Diferenças

Aqui você vê as diferenças entre duas revisões dessa página.

Link para esta página de comparações

linux:artigos:samba-fullaudit [13/01/2015 10:44] (atual)
Linha 1: Linha 1:
 +~~NOTOC~~
 +====== Habilitando auditoria completa no compartilhamento do samba ======
 +
 +Esse método de auditoria é similar ao uso do módulo //audit//, porem, o //​full_audit//​ nos maior flexibilidade na geração de logs além de informações adicionais que o //audit// não fornece.
 +
 +Com ele, conseguimos monitorar o uso dos dados no serviço samba obtendo informações de pastas e arquivos criados, excluídos, movidos além de obter data, hora e máquina a qual originou a requisição.
 +===== Ajustando o Samba =====
 +
 +Primeiramente vamos editar o arquivo de configuração do samba para adicionar as linhas para que a auditoria funcione corretamente.
 +
 +<​code>​
 +root@debian:​~#​ vi /​etc/​samba/​smb.conf
 +
 +#​--------------------------- Full Audit Options ----------------------------
 +;       vfs objects = full_audit
 +        full_audit:​prefix = %U|%I|%m
 +;       ​full_audit:​success = all
 +;       ​full_audit:​success = chdir close closedir mkdir open opendir read readdir rename rmdir write
 +        full_audit:​success = mkdir rename rmdir
 +;       ​full_audit:​failure = all
 +        full_audit:​failure = none
 +        full_audit:​facility = LOCAL6
 +        full_audit:​priority = ALERT
 +
 +#​------------------------------ Data Shares --------------------------------
 +
 +[dados]
 +        path = /srv/dados
 +        browsable = yes
 +        writable = yes
 +        valid users = @usuarios
 +        create mask = 666
 +        directory mask = 777
 +        vfs objects = full_audit
 +        veto files = /​*.scr/​*.com/​*.exe/​*.bat/​*.inf/​*.ogg/​*.pif
 +</​code>​
 +
 +Note que na opção //​full_audit:​success//​ podemos especificar as opções que queremos que seja auditorada. Maiores informações poderão ser obtidas na página de manual do módulo.
 +
 +<​code>​
 +root@debian:​~#​ man vfs_full_audit
 +</​code>​
 +
 +===== Variáveis disponíveis =====
 +
 +==== Variáveis referentes a maquina cliente de rede : ====
 +  * %a Client’s architecture (Samba, WinNT, WfWg, Win95, or UNKNOWN)
 +  * %I Client’s IP address
 +  * %m Client’s NetBIOS name
 +  * %M Client’s DNS name
 +
 +==== Variáveis referentes ao usuário : ====
 +
 +  * %g Primary group of %u
 +  * %G Primary group of %U
 +  * %H Home directory of %u
 +  * %u Current Unix username
 +  * %U Requested client username (not always used by Samba)
 +
 +==== Variáveis referentes ao servidor : ====
 +
 +  * %d Current server process ID
 +  * %h Samba server’s DNS hostname
 +  * %L Samba server’s NetBIOS name
 +  * %N Home directory server, from automount map
 +  * %v Samba version
 +
 +==== Variáveis miscelaneas : ====
 +
 +  * %R The SMB protocol level that was negotiated
 +  * %T The current date and time
 +
 +==== Variáveis referentes ao compartilhamento : ====
 +
 +  * %p Automouter’s path to the share’s root directory, if different from %P
 +  * %P Current share’s root directory
 +  * %S Current share’s name
 +
 +===== Ajustando o syslog =====
 +
 +Nesta etapa, precisamos ajustar o //syslog// para que os dados auditados pelo //samba//.
 +
 +<​code>​
 +root@debian:​~#​ vi /​etc/​rsyslog.conf
 +
 +# Logs de auditoria do samba
 +local6.* ​                 -/​var/​log/​samba/​full_audit.log
 +</​code>​
 +
 +===== Reiniciando os serviços =====
 +<​code>​
 +root@debian:​~#​ /​etc/​init.d/​rsyslog stop
 +root@debian:​~#​ /​etc/​init.d/​rsyslog start
 +
 +root@debian:​~#​ /​etc/​init.d/​samba stop
 +root@debian:​~#​ /​etc/​init.d/​samba start
 +</​code>​
 +
 +\\
 +----
 +<​html>​
 +<a href="​javascript:​window.history.go(-1)">​Voltar</​a>​
 +</​html>​
  
linux/artigos/samba-fullaudit.txt · Última modificação: 13/01/2015 10:44 (edição externa)