সার্ভার অ্যাডমিনরা কি দেখতে পাবে আমি এসসিপির মাধ্যমে অনুলিপি করছি?

বলুন আমি এসসিপি এর মাধ্যমে কোনও সার্ভারের সাথে সংযোগ স্থাপন করছি এবং রিমোট সার্ভার থেকে কিছু ফাইলগুলি আমার হোম কম্পিউটারে অনুলিপি করছি। সার্ভার প্রশাসকরা কি বলতে পারবেন যে আমি কোনও কিছু অনুলিপি করেছি, কী অনুলিপি করা হয়েছে তা দেখুন বা কে অনুলিপি করেছেন?

একটি সার্ভারফল্ট প্রশ্ন এটি প্রায় অনুরূপ। আশা করি আপনি আপনার প্রশ্ন পোস্ট করার আগে পরীক্ষা করেছেন, তবে আপনার কিছুটা আলাদা তাই আমি এখানে উত্তর দেব।

সংক্ষিপ্ত উত্তরটি হ'ল যদি কারও কাছে শেষ পয়েন্টে অ্যাক্সেস এবং অনুমতি থাকে (আপনি যে সিস্টেমটি scpথেকে scpইন্টিগ্রেটেড বা ইনগ ইন করছেন) তারা কী দেখতে পায় তা দেখতে পারে। যদি তাদের উভয়ই শেষ প্রান্তে অ্যাক্সেস না থাকে, তবে তারা সম্ভবত আপনি কী করছেন তা অ্যাক্সেস করতে বা সিদ্ধান্ত নিতে সক্ষম হবে না (প্রোটোকল সংখ্যা দ্বারা অ্যাপ্লিকেশনটি সম্ভাব্যভাবে জেনেও)।

উত্তরটি অবশেষে আপনার অবকাঠামোর উপর নির্ভরশীল। সম্ভবত সম্ভবত, যতক্ষণ না তীব্র পর্যবেক্ষণ না করা হয় এবং এসসিপিটিকে সংস্থায় হুমকী হিসাবে বিবেচনা করা হয় না (যা লাল পতাকা ছুঁড়ে দেবে), আপনার ট্র্যাফিকটি নজরে না পড়েই চলে যাবে। এটি ছোট সংস্থাগুলির ক্ষেত্রে বিশেষভাবে সত্য।

যেমন @ সিমনরিখটার উল্লেখ করেছে : যদি কেউ আপনার সিস্টেমে কোনও আদেশ (যেমন। প্রশাসক বা অন্যদের) চালাতে পারে, তবে তারা আপনার প্রক্রিয়া তালিকাটি পরীক্ষা করতে পারে এবং কমান্ড লাইনটি দেখতে পারে scp -args /filepath/। তবে এটির প্রয়োজন হয় যে তারা হয় সমস্ত প্রক্রিয়া ক্রিয়াকলাপ লগইন করে বা আপনি স্থানান্তর করার সময় এটি পরীক্ষা করে। অতিরিক্তভাবে, আপনি যদি নিজের সিস্টেমে কাজ করে অন্য সিস্টেমে এটি করতে থাকেন (বাড়িতে বা অন্য কোথাও বলুন), তাদের অগত্যা এই দৃশ্যমানতা থাকবে না।

অতিরিক্ত হিসাবে, @ অ্যালেক্স.ফরঙ্কিচ যেমন উল্লেখ করেছেন: সমস্ত সিস্টেম কল লগ করাও সম্ভব (ফাইল ওপেন এবং রিড কল ​​সহ) আপনার অনুলিপি প্রোগ্রাম (scp, sftp, ইত্যাদি) লগ না করে বা কিছু ফাঁস না করলেও (কমান্ড লাইন আর্গুমেন্ট ), কী ফাইলগুলি পড়া বা লিখিত ছিল তা নির্ধারণ করা এখনও সম্ভব। লিনাক্স অডিট সিস্টেমটি দেখুন। -

শুধু অ্যাডমিন নয়।

পরীক্ষার জন্য, আমি /binআমার সার্ভার থেকে আমার ল্যাপটপের একটি অস্থায়ী ডিরেক্টরিতে অনুলিপি করেছি। psসার্ভারে শো

$ ps 24096
  PID TTY      STAT   TIME COMMAND
24096 ?        Ss     0:00 scp -r -f /bin

এই তথ্যটি সমস্ত ব্যবহারকারীর জন্য সাধারণত অ্যাক্সেসযোগ্য।

scpসার্ভারে চলমান কোডের সাহায্যে ( sshdএবং scpনিজেই) কাজ করে। এই সেভার কোডটি তাত্ত্বিকভাবে সার্ভার অ্যাডমিনের নিয়ন্ত্রণে রয়েছে এবং scpআপনার সাথে সংযোগটি ফাইল লিখতে সার্ভারে scpচলার সংস্করণটি অনুরোধ জানাতে আপনার মেশিনে চলার সংস্করণ থেকে আলাদা ।

সার্ভারের প্রশাসক, উদাহরণস্বরূপ, scpকোনও সার্ভারের মতো এমন একটি সংস্করণ দিয়ে প্রতিস্থাপন করতে পারে যা কোনও ওয়েব সার্ভার যেমন লগ লিখতে পারে তার পরিবর্তে সমস্ত অনুরোধগুলি লগ করে s তারপরে তারা সেই লগগুলি থেকে দেখতে পেল যে ঠিক আপনি অনুলিপি করেছেন।

তাদের দক্ষতা এবং প্রকৃতপক্ষে এটি করার অনুপ্রেরনা কম সুনির্দিষ্ট নয়, তবে তারা যদি নীতিগতভাবে চান তবে এগুলি বন্ধ করার মতো কিছুই নেই।

আমি মনে করি এই প্রশ্নগুলি আপনার সহযোদ্ধার: https://security.stackexchange.com/questions/14782/is-there-an-easy-way-to-see-a-log-of-scp-activity-on-a -সেসর-আলা-বর্ণ-লগ-সেকু , https://askubuntu.com/questions/659896/ कहीं-would-you-find-scp-logs

যদিও আমি সব বিস্তারিত জানি না, এটা বাক্সের যে সোজা আউট বলে মনে হয় scpএবং sshd না অপশন আপনি কি বলছি লগ ইন করতে হবে। সুতরাং সাধারণ কনফিগারেশনের চেয়ে সম্ভবত আরও বেশি প্রয়োজন, তবে প্রশাসকরা সার্ভারকে নিয়ন্ত্রণ করে এমনটি থেকে আপনি দূরে থাকতে পারবেন না।

একটি কম্পিউটারের মেমোরির মাধ্যমে এনক্রিপ্ট করা পাস করা যে কোনও কিছুই সেই মেশিনে পর্যাপ্ত অধিকার প্রাপ্ত ব্যবহারকারী দ্বারা পড়তে বা পরিবর্তন করা যায়।

চলমান প্রক্রিয়াগুলির নাম এবং এগুলি শুরু করতে ব্যবহৃত কমান্ড লাইনটি লিনাক্সের যে কোনও লগ-অন ব্যবহারকারীর পক্ষে অ্যাক্সেসযোগ্য। (কৌতুহলকারীদের জন্য এটি উইন্ডোজের ক্ষেত্রে নয়)) অতএব, প্রশাসক বা আশেপাশের যে কেউই হতে পারে আপনি কোন ফাইল অনুলিপি করেছেন তা দেখতে পেয়েছিল। অতিরিক্তভাবে, প্রশাসকের পক্ষে কোনও প্রকারের ফাইল অ্যাক্সেস লগিং সেটআপ করা বা scpঅতিরিক্ত লগিংয়ের জন্য প্রোগ্রামটিকে এক প্রান্তে / জিগল্ড করা সম্পূর্ণভাবে সম্ভব ।

scpকেবল নেটওয়ার্ক স্নিফার থেকে আপনাকে রক্ষা করে। স্পষ্টতই, উভয় প্রান্তে ডিক্রিপ্টেড ডেটা জানতে হবে, সুতরাং শেষের বিন্দুগুলির মধ্যে উভয়টিতে একটি অত্যাধুনিক প্রশাসকের সুযোগ রয়েছে যাতে scpস্মৃতি থেকে বেরিয়ে ডেটা চুষতে পারে । অন্যান্য সমাধানগুলি, এমনকি কমান্ড লাইনগুলিতে জড়িত না এমনগুলিও সেগুলির জন্য উন্মুক্ত: sftpকী চলছে তা উভয় প্রান্তই জানেন, সুতরাং কী sftpভাবছে / স্থানান্তর করছে তা মেমরির পরিদর্শনের মাধ্যমে নির্ধারণ করা সম্ভব ।

থাম্বের একটি নিয়ম হ'ল, রুট অ্যাক্সেসযুক্ত ব্যক্তি সমস্ত কিছু জানতে পারে (যদি তাকে চেক করার জন্য বিরক্ত করা যায়)। সীমা ছাড়াই সম্ভবত একমাত্র জিনিস হ'ল একটি শংসাপত্র-এনক্রিপ্টড ফাইল সিস্টেম।

এ্যাক্ট চলাকালীন , scpদূরবর্তী দিকের একটি প্রক্রিয়া খোলে, যা কেবলমাত্র আহবান করার মাধ্যমে যে কেউ দেখতে পাবেন ps। আপনি যদি প্রক্রিয়া তালিকায় প্রদর্শিত কমান্ডলাইনটি আড়াল করতে পরিচালনা করেন তবে lsof(খোলা ফাইলগুলির তালিকা) কোন ফাইলগুলি স্পর্শ করা হচ্ছে তা প্রদর্শন করতে পারে। এটি এত সহজ, আমি আসলে কতটা কপি প্রক্রিয়া শুরু করেছি তা পর্যবেক্ষণ করতে এটি করছি, যদি আমি টার্মিনালে প্রক্রিয়াটি শুরু করি তবে আমি এই মুহুর্তে দেখতে পাচ্ছি না (যেখানে ফাইল তালিকা আউটপুট হচ্ছে)।

এ্যাক্টের পরে , দ্রুত স্ক্যান findকরে নতুনতম ফাইলগুলি খুঁজে পেতে পারে (যদি কপির সময়ে টাইমস্ট্যাম্পগুলি সংরক্ষণ করা না থাকে)। যদি কোনও sshসেশনের মাধ্যমে যদি ফাইলগুলি অ্যাক্সেস করা বা কোনওভাবে স্পর্শ করা হয় , .bash_historyতবে আপনি কী করছেন তা আপনার শো দেখায় (তবে আপনি চাইলে এটি মুছতে পারেন)।

সুরক্ষা যদি খুব কড়া বলে বোঝানো হয় তবে আপনি সর্বদা অতিরিক্ত মনিটরিং সেটআপ করতে পারেন: আপনি কোনও সাধারণ ডিমন দিয়ে সমস্ত ফাইল পরিবর্তন শুনতে পারেন এবং স্থানীয় এবং দূরবর্তী ফাইল সিস্টেমের লেনদেন সম্পর্কে সমস্ত কিছু লগ করতে পারেন। ব্যবহারকারীর দ্বারা তৈরি সমস্ত প্রক্রিয়া লগ করা অবাক হওয়ার কিছু হবে না । যদি ব্যাকআপগুলি করা হচ্ছে, আপনি মুছে ফেলার পরে ফাইলগুলি অন্য কোথাও সঞ্চিত থাকতে পারে।

সার্ভার প্রশাসকরা যেকোন ট্র্যাফিক যা তাদের সার্ভারে বা বাইরে যেতে পারে তা নিরীক্ষণ করতে সক্ষম হয়, তাই তারা চাইলে সহজেই এসসিপি ট্র্যাফিকটি নিরীক্ষণ করতে পারে এবং আপনি যে ফাইলগুলি অনুলিপি করেছেন এবং কোন ফাইল অনুলিপি করেছেন তা দেখুন।