Главная > Debian, В помощь sysadmin'y, Статьи > SAMBA: аудит операций с файлами и контроль обращений

SAMBA: аудит операций с файлами и контроль обращений

В предыдущих заметках SAMBA авторизация пользователей и раздельный доступ к ресурсам и Samba и авторизация через Active Directory описана сама настройка, в этой заметки отмечу настройку samba модуля full_audit.
Этот модуль позволяет настроить полный контроль за действиями пользователей «кто и что делает» (кто и к какому файлу обращался, кто создал, удалил или переименовал конкретный файл или каталог).
Настройка производилась в дистрибутиве Debian Squeeze, версия Samba 3.5.6.
1. В секцию [global] добавляется строка
Данный параметр устанавливает приоритет сообщений, которые будут направлены в syslog. Чем выше значение, тем большее количество сообщений
будет выводиться. Указав значение 0 можно отключить запись сообщений в syslog.
syslog = 0
Количество сообщений, записываемых в лог-файлы, для всех VFS модулей.
log level = 0 vfs:2
Размер лог-файла задается в килобайтах. При достижении указанного значения файл будет переименован, путем добавления к имени файла расширения .old. Значение 0 отключает проверку размера (в этом случае необходимо самостоятельно позаботиться о размере лог-файла, к примеру,
настроив соответствующим образом logrotate)
max log size = 0

Для активации модуля аудита, в секции, которая описывает расшаренный ресурс, добавляются строки:

========= Share Definitions =====
…..
В результате данные о доступе к файлам будут записываться в syslog, либо в лог-файл по умолчанию (log.smbd). Здесь же, через пробел, могут быть
заданы другие VFS модули.
vfs objects = full_audit
Указываем дополнительные параметры модулю full_audit. Префикс, сообщений в лог-файле,каждая строка будет начинаться с user|ip_adress
full_audit:prefix = %u|%I
Какие ошибки должны отображаться в лог-файле: none не протоколируем ошибки.
full_audit:failure = none
Действия пользователей, которые записываются в лог-файл:
full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath
Параметры, позволяющие управлять записью в журналы демоном syslogd:
full_audit:facility = local5
full_audit:priority = notice
Данные два параметра описывают селектор, он обозначает программу («средство» в терминологии системы syslog), которая посылает регистрационное сообщения и уровень серьезности этого сообщения.
Получаем следующие для добавления smb.conf:
[global]
...
log level = 0 vfs:2
max log size = 0
syslog = 0
...
========= Share Definitions =====
comment = Samba server
...
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:failure = none
full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath
full_audit:facility = local5
full_audit:priority = notice

И для того чтоб писать все логи в отдельный файл, например audit.log, добавляем в файл конфигурации /etc/rsyslog.conf следующею строку:

…..
local5.* /var/log/samba/audit.log
… ..

И чтоб не захламлять syslog.log и messages добавляем в тот же файл:

.. .. .
*.*;local5,auth,authpriv.none -/var/log/syslog
…. …
*.=info;*.=notice;*.=warn;\
auth,local5,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages
… …..

Читаем еще:

  1. nockdown
    22 Апрель 2013 в 12:35 | #1

    На ubuntu 12.10 это походу не работает. Syslog создаёт/var/log/samba/audit.log файл, но он пустой.

  2. 29 Апрель 2013 в 09:08 | #2

    Писалось для ранних версий Ununtu, возможно что-то изменили. Но посмотри логи на ошибки, может нет прав на запись

  1. Пока что нет уведомлений.
Необходимо войти на сайт, чтобы написать комментарий.
#

//