O administrador do servidor pode ver o que eu copio via SCP?

31

Digamos que estou me conectando a um servidor via SCP e copiando alguns arquivos do servidor remoto para o meu computador doméstico. Os administradores do servidor podem dizer que copiei alguma coisa, ver o que foi copiado ou saber quem copiou?

    
por Kironide 18.02.2016 / 06:19

6 respostas

31

Uma questão ServerFault é quase idêntica a esta. Espero que você tenha verificado antes de postar sua pergunta, mas a sua é um pouco diferente, então vou responder aqui.

A resposta curta é que, se QUALQUER UM tiver acesso e permissões para um endpoint (o sistema para o qual você está scp ou scp ), eles poderão ver o que acontece. Se eles não tiverem acesso a nenhum endpoint, provavelmente não terão acesso ou decifrarão o que você está fazendo (além de possivelmente conhecer o aplicativo por números de protocolo).

A resposta é basicamente muito dependente da sua infraestrutura. O mais provável é que, desde que não haja monitoramento intenso e o SCP não seja considerado uma ameaça à empresa (o que causará sinais de alerta), seu tráfego passará despercebido. Isso é especialmente verdadeiro para empresas menores.

Como @SimonRichter mencionado : se alguém pode executar um comando em seu sistema (ie. admin ou outros), eles pode verificar sua lista de processos e ver a linha de comando scp -args /filepath/ . No entanto, isso exige que eles estejam registrando toda a atividade do processo ou verificando-a no momento em que você está transferindo. Além disso, se você estiver fazendo isso do seu próprio sistema no trabalho para outro sistema (digamos, em casa ou em outro lugar), eles não terão necessariamente essa visibilidade.

Além disso, como @ alex.forencich mencionou: Também é possível registrar todas as chamadas do sistema (incluindo abrir arquivos e ler chamadas), mesmo que seu programa de cópia (scp, sftp, etc.) não registre ou vaze nada ( argumentos de linha de comando), ainda é possível descobrir quais arquivos foram lidos ou gravados. Veja o sistema de auditoria do Linux. -

    
por 18.02.2016 / 06:25
32

Não apenas o administrador.

Para o teste, acabei de copiar /bin do meu servidor para um diretório temporário no meu laptop. ps no servidor mostra

$ ps 24096
  PID TTY      STAT   TIME COMMAND
24096 ?        Ss     0:00 scp -r -f /bin

Esta informação é geralmente acessível a todos os usuários.

    
por 18.02.2016 / 12:52
12

scp funciona com a ajuda do código em execução no servidor ( sshd e scp em si). Esse código de servidor está, em tese, completamente sob o controle do administrador do servidor, e a versão do scp em execução no servidor para gravar o arquivo na conexão com você é separada da versão do scp em execução na sua máquina. Emitir o pedido.

Um administrador do servidor poderia, apenas por exemplo, substituir scp no servidor por uma versão que registra todos os pedidos, da mesma forma que um servidor da Web pode gravar logs. Então eles podiam ver a partir desses registros exatamente o que você copiou.

Se eles têm o conhecimento e a motivação para realmente fazer isso é menos definido, mas se eles querem, então, em princípio, não há nada para detê-los.

Acho que essas perguntas são complementares à sua: link , link

Embora eu não saiba todos os detalhes, parece que saí da caixa scp e sshd não tem opções para registrar o que você está perguntando. Portanto, talvez seja necessário mais do que uma configuração simples, mas você não pode se afastar do fato de que os administradores controlam o servidor.

    
por 18.02.2016 / 13:04
10

Qualquer coisa que passe sem criptografia pela memória de um computador pode ser lida ou alterada por um usuário com privilégios suficientes nessa máquina.

Os nomes dos processos em execução e a linha de comando usada para iniciá-los são acessíveis a qualquer usuário conectado no Linux. (Este não é o caso do Windows, para os curiosos.) Portanto, o administrador ou qualquer outra pessoa que esteja por perto poderia ver quais arquivos você copiou. Além disso, é totalmente possível que o administrador tenha configurado algum tipo de log de acesso a arquivos ou tenha substituído / agitado o programa scp em uma extremidade para fazer log extra.

scp apenas protege você dos sniffers de rede. Obviamente, ambas as extremidades precisam conhecer os dados descriptografados, então existe a oportunidade de um administrador sofisticado em qualquer um dos endpoints extrair os dados da memória de scp . Outras soluções, mesmo aquelas que não envolvem linhas de comando, também estão abertas para isso: ambas as extremidades de sftp sabem o que está acontecendo, então é possível determinar através da inspeção de memória o que sftp está pensando / transferindo.

    
por 18.02.2016 / 15:18
6

Uma regra geral é que uma pessoa com acesso root pode saber tudo (se ele puder ser incomodado para verificar). Provavelmente, a única coisa que está fora dos limites é um sistema de arquivos criptografado por certificado.

durante o ato, o scp abre um processo no lado remoto, que pode ser visto por qualquer pessoa apenas invocando ps . Se você conseguir esconder a linha de comando aparecendo na lista de processos, então lsof (lista de arquivos abertos) pode mostrar quais arquivos estão sendo tocados. É tão fácil, eu estou realmente fazendo isso para observar o quão longe eu comecei um processo de cópia, se eu iniciei o processo em um terminal que não posso ver no momento (onde a lista de arquivos está sendo produzida).

após o ato, uma varredura rápida com find pode encontrar os arquivos mais novos (se os timestamps não forem preservados durante a cópia). Se os arquivos foram acessados ou tocados de alguma forma por meio de uma sessão ssh , seu .bash_history mostra o que você estava fazendo (mas você pode excluí-lo se quiser).

Se a segurança se destina a ser muito rigorosa, você sempre pode configurar um monitoramento adicional: você pode ouvir todas as modificações de arquivos com um daemon simples e registrar tudo sobre transações do sistema de arquivos, locais e remotas, não importa. Não seria uma surpresa registrar todos os processos gerados pelo usuário . Se os backups estiverem sendo feitos, os arquivos podem ainda estar armazenados em algum lugar depois de serem excluídos.

    
por 19.02.2016 / 10:28
1

Os administradores do servidor podem monitorar qualquer tráfego que viaje ou saia de seu servidor, para que possam monitorar o tráfego SCP facilmente, se desejarem, e ver que você copiou arquivos e quais arquivos copiou.

    
por 18.02.2016 / 10:38

Tags