Digamos que me estoy conectando a un servidor a través de SCP y estoy copiando algunos archivos del servidor remoto a la computadora de mi casa. ¿Pueden los administradores del servidor decir que he copiado algo, ver qué se copió o saber quién lo copió?
31
sftp
. Puede estar registrado, pero no es claramente visible como el título del procesoscp
.Respuestas:
Una pregunta de ServerFault es casi idéntica a esta. Espero que haya verificado antes de publicar su pregunta, pero la suya es un poco diferente, por lo que responderé aquí.
La respuesta corta es que si CUALQUIERA tiene acceso y permisos a un punto final (el sistema desde el que se está
scp
yendoscp
), pueden ver qué sucede. Si no tienen acceso a ninguno de los puntos finales, es probable que no tengan acceso ni puedan descifrar lo que está haciendo (aparte de conocer potencialmente la aplicación por números de protocolo).La respuesta depende en última instancia de su infraestructura. Sin embargo, lo más probable es que, mientras no haya un monitoreo intenso y SCP no se considere una amenaza en la empresa (lo que arrojará banderas rojas), su tráfico pasará desapercibido. Esto es especialmente cierto para las empresas más pequeñas.
Como mencionó @SimonRichter : si alguien puede ejecutar un comando en su sistema (es decir, administrador u otros), puede verificar su lista de procesos y ver la línea de comandos
scp -args /filepath/
. Sin embargo, esto requiere que estén registrando toda la actividad del proceso o verificándola en el momento de la transferencia. Además, si lo está haciendo desde su propio sistema en el trabajo a otro sistema (por ejemplo, en casa o en otro lugar), no necesariamente tendrán esa visibilidad.Además, como mencionó @ alex.forencich: también es posible registrar todas las llamadas al sistema (incluidas las llamadas de archivo abierto y de lectura), incluso si su programa de copia (scp, sftp, etc.) no registra ni pierde nada (argumentos de la línea de comandos ), aún es posible averiguar qué archivos se leyeron o escribieron. Ver el sistema de auditoría de Linux. -
fuente
No solo el administrador.
Para las pruebas, acabo de copiar
/bin
de mi servidor a un directorio temporal en mi computadora portátil.ps
en el servidor muestraEsta información es generalmente accesible para todos los usuarios.
fuente
/proc
con opciónhidepid=2
deshabilita esto ..scp
funciona con la ayuda del código que se ejecuta en el servidor (sshd
y enscp
sí mismo). Ese código de servidor está, en teoría, completamente bajo el control del administrador del servidor, y la versión descp
ejecución en el servidor para escribir el archivo en la conexión, es independiente de la versión descp
ejecución en su máquina para emitir la solicitud.Un administrador del servidor podría, solo por ejemplo, reemplazar
scp
en el servidor con una versión que registre todas las solicitudes, de manera similar a como un servidor web puede escribir registros. Entonces pudieron ver en esos registros exactamente lo que copiaste.Si tienen la experiencia y la motivación para hacerlo realmente es menos definitivo, pero si lo desean, en principio no hay nada que los detenga.
Creo que estas preguntas son suyas: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs
Aunque no conozco todos los detalles, parece que está listo para usar
scp
ysshd
no tengo opciones para registrar lo que está preguntando. Entonces, tal vez se requiera más que una configuración simple, pero no se puede escapar del hecho de que los administradores controlan el servidor.fuente
Cualquier cosa que pase sin cifrar a través de la memoria de una computadora puede ser leída o cambiada por un usuario suficientemente privilegiado en esa máquina.
Los nombres de los procesos en ejecución y la línea de comando utilizada para iniciarlos son accesibles para cualquier usuario que haya iniciado sesión en Linux. (Este no es el caso en Windows, para los curiosos). Por lo tanto, el administrador o cualquier otra persona que esté cerca podría ver qué archivos copió. Además, es completamente posible que el administrador haya configurado algún tipo de registro de acceso a archivos, o que haya reemplazado / movido el
scp
programa en un extremo para hacer un registro adicional.scp
solo lo protege de los rastreadores de red. Obviamente, ambos extremos deben conocer los datos descifrados, por lo que existe la oportunidad de que un administrador sofisticado en cualquiera de los puntos finales extraiga los datos descp
la memoria. Otras soluciones, incluso aquellas que no involucran líneas de comando, también están abiertas a eso: ambos extremos desftp
saber qué está sucediendo, por lo que es posible determinar a través de la inspección de memoria lo quesftp
está pensando / transfiriendo.fuente
Una regla general es que una persona con acceso de root puede saber todo (si puede molestarse en verificar). Probablemente lo único que está fuera de los límites es un sistema de archivos cifrado con certificado.
Durante el acto, se
scp
abre un proceso en el lado remoto, que puede ser visto por cualquiera simplemente invocandops
. Si logra ocultar la línea de comandos que aparece en la lista de procesos, entonceslsof
(lista de archivos abiertos) puede mostrar qué archivos se están tocando. Es muy fácil, en realidad estoy haciendo eso para observar qué tan lejos está el proceso de copia que comencé, si comencé el proceso en una terminal que no puedo ver en este momento (donde se está imprimiendo la lista de archivos).después del acto, un escaneo rápido con
find
puede encontrar los archivos más nuevos (si las marcas de tiempo no se conservaron durante la copia). Si se accedió o tocó los archivos de alguna manera a través de unassh
sesión, su.bash_history
muestra lo que estaba haciendo (pero puede eliminarlo si lo desea).Si la seguridad debe ser muy estricta, siempre puede configurar una supervisión adicional: puede escuchar todas las modificaciones de archivos con un simple demonio y registrar todo lo relacionado con las transacciones del sistema de archivos, local y remoto, no importa. No sería una sorpresa registrar todos los procesos generados por los usuarios . Si se realizan copias de seguridad, es posible que los archivos aún se almacenen en algún lugar después de eliminarlos.
fuente
file
, ¿querías decirfind
?Los administradores del servidor pueden monitorear cualquier tráfico que entre o salga de su servidor, por lo que pueden monitorear fácilmente el tráfico SCP si lo desean, y ver que usted ha copiado archivos y qué archivos ha copiado.
fuente