Angenommen, ich verbinde mich über SCP mit einem Server und kopiere einige Dateien vom Remote-Server auf meinen Heimcomputer. Können die Serveradministratoren feststellen, dass ich etwas kopiert habe, sehen, was kopiert wurde, oder wissen, wer es kopiert hat?
31
sftp
. Möglicherweise wird es protokolliert, es ist jedoch nicht eindeutig als Prozesstitel von sichtbarscp
.Antworten:
Eine ServerFault-Frage ist damit fast identisch. Hoffentlich hast du es überprüft, bevor du deine Frage postest, aber deine ist etwas anders, also werde ich hier antworten.
Die kurze Antwort lautet: Wenn JEMAND Zugriff auf einen Endpunkt (das System, von dem aus Sie sich befinden
scp
oderscp
zu dem Sie sich befinden) und über die entsprechenden Berechtigungen verfügt , kann er sehen, was passiert. Wenn sie keinen Zugriff auf einen der Endpunkte haben, haben sie wahrscheinlich keinen Zugriff auf das, was Sie tun, oder können es nicht entschlüsseln (abgesehen davon, dass sie die Anwendung möglicherweise anhand der Protokollnummern kennen).Die Antwort hängt letztendlich stark von Ihrer Infrastruktur ab. Am wahrscheinlichsten ist es jedoch, dass Ihr Datenverkehr unbemerkt bleibt, solange keine intensive Überwachung stattfindet und SCP nicht als Bedrohung im Unternehmen eingestuft wird (was rote Fahnen auslöst). Dies gilt insbesondere für kleinere Unternehmen.
Wie @SimonRichter bereits erwähnt hat : Wenn jemand einen Befehl auf Ihrem System ausführen kann (z. B. admin oder andere), kann er Ihre Prozessliste überprüfen und die Befehlszeile anzeigen
scp -args /filepath/
. Dies setzt jedoch voraus, dass sie entweder alle Prozessaktivitäten protokollieren oder sie zum Zeitpunkt der Übertragung überprüfen. Wenn Sie es von Ihrem eigenen System bei der Arbeit auf ein anderes System übertragen (z. B. zu Hause oder anderswo), haben sie diese Sichtbarkeit nicht unbedingt.Zusätzlich, wie @ alex.forencich erwähnt: Es ist auch möglich, alle Systemaufrufe (einschließlich der Aufrufe zum Öffnen und Lesen von Dateien) zu protokollieren, selbst wenn Ihr Kopierprogramm (scp, sftp usw.) keine Protokolle oder Datenverluste (Befehlszeilenargumente) aufweist ) ist es immer noch möglich herauszufinden, welche Dateien gelesen oder geschrieben wurden. Siehe das Linux-Audit-System. -
quelle
Nicht nur der Administrator.
Zum Testen habe ich gerade
/bin
von meinem Server in ein temporäres Verzeichnis auf meinem Laptop kopiert .ps
auf dem Server zeigtDiese Informationen sind im Allgemeinen für alle Benutzer zugänglich.
quelle
/proc
mit Optionhidepid=2
diese Option .scp
funktioniert mit Hilfe von Code, der auf dem Server (sshd
und auf sichscp
selbst) ausgeführt wird. Dieser Server-Code liegt theoretisch vollständig in der Kontrolle des Server-Administrators, und die Version,scp
die auf dem Server ausgeführt wird, um die Datei über die Verbindung zu Ihnen aufzuschreiben, unterscheidet sich von der Version,scp
die auf Ihrem Computer ausgeführt wird, um die Anforderung auszustellen.Ein Administrator des Servers kann beispielsweise
scp
den Server durch eine Version ersetzen, in der alle Anforderungen protokolliert werden, so wie ein Webserver Protokolle schreiben kann. Dann konnten sie in diesen Protokollen genau sehen, was Sie kopiert haben.Ob sie das Fachwissen und die Motivation haben, dies tatsächlich zu tun, ist weniger sicher, aber wenn sie es wollen, dann gibt es im Prinzip nichts, was sie daran hindert.
Ich denke, diese Fragen sind Begleiter für Sie: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs
Obwohl ich alle die Details nicht kennen, scheint es , dass gerade aus der Box
scp
undsshd
nicht Optionen müssen sich anmelden , was Sie sind zu fragen. Vielleicht ist mehr erforderlich als eine einfache Konfiguration, aber Sie können nicht davon loskommen, dass Administratoren den Server steuern.quelle
Alles, was unverschlüsselt durch den Speicher eines Computers gelangt, kann von einem ausreichend privilegierten Benutzer auf diesem Computer gelesen oder geändert werden.
Auf die Namen der ausgeführten Prozesse und die Befehlszeile, mit der sie gestartet werden, kann jeder angemeldete Benutzer unter Linux zugreifen. (Für Neugierige ist dies unter Windows nicht der Fall.) Daher kann der Administrator oder jeder andere, der gerade in der Nähe ist, sehen, welche Dateien Sie kopiert haben. Darüber hinaus ist es dem Administrator durchaus möglich, eine Art Dateizugriffsprotokoll einzurichten oder das
scp
Programm an einem Ende zu ersetzen / zu wackeln , um eine zusätzliche Protokollierung durchzuführen .scp
schützt Sie nur vor Netzwerkschnüfflern. Offensichtlich müssen beide Seiten die entschlüsselten Daten kennen, so dass ein erfahrener Administrator an einem der beiden Endpunkte die Möglichkeit hat, die Daten ausscp
dem Speicher zu entfernen. Andere Lösungen, auch solche, die keine Befehlszeilen beinhalten, sind ebenfalls offen: Beide Seitensftp
wissen, was vor sich geht, sodass über die Speicherinspektion bestimmt werden kann, wassftp
gerade gedacht / übertragen wird.quelle
Als Faustregel gilt, dass eine Person mit Root-Zugriff alles wissen kann (wenn sie sich die Mühe macht, dies zu überprüfen). Wahrscheinlich ist das Einzige, was verboten ist, ein zertifikatsverschlüsseltes Dateisystem.
Während des
scp
Vorgangs wird auf der Remote-Seite ein Prozess geöffnet, der von jedem durch einfaches Aufrufen gesehen werden kannps
. Wenn Sie es schaffen, die in der Prozessliste angezeigte Befehlszeile auszublenden, kannlsof
(Liste der geöffneten Dateien) angezeigt werden, welche Dateien gerade berührt werden. Es ist so einfach, ich mache das tatsächlich, um zu beobachten, wie weit ein Kopierprozess ist, den ich gestartet habe, wenn ich den Prozess auf einem Terminal gestartet habe, das ich momentan nicht sehen kann (wo die Dateiliste ausgegeben wird).Nach dem Vorgang kann ein schneller Scan mit
find
die neuesten Dateien finden (wenn die Zeitstempel beim Kopieren nicht beibehalten wurden). Wenn in einerssh
Sitzung auf die Dateien zugegriffen oder diese berührt wurden ,.bash_history
zeigt Ihr , was Sie getan haben (aber Sie können das löschen, wenn Sie möchten).Wenn die Sicherheit sehr streng sein soll, können Sie jederzeit eine zusätzliche Überwachung einrichten: Sie können alle Dateiänderungen mit einem einfachen Daemon abhören und alles über lokale und entfernte Dateisystemtransaktionen protokollieren, was keine Rolle spielt. Es wäre keine Überraschung, alle vom Benutzer erzeugten Prozesse zu protokollieren . Wenn Sicherungen durchgeführt werden, werden die Dateien möglicherweise noch irgendwo gespeichert, nachdem Sie sie gelöscht haben.
quelle
file
, hast du gemeintfind
?Die Serveradministratoren können jeden Datenverkehr überwachen, der auf ihren Server gelangt oder von ihrem Server abreist, sodass sie bei Bedarf problemlos den SCP-Datenverkehr überwachen und feststellen können, ob und welche Dateien Sie kopiert haben.
quelle