क्या सर्वर व्यवस्थापक देख सकता है कि मैं एससीपी के माध्यम से क्या कॉपी करता हूं?

मान लें कि मैं एससीपी के माध्यम से एक सर्वर से जुड़ रहा हूं और दूरस्थ सर्वर से कुछ फाइलों को अपने घर के कंप्यूटर में कॉपी कर रहा हूं। क्या सर्वर मान सकता है कि मैंने कुछ कॉपी किया है, देखें कि क्या कॉपी किया गया था, या पता है कि किसने कॉपी किया था?

एक सर्वरफॉल्ट प्रश्न लगभग इसके समान है। उम्मीद है कि आपने अपना प्रश्न पोस्ट करने से पहले जाँच की थी, लेकिन आपका काम थोड़ा अलग है इसलिए मैं यहाँ उत्तर दूंगा।

संक्षिप्त उत्तर यह है कि अगर किसी के पास एंडपॉइंट (जिस सिस्टम से आप scpया scpआईएनजी हैं) तक पहुंच और अनुमति हैं , वे देख सकते हैं कि क्या होता है। यदि उनके पास एंडपॉइंट तक पहुंच नहीं है, तो वे संभवतः आपके पास क्या कर रहे हैं या क्या आप कर रहे हैं (प्रोटोकॉल नंबरों द्वारा एप्लिकेशन को जानने के अलावा) को समझने में सक्षम नहीं होंगे।

इसका उत्तर अंततः आपके बुनियादी ढांचे पर बहुत निर्भर करता है। सबसे अधिक संभावना है, जब तक कि गहन निगरानी नहीं होती है और एससीपी को कंपनी में खतरे में नहीं माना जाता है (जो लाल झंडे को फेंक देगा), आपका ट्रैफ़िक किसी का ध्यान नहीं जाएगा। यह विशेष रूप से छोटी कंपनियों के लिए सच है।

जैसा कि @SimonRichter ने उल्लेख किया है : यदि कोई आपके सिस्टम (यानी। व्यवस्थापक या अन्य) पर एक कमांड निष्पादित कर सकता है, तो वे आपकी प्रक्रिया सूची की जांच कर सकते हैं और कमांड लाइन देख सकते हैं scp -args /filepath/। हालाँकि इसके लिए आवश्यक है कि वे या तो सभी प्रक्रिया गतिविधि को लॉग कर रहे हों या जिस समय आप स्थानांतरित कर रहे हैं, उस समय इसकी जाँच कर रहे हों। इसके अतिरिक्त, यदि आप इसे अपने सिस्टम से किसी अन्य सिस्टम पर काम कर रहे हैं (घर पर या कहीं और कहें), तो वे जरूरी नहीं कि दृश्यता भी होगी।

इसके अतिरिक्त, जैसा कि @ alex.forencich ने उल्लेख किया है: सभी सिस्टम कॉल (फाइल ओपन और रीड कॉल सहित) को लॉग करना भी संभव है, भले ही आपका प्रतिलिपि प्रोग्राम (scp, sftp, आदि) कुछ भी लॉग न करें या लीक न करें (कमांड लाइन तर्क) ), यह अभी भी पता लगाना संभव है कि कौन सी फाइलें पढ़ी गईं या लिखी गईं। लिनक्स ऑडिट सिस्टम देखें। -

सिर्फ एडमिन ही नहीं।

परीक्षण के लिए, मैंने बस /binअपने सर्वर से अपने लैपटॉप पर एक अस्थायी निर्देशिका में प्रतिलिपि बनाई । psसर्वर पर दिखाता है

$ ps 24096
  PID TTY      STAT   TIME COMMAND
24096 ?        Ss     0:00 scp -r -f /bin

यह जानकारी आम तौर पर सभी उपयोगकर्ताओं के लिए सुलभ है।

scpसर्वर पर चल रहे कोड ( sshdऔर scpखुद) की मदद से काम करता है । वह गंभीर कोड पूरी तरह से सर्वर व्यवस्थापक के नियंत्रण में सिद्धांत में है, और scpसर्वर पर चलने का संस्करण आपको कनेक्शन को नीचे फ़ाइल लिखने के लिए, scpअनुरोध जारी करने के लिए आपकी मशीन पर चलने के संस्करण से अलग है ।

सर्वर का एक प्रशासक, उदाहरण के लिए, scpसर्वर पर एक संस्करण के साथ प्रतिस्थापित कर सकता है जो सभी अनुरोधों को लॉग करता है, बल्कि एक वेब सर्वर की तरह लॉग लिख सकता है। तब वे उन लॉग से देख सकते थे जो आपने कॉपी किए थे।

क्या उनके पास विशेषज्ञता है और वास्तव में ऐसा करने की प्रेरणा कम निश्चित है, लेकिन अगर वे चाहते हैं तो सिद्धांत रूप में उन्हें रोकने के लिए कुछ भी नहीं है।

मुझे लगता है कि ये प्रश्न आपके साथी हैं: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -server-ala-var-log-secu , https://askubuntu.com/questions/659896/where-would-you-find-scp-logs

हालाँकि मुझे सभी विवरणों की जानकारी नहीं है, फिर भी ऐसा लगता है कि सीधे बॉक्स से बाहर हैं scpऔर आपके sshd पास इस बारे में पूछने का विकल्प नहीं है। इसलिए शायद सरल विन्यास की तुलना में अधिक आवश्यक है, लेकिन आप इस तथ्य से दूर नहीं हो सकते हैं कि प्रवेश सर्वर को नियंत्रित करता है।

किसी भी चीज को कंप्यूटर की मेमोरी के माध्यम से अनएन्क्रिप्टेड पास करने पर उस मशीन पर पर्याप्त रूप से विशेषाधिकार प्राप्त उपयोगकर्ता द्वारा पढ़ा या बदला जा सकता है।

चलने वाली प्रक्रियाओं के नाम और उन्हें शुरू करने के लिए उपयोग की जाने वाली कमांड लाइन लिनक्स पर किसी भी लॉग-इन उपयोगकर्ता के लिए सुलभ है। (यह विंडोज पर, जिज्ञासु के लिए मामला नहीं है।) इसलिए, व्यवस्थापक या कोई भी जो आसपास होता है वह देख सकता है कि कौन सी फाइलें कॉपी की गई हैं। इसके अतिरिक्त, व्यवस्थापक के लिए यह पूरी तरह से संभव है कि वह किसी प्रकार की फ़ाइल एक्सेस लॉगिंग सेट करे, या scpअतिरिक्त लॉगिंग करने के लिए प्रोग्राम को एक छोर पर बदल / जोड़ कर रखे ।

scpबस आपको नेटवर्क स्निफर्स से बचाता है। जाहिर है, दोनों सिरों को डिक्रिप्ट किए गए डेटा को जानना होगा, इसलिए डेटा के बाहर scpमेमोरी को चूसने के लिए एंडपॉइंट में से किसी एक पर एक परिष्कृत व्यवस्थापक के लिए अवसर है । अन्य समाधान, यहां तक ​​कि जो कमांड लाइन को शामिल नहीं करते हैं, वे भी इसके लिए खुले हैं: दोनों को sftpपता है कि क्या चल रहा है, इसलिए मेमोरी निरीक्षण के माध्यम से यह निर्धारित करना संभव है कि क्या sftpसोच रहा है / स्थानांतरित कर रहा है।

अंगूठे का एक नियम है, रूट एक्सेस वाला व्यक्ति सब कुछ जान सकता है (यदि उसे जांचने के लिए परेशान किया जा सकता है)। संभवतः केवल एक चीज जो बंद सीमा है, एक प्रमाणपत्र-एन्क्रिप्टेड फ़ाइल सिस्टम है।

दौरान अधिनियम, scpदूरदराज के पक्ष है, जिसके द्वारा देखा जा सकता है पर एक प्रक्रिया को खोलता है किसी को भी सिर्फ लागू द्वारा ps। यदि आप प्रक्रिया सूची में दिखाई देने वाली कमांडलाइन को छिपाने का प्रबंधन करते हैं, तो lsof(खुली फ़ाइलों की सूची) दिखा सकती है कि कौन सी फाइलें स्पर्श की जा रही हैं। यह इतना आसान है, मैं वास्तव में यह देख रहा हूं कि मैंने जो कुछ प्रतिलिपि प्रक्रिया शुरू की है, अगर मैं उस टर्मिनल पर प्रक्रिया शुरू करता हूं जिसे मैं इस समय नहीं देख सकता हूं (जहां फ़ाइल सूची आउटपुट हो रही है)।

अधिनियम के बाद , एक त्वरित स्कैन findनवीनतम फाइलों को ढूंढ सकता है (यदि कॉपी के दौरान टाइमस्टैम्प संरक्षित नहीं थे)। यदि किसी sshसत्र के माध्यम से फ़ाइलों को किसी भी तरह से एक्सेस या टच किया गया था, तो आपके .bash_historyशो जो आप कर रहे थे (लेकिन आप चाहें तो हटा सकते हैं)।

यदि सुरक्षा का मतलब बहुत सख्त है, तो आप हमेशा अतिरिक्त निगरानी सेट कर सकते हैं: आप एक साधारण डेमॉन के साथ सभी फ़ाइल संशोधनों को सुन सकते हैं, और फाइलसिस्टम लेनदेन, स्थानीय और रिमोट के बारे में सब कुछ लॉग इन करते हैं, इससे कोई फर्क नहीं पड़ता। सभी उपयोगकर्ता-प्रायोजित प्रक्रियाओं को लॉग करना कोई आश्चर्य की बात नहीं होगी । यदि बैकअप किया जा रहा है, तो फ़ाइलें आपके द्वारा हटाने के बाद भी कहीं संग्रहीत की जा सकती हैं।

सर्वर व्यवस्थापक किसी भी ट्रैफ़िक की निगरानी करने में सक्षम हैं जो उनके सर्वर में या उसके बाहर यात्रा करता है, इसलिए वे आसानी से एससीपी ट्रैफ़िक की निगरानी कर सकते हैं यदि वे चाहते थे, और देखें कि आपने फ़ाइलों की प्रतिलिपि बनाई है और आपने किन फ़ाइलों की प्रतिलिपि बनाई है।