ciò che si sta facendo (oltre a conoscere potenzialmente l'applicazione tramite i numeri di protocollo).

Alla fine la risposta dipende molto dalla tua infrastruttura. Molto probabilmente, purché non ci sia un monitoraggio intenso e SCP non sia considerato minacciato dall'azienda (che lancerà bandiere rosse), il tuo traffico passerà inosservato. Ciò è particolarmente vero per le aziende più piccole.

Come accennato da @SimonRichter : se qualcuno può eseguire un comando sul tuo sistema (ad es. Admin o altri), può controllare l'elenco dei processi e vedere la riga di comando scp -args /filepath/. Tuttavia, ciò richiede che registrino tutte le attività di processo o le controllino al momento del trasferimento. Inoltre, se lo stai facendo dal tuo sistema di lavoro a un altro sistema (ad esempio a casa o altrove), non avranno necessariamente quella visibilità.

Inoltre, come accennato da @ alex.forencich: è anche possibile registrare tutte le chiamate di sistema (compresi i file apri e leggi le chiamate), quindi anche se il tuo programma di copia (scp, sftp, ecc.) Non registra o perde nulla (argomenti della riga di comando ), è ancora possibile capire quali file sono stati letti o scritti. Vedi il sistema di controllo di Linux. -

Abraxas
fonte
È anche possibile registrare tutte le chiamate di sistema (compresi i file apri e leggi le chiamate), quindi anche se il tuo programma di copia (scp, sftp, ecc.) Non registra o perde nulla (argomenti della riga di comando), è ancora possibile capire quali file sono stati letti o scritti. Vedi il sistema di controllo di Linux.
alex.forencich,
Grazie @ alex.forencich, sto aggiungendo il tuo commento alla risposta!
Abraxas,
33

Non solo l'amministratore.

Per i test, ho appena copiato /bindal mio server in una directory temporanea sul mio laptop. pssul server mostra

$ ps 24096
  PID TTY      STAT   TIME COMMAND
24096 ?        Ss     0:00 scp -r -f /bin

Queste informazioni sono generalmente accessibili a tutti gli utenti.

Simon Richter
fonte
6
Per kernel> = 3.2, il (ri) montaggio /proccon opzione hidepid=2disabilita questo ..
heemayl
"Queste informazioni sono generalmente accessibili a tutti gli utenti." Eh, davvero? Tutti gli utenti possono vedere cosa stanno facendo tutti gli altri utenti? Non l'ho provato, ma mi sembra improbabile. Anche su Windows puoi vedere solo i tuoi processi (a meno che tu non sia un amministratore e fai clic su un pulsante di amministrazione speciale).
Corse di leggerezza con Monica il
@PreferenceBean, sì, ma questa è l'impostazione predefinita. A seconda di come l'amministratore ha configurato l' impostazione umask , le directory home di altre persone possono essere leggibili anche per impostazione predefinita.
Simon Richter,
Mostrare informazioni come quelle su un altro utente come questo suona come un'impostazione estremamente stupida.
CodesInChaos,
@CodesInChaos, questa è una vecchia decisione, presa per un periodo in cui le persone dovevano condividere il computer in modo cooperativo, quindi era meglio se si potesse facilmente dire chi stava controllando la CPU e perché, in modo da poter parlare con loro. Al giorno d'oggi, nessuno si preoccupa in generale, perché pochissime persone accedono effettivamente ai computer condivisi.
Simon Richter,
12

scpfunziona con l'aiuto del codice in esecuzione sul server ( sshde su scpse stesso). Questo codice severo è in teoria completamente sotto il controllo dell'amministratore del server e la versione di scpesecuzione sul server per scrivere il file sulla connessione, è separata dalla versione di scpesecuzione sul computer per inviare la richiesta.

Un amministratore del server potrebbe, solo per fare un esempio, sostituire scpsul server una versione che registra tutte le richieste, un po 'come un web server può scrivere registri. Quindi potevano vedere da quei registri esattamente ciò che hai copiato.

Se hanno la competenza e la motivazione per farlo effettivamente è meno definito, ma se lo vogliono, in linea di principio non c'è nulla che li fermi.

Penso che queste domande siano le tue compagne: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs

Anche se non conosco tutti i dettagli, sembra che sia pronto all'uso scpe sshd non abbia opzioni per registrare ciò che stai chiedendo. Quindi forse è necessario molto di più della semplice configurazione, ma non si può evitare il fatto che gli amministratori controllino il server.

Steve Jessop
fonte
10

Tutto ciò che passa non crittografato attraverso la memoria di un computer può essere letto o modificato da un utente sufficientemente privilegiato su quella macchina.

I nomi dei processi in esecuzione e la riga di comando utilizzati per avviarli sono accessibili a qualsiasi utente connesso su Linux. (Questo non è il caso di Windows, per i curiosi.) Pertanto, l'amministratore o chiunque altro sia in giro potrebbe vedere quali file sono stati copiati. Inoltre, è del tutto possibile che l'amministratore abbia impostato una sorta di registrazione dell'accesso ai file o che abbia sostituito / spostato il scpprogramma su un'estremità per eseguire una registrazione aggiuntiva.

scpti protegge solo dagli sniffer di rete. Ovviamente, entrambe le estremità devono conoscere i dati decifrati, quindi c'è la possibilità per un amministratore sofisticato su uno degli endpoint di risucchiare i dati dalla scpmemoria. Anche altre soluzioni, anche quelle che non coinvolgono le linee di comando, sono aperte a questo: entrambe le estremità sftpsanno cosa sta succedendo, quindi è possibile determinare tramite l'ispezione della memoria cosa sftpsta pensando / trasferendo.

Ben N
fonte
6

Una regola empirica è che una persona con accesso root può sapere tutto (se può essere disturbato a controllare). Probabilmente l'unica cosa che è off limits è un filesystem crittografato con certificato.

durante l'atto, si scpapre un processo sul lato remoto, che può essere visto da chiunque semplicemente invocando ps. Se riesci a nascondere la riga di comando visualizzata nell'elenco dei processi, lsof(elenco di file aperti) può mostrare quali file vengono toccati. È così facile, lo sto effettivamente facendo per osservare fino a che punto è partito un processo di copia, se ho avviato il processo su un terminale che non riesco a visualizzare al momento (in cui viene visualizzato l'elenco dei file).

dopo l'atto, una scansione rapida con findpuò trovare i file più recenti (se i timestamp non sono stati conservati durante la copia). Se si accedeva o si toccava in qualche modo i file durante una sshsessione, si .bash_historymostra cosa si stava facendo (ma è possibile eliminarlo se si desidera).

Se la sicurezza è pensata per essere molto severa, puoi sempre impostare un monitoraggio aggiuntivo: puoi ascoltare tutte le modifiche ai file con un semplice demone e registrare tutto ciò che riguarda le transazioni del file system, locale e remoto, non importa. Non sarebbe una sorpresa registrare tutti i processi generati dagli utenti . Se i backup vengono eseguiti, i file potrebbero essere ancora memorizzati da qualche parte dopo averli eliminati.

Orion
fonte
Quando hai scritto file, volevi dire find?
un CVn
1

Gli amministratori del server sono in grado di monitorare qualsiasi traffico che attraversa o esce dal proprio server, quindi possono facilmente monitorare il traffico SCP, se lo desiderano, e vedere che hai copiato i file e quali file hai copiato.

Micheal Johnson
fonte
"che hai copiato i file" è molto diverso da "quello che copio" come indicato dall'OP.
un CVn del
possono vederlo anche loro
Micheal Johnson,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.