¿Puede el administrador del servidor ver lo que copio a través de SCP?

31

Digamos que me estoy conectando a un servidor a través de SCP y estoy copiando algunos archivos del servidor remoto a la computadora de mi casa. ¿Pueden los administradores del servidor decir que he copiado algo, ver qué se copió o saber quién lo copió?

Kironida
fuente
2
uso sftp. Puede estar registrado, pero no es claramente visible como el título del proceso scp.
Jakuje
2
¿Probablemente solo sea una cuestión de cambiar el nivel de registro en el servidor? No lo comprobé.
jcaron
14
Siempre asumiría que todo se vigila y registra de cerca si no tiene el control del servidor.
axk
3
Los administradores del servidor pueden ver todo lo que haces en su servidor; eso está un poco implicado por el término "administrador". La única pregunta es si realmente están prestando atención o cuidado.
Ajedi32

Respuestas:

31

Una pregunta de ServerFault es casi idéntica a esta. Espero que haya verificado antes de publicar su pregunta, pero la suya es un poco diferente, por lo que responderé aquí.

La respuesta corta es que si CUALQUIERA tiene acceso y permisos a un punto final (el sistema desde el que se está scpyendo scp), pueden ver qué sucede. Si no tienen acceso a ninguno de los puntos finales, es probable que no tengan acceso ni puedan descifrar lo que está haciendo (aparte de conocer potencialmente la aplicación por números de protocolo).

La respuesta depende en última instancia de su infraestructura. Sin embargo, lo más probable es que, mientras no haya un monitoreo intenso y SCP no se considere una amenaza en la empresa (lo que arrojará banderas rojas), su tráfico pasará desapercibido. Esto es especialmente cierto para las empresas más pequeñas.

Como mencionó @SimonRichter : si alguien puede ejecutar un comando en su sistema (es decir, administrador u otros), puede verificar su lista de procesos y ver la línea de comandos scp -args /filepath/. Sin embargo, esto requiere que estén registrando toda la actividad del proceso o verificándola en el momento de la transferencia. Además, si lo está haciendo desde su propio sistema en el trabajo a otro sistema (por ejemplo, en casa o en otro lugar), no necesariamente tendrán esa visibilidad.

Además, como mencionó @ alex.forencich: también es posible registrar todas las llamadas al sistema (incluidas las llamadas de archivo abierto y de lectura), incluso si su programa de copia (scp, sftp, etc.) no registra ni pierde nada (argumentos de la línea de comandos ), aún es posible averiguar qué archivos se leyeron o escribieron. Ver el sistema de auditoría de Linux. -

Abraxas
fuente
También es posible registrar todas las llamadas al sistema (incluidas las llamadas de archivo abierto y de lectura), por lo que incluso si su programa de copia (scp, sftp, etc.) no registra ni pierde nada (argumentos de la línea de comandos), aún es posible averiguar qué archivos fueron leídos o escritos. Ver el sistema de auditoría de Linux.
alex.forencich
Gracias @ alex.forencich, ¡estoy agregando tu comentario a la respuesta!
Abraxas
33

No solo el administrador.

Para las pruebas, acabo de copiar /binde mi servidor a un directorio temporal en mi computadora portátil. psen el servidor muestra

$ ps 24096
  PID TTY      STAT   TIME COMMAND
24096 ?        Ss     0:00 scp -r -f /bin

Esta información es generalmente accesible para todos los usuarios.

Simon Richter
fuente
66
Para kernel> = 3.2, (re) montaje /proccon opción hidepid=2deshabilita esto ..
heemayl
"Esta información es generalmente accesible para todos los usuarios". Huh, enserio? ¿Todos los usuarios pueden ver lo que están haciendo todos los demás usuarios? No lo he probado, pero eso me parece poco probable. Incluso en Windows solo puede ver sus propios procesos (a menos que sea un administrador y haga clic en un botón especial de administrador).
Lightness compite con Monica
@PreferenceBean, sí, pero esa es la configuración predeterminada. Dependiendo de cómo el administrador haya configurado la configuración de umask , los directorios personales de otras personas también pueden ser legibles por defecto.
Simon Richter
Mostrar información como esa sobre otro usuario como este suena como un defecto supremamente tonto.
CodesInChaos
@CodesInChaos, esa es una decisión antigua, tomada por un tiempo en el que la gente tenía que compartir la computadora de manera cooperativa, por lo que era mejor si pudieras decir fácilmente quién estaba acaparando la CPU y por qué, para poder hablar con ellos. En estos días, nadie se molesta en general, porque muy pocas personas inician sesión en computadoras compartidas.
Simon Richter
12

scpfunciona con la ayuda del código que se ejecuta en el servidor ( sshdy en scpsí mismo). Ese código de servidor está, en teoría, completamente bajo el control del administrador del servidor, y la versión de scpejecución en el servidor para escribir el archivo en la conexión, es independiente de la versión de scpejecución en su máquina para emitir la solicitud.

Un administrador del servidor podría, solo por ejemplo, reemplazar scpen el servidor con una versión que registre todas las solicitudes, de manera similar a como un servidor web puede escribir registros. Entonces pudieron ver en esos registros exactamente lo que copiaste.

Si tienen la experiencia y la motivación para hacerlo realmente es menos definitivo, pero si lo desean, en principio no hay nada que los detenga.

Creo que estas preguntas son suyas: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs

Aunque no conozco todos los detalles, parece que está listo para usar scpy sshd no tengo opciones para registrar lo que está preguntando. Entonces, tal vez se requiera más que una configuración simple, pero no se puede escapar del hecho de que los administradores controlan el servidor.

Steve Jessop
fuente
10

Cualquier cosa que pase sin cifrar a través de la memoria de una computadora puede ser leída o cambiada por un usuario suficientemente privilegiado en esa máquina.

Los nombres de los procesos en ejecución y la línea de comando utilizada para iniciarlos son accesibles para cualquier usuario que haya iniciado sesión en Linux. (Este no es el caso en Windows, para los curiosos). Por lo tanto, el administrador o cualquier otra persona que esté cerca podría ver qué archivos copió. Además, es completamente posible que el administrador haya configurado algún tipo de registro de acceso a archivos, o que haya reemplazado / movido el scpprograma en un extremo para hacer un registro adicional.

scpsolo lo protege de los rastreadores de red. Obviamente, ambos extremos deben conocer los datos descifrados, por lo que existe la oportunidad de que un administrador sofisticado en cualquiera de los puntos finales extraiga los datos de scpla memoria. Otras soluciones, incluso aquellas que no involucran líneas de comando, también están abiertas a eso: ambos extremos de sftpsaber qué está sucediendo, por lo que es posible determinar a través de la inspección de memoria lo que sftpestá pensando / transfiriendo.

Ben N
fuente
6

Una regla general es que una persona con acceso de root puede saber todo (si puede molestarse en verificar). Probablemente lo único que está fuera de los límites es un sistema de archivos cifrado con certificado.

Durante el acto, se scpabre un proceso en el lado remoto, que puede ser visto por cualquiera simplemente invocando ps. Si logra ocultar la línea de comandos que aparece en la lista de procesos, entonces lsof(lista de archivos abiertos) puede mostrar qué archivos se están tocando. Es muy fácil, en realidad estoy haciendo eso para observar qué tan lejos está el proceso de copia que comencé, si comencé el proceso en una terminal que no puedo ver en este momento (donde se está imprimiendo la lista de archivos).

después del acto, un escaneo rápido con findpuede encontrar los archivos más nuevos (si las marcas de tiempo no se conservaron durante la copia). Si se accedió o tocó los archivos de alguna manera a través de una sshsesión, su .bash_historymuestra lo que estaba haciendo (pero puede eliminarlo si lo desea).

Si la seguridad debe ser muy estricta, siempre puede configurar una supervisión adicional: puede escuchar todas las modificaciones de archivos con un simple demonio y registrar todo lo relacionado con las transacciones del sistema de archivos, local y remoto, no importa. No sería una sorpresa registrar todos los procesos generados por los usuarios . Si se realizan copias de seguridad, es posible que los archivos aún se almacenen en algún lugar después de eliminarlos.

Orión
fuente
Cuando escribiste file, ¿querías decir find?
un CVn
1

Los administradores del servidor pueden monitorear cualquier tráfico que entre o salga de su servidor, por lo que pueden monitorear fácilmente el tráfico SCP si lo desean, y ver que usted ha copiado archivos y qué archivos ha copiado.

Micheal Johnson
fuente
"que ha copiado archivos" es muy diferente de "lo que copio" como lo indica el OP.
un CVn
ellos también pueden ver eso
Micheal Johnson