假设我设置了一个用于处理敏感数据的服务器。指示系统的少数授权用户不要将任何敏感数据从平台中复制出来,但原则上可以使用scp等进行复制。这类似于我的汽车能够以 200 公里/小时的速度行驶,尽管我不允许在我居住的任何地方这样做。现在,如果用户以某种方式将数据从系统中复制出来,
我是否可以以某种方式检测并记录(最好通过,但也可以是其他工具)? 我想我可以明确监控命令的使用情况,例如、、等,但也可能存在我没有监控的其他工具,用户自己的程序、恶意用户重命名的常用复制工具副本等。 我想有些东西可能在网络级别更可靠地检测到,但仍然:一个足够坚定的恶意用户是否无法通过加密网络连接偷偷将数据传出,而我无法监控正在传输的内容?auditdscprsyncftpsftp