Файловый сервер RH9 с последней Самбой.
На нём есть папочка открытая для всех - мусорка.
Не подскажете как настроить логи таким образом, чтоб отследить, например, заливающих порно или вообще всех пишущих?
Без создания аккаунтов и домашних папок можно как-нибудь обойтись?
Samba логи (мониторинг активности пользователей)
Модераторы: SLEDopit, Модераторы разделов
-
kapa
- Сообщения: 143
Re: Samba логи
упрощаем задачу 
допустим, я делаю файл с правами r--r--r-- и кладу его в разные папки
какой уровень debug level и/или log level будет достаточным/неизбыточным для мониторинга попыток удалить его?
допустим, я делаю файл с правами r--r--r-- и кладу его в разные папки
какой уровень debug level и/или log level будет достаточным/неизбыточным для мониторинга попыток удалить его?
-
Phantom
- Сообщения: 24
Re: Samba логи
Поставь максимальный log level и посмотри сам что для тебя будет достаточным.
Самба в логах пишет на каком уровне сделана каждая запись в лог.
1 после даты - это и есть log level
Самба в логах пишет на каком уровне сделана каждая запись в лог.
Код: Выделить всё
[2002/11/11 10:15:32, 1] lib/debug.c:debug_message(247)
INFO: Debug class all level = 3 (pid 4228 from pid 4228)1 после даты - это и есть log level
В связи с ненадобностью аккаунта и невозможностью его удалить предоставляю его в public domain
login: wwk
passwd: gtyudby
login: wwk
passwd: gtyudby
-
kapa
- Сообщения: 143
Re: Samba логи
докладываю - частично разобрался:
в настройках smb.conf в vfs objects добавляем слово audit, например так:
[Svalka]
comment = Audited / Protected by ClamAV
path = /Путь/Svalka
read only = No
guest ok = Yes
write cache size = 524288
vfs objects = audit vscan-clamav
vscan-clamav: config-file = /etc/samba/vscan-clamav.conf
делаем loglevel и syslog = 1
для мониторинга действий с папками этого достаточно
делаем:
cat /var/log/messeges | grep rmdir
..................
Dec 26 01:03:17 localhost smbd_audit[11341]: rmdir ▒▒▒▒/DungeonSiege2/system/1041
Dec 26 01:03:17 localhost smbd_audit[11341]: rmdir ▒▒▒▒/DungeonSiege2/system/1042
Dec 26 01:03:17 localhost smbd_audit[11341]: rmdir ▒▒▒▒/DungeonSiege2/system/3082
Dec 26 01:03:18 localhost smbd_audit[11341]: rmdir ▒▒▒▒/5328_fisher2
...................
11341 - PID негодяя
далее:
cat /var/log/samba/log.smbd | grep 11341
192.168.3.164 (192.168.3.164) connect to service Svalka initially as user nobody (uid=99, gid=99) (pid 11341)
192.168.3.164 (192.168.3.164) connect to service Svalka initially as user nobody (uid=99, gid=99) (pid 11341)
вот и вычислили подонка
теперь осталось написать маленький скриптик, который будет выдирать из одного файла все удаления и их PID, а в другом находить соответствия между PID и IP, а затем выводить это в маленький лог-файл так: Время-Действие-IP.
в настройках smb.conf в vfs objects добавляем слово audit, например так:
[Svalka]
comment = Audited / Protected by ClamAV
path = /Путь/Svalka
read only = No
guest ok = Yes
write cache size = 524288
vfs objects = audit vscan-clamav
vscan-clamav: config-file = /etc/samba/vscan-clamav.conf
делаем loglevel и syslog = 1
для мониторинга действий с папками этого достаточно
делаем:
cat /var/log/messeges | grep rmdir
..................
Dec 26 01:03:17 localhost smbd_audit[11341]: rmdir ▒▒▒▒/DungeonSiege2/system/1041
Dec 26 01:03:17 localhost smbd_audit[11341]: rmdir ▒▒▒▒/DungeonSiege2/system/1042
Dec 26 01:03:17 localhost smbd_audit[11341]: rmdir ▒▒▒▒/DungeonSiege2/system/3082
Dec 26 01:03:18 localhost smbd_audit[11341]: rmdir ▒▒▒▒/5328_fisher2
...................
11341 - PID негодяя
далее:
cat /var/log/samba/log.smbd | grep 11341
192.168.3.164 (192.168.3.164) connect to service Svalka initially as user nobody (uid=99, gid=99) (pid 11341)
192.168.3.164 (192.168.3.164) connect to service Svalka initially as user nobody (uid=99, gid=99) (pid 11341)
вот и вычислили подонка
теперь осталось написать маленький скриптик, который будет выдирать из одного файла все удаления и их PID, а в другом находить соответствия между PID и IP, а затем выводить это в маленький лог-файл так: Время-Действие-IP.
-
Igor B.
- Сообщения: 324
Re: Samba логи
Ты только учти, что к моменту выполнения этого скрипта у тебя и PID-ы и IP (если используется DHCP)могут "уплыть"
-
kapa
- Сообщения: 143