Instalando um dedo-duro em seu compartilhamento SAMBA!

Publicado por Alessandro de Oliveira Faria (A.K.A. CABELO) em 22/03/2006

[ Hits: 26.173 ]

Blog: http://assuntonerd.com.br

 


Instalando um dedo-duro em seu compartilhamento SAMBA!



Audit é um módulo do vfs (Virtual File System) do SAMBA. Este módulo cria um arquivo de log com todas as ações em um determinado compartilhamento.

O arquivo dedo-duro é criado em /var/log/samba/audit.log.

Veja o seu conteúdo:

Nov 9 09:23:07 linux smbd_audit[12555]: connect to service rede by user cabelo
Nov 9 09:23:07 linux smbd_audit[12555]: opendir ./
Nov 9 09:23:10 linux smbd_audit[12555]: opendir install
Nov 9 09:23:34 linux smbd_audit[12555]: opendir install/freepascal
Nov 9 09:24:30 linux smbd_audit[12557]: connect to service rede by user cabelo
Nov 9 09:24:30 linux smbd_audit[12557]: opendir install/freepascal/doc
Nov 9 09:24:31 linux smbd_audit[12560]: connect to service rede by user cabelo
Nov 9 09:24:31 linux smbd_audit[12560]: opendir install/freepascal/doc/docs
Nov 9 09:24:31 linux smbd_audit[12560]: opendir install/freepascal/fblib
Nov 9 09:24:31 linux smbd_audit[12557]: opendir install/freepascal/fblib/lib
Nov 9 09:24:31 linux smbd_audit[12557]: opendir install/freepascal/fenisql
Nov 9 09:24:32 linux smbd_audit[12557]: opendir install/freepascal/kylix3-libs
Nov 9 09:24:32 linux smbd_audit[12557]: opendir install/freepascal/ultima
Nov 9 09:24:32 linux smbd_audit[12557]: opendir install/freepascal/zeos
Nov 9 09:24:32 linux smbd_audit[12557]: open install/freepascal/doc/NEWS (fd 27)
Nov 9 09:24:33 linux smbd_audit[12557]: close fd 27
Nov 9 09:24:33 linux smbd_audit[12560]: open install/freepascal/doc/ref.pdf (fd 27)
Nov 9 09:24:33 linux smbd_audit[12560]: close fd 27
Nov 9 09:24:33 linux smbd_audit[12557]: open install/freepascal/doc/README (fd 27)

Para colocar em funcionamento este recurso insira a seguinte linha no arquivo /etc/syslog.conf:

#Samba audit
user.*;user.!warn;authpriv.none;cron.none;mail.none;news.none -/var/log/samba/audit.log

Agora vá no compartilhamento desejado e insira (como no exemplo abaixo) a linha "vfs object = audit":

[rede]
   comment = Compartilhamento Notebook
   read only = No
   inherit permissions = Yes
   path = /neti
   browseable = yes
   guest ok = no
   printable = no
   vfs object = audit

Use a força, leia os fontes!!!

Outras dicas deste autor

URGENTE: pacote com versão maliciosa do ctx em Python estava presente no PyPI

Cubo mágico do futuro no Linux

Para voltar ao ultímo diretório acessado.

Instale Linux no seu iPAQ!

Como limitar o acesso via telnet em um servidor a apenas algumas máquinas?

Leitura recomendada

Como verificar sistema de arquivos da partição principal

Snapshots BTRFS no GRUB

Criando e excluindo partições NTFS

Configurando o apt-get para rodar pelo proxy de duas formas diferentes

Montando uma imagem de CD (iso)

  

Comentários
[1] Comentário enviado por o_lalertom em 22/03/2006 - 17:13h

dedo-duro, gostei do título :D
parabéns...

[2] Comentário enviado por jborda em 23/03/2006 - 07:47h

olá a todos, me chamo luiz, sou usuário linux e sempre que posso dou uma olhada nos artigos do VOL, e esse cara aqui (cabelo) sempre posta umas dicas bacanas
Meus parabens Cabelo, muito bem!!!!!
{:)

[3] Comentário enviado por reimassupilami em 23/03/2006 - 08:52h

oh, grande mestre cabelo, sempre me surpreendendo com suas dicas... quando eu pensei que aquela impressão via samba pra gerar pdf era o auge das novidade no samba, surge vc com mais essa, hehee... cara muito bacana, legal mesmo... porém: depois de feitas essas duas configs basta reiniciar o samba e a geração de logs já está funcionando? porque fiz aqui reiniciei o samba, mas o arquivo de log ainda não foi gerado, mesmo depois de manipular alguns arquivos no compartilhamento... será q falta alguma coisa?

[4] Comentário enviado por stefanols em 23/03/2006 - 10:56h

também estou com o mesmo problema do reimassupilami....
OBS: Utilizo o Slackware 10.2 com o Samba 3.0.21c.

[5] Comentário enviado por stefanols em 23/03/2006 - 14:22h

Bom cara, agora funcionou! Depois de seguir as dicas do Cabelo, tive que reiniciar o sistema e deu certo. O arquivo é criado e tudo o que for realizado no dispositivo compertilhado fica armazenado nele.!!!

[6] Comentário enviado por reimassupilami em 23/03/2006 - 14:29h

q dicas?

[7] Comentário enviado por fabianocoisa1 em 24/03/2006 - 08:58h

Esta dica veio em boa hora parabens e mt obrigado cabelo!!! ;)
o stefanols não precisava reiniciar o sistema :p era so reiniciar o o syslog
e pra vc reimassupilami acredito que tamben va funcionar :D

Sds galera!

[8] Comentário enviado por agk em 24/03/2006 - 09:04h

Beleza de dica hein, vai ser muito útil pra pegar aqueles usuários que vem com aquela frase "ontem tava aí, eu não fiz nada e sumiu" e vem pedindo pra gente dar restore nos arquivos que eles acidentalmente apagaram mas não tem a corragem de admitir.

[9] Comentário enviado por reimassupilami em 24/03/2006 - 09:15h

pow cara, q mancada a minha... é verdade, faltava mesmo era reiniciar o syslog, q zé ruela q fui agora... pow agora foi maravilha total, hehhee...

só uma duvida, aki no log aparece 'user nobody' ao inves do meu usuario q to acessando o compartilhamento... pq será?

[10] Comentário enviado por giancot em 14/08/2006 - 13:53h

Gostaria de saber se é possivel gravar no log do samba quando o usuario se loga na maquina cliente com windows ? Se isso já acontece onde fica este log ? Agradeço qualquer ajuda.

[11] Comentário enviado por giancot em 14/08/2006 - 13:54h

Para que serve o modulo full_audit do samba ?

[12] Comentário enviado por morronix em 21/08/2006 - 16:47h

funcionou mesmo,gostei...agora meu diretor naun vai falar que eu sou louco....será q dah pra jogar ele no logrotate? e se eu tentar colocar a lixeira também? é só colocar vfs objects = audit, qq coisa? não percam nos próximos capítulos...rsrsrs abs!!!

[13] Comentário enviado por slacklex em 31/10/2006 - 16:25h

Sim, dá normalmente para tamber fazer o rotate do arquivo audit.log via logrotate.

[14] Comentário enviado por jcm357 em 14/12/2006 - 15:49h

Pessoal,
Esse recurso é muito bom! Espero acabar com o velhor problema de arquivos que somem sem explicação! Mas ficou quase perfeito...
Não consigo identificar quem é quem, a maquina ou usuário
... Vejam como ficou o audit.log.

Dec 14 15:36:02 localhost smbd_audit[13176]: opendir ./
Dec 14 15:36:02 localhost smbd_audit[13176]: opendir projetos/Marisa_Lideranca/Programa/_sistema/javascript
Dec 14 15:36:02 localhost smbd_audit[13176]: opendir projetos/Marisa_Lideranca/Programa/_sistema/javascript

1- Seria legal aparecer o IP ou nome da maquina. Alguem sabe como fazer?
2 - Ou talvez aparecer dividido, como os logs normais do Samba, que ficam /var/log/samba/log.nome-da-maquina.

Parabéns pro Cabelo!

[15] Comentário enviado por __FERNANDO__ em 09/05/2007 - 20:19h

Mostra quando alguém (usuário) apagou um arquivo no compartilhamento ? De que forma aparece ?

Fernando.

[16] Comentário enviado por grj em 29/05/2007 - 22:56h

Se alguem poder me ajudar vou ficar bastante grato!

Estou tentando implementar esse log dos compartilhamentos, segui todos os passos indicados pelo cabelo, mas o arquivo audit.log nao é gerado. Tem alguma diferença pela distribuição utilizada?
Uso o Fedora Core 5 com o samba-3.0.21b

Parabens pelo artigo Cabelo!

[17] Comentário enviado por arthurmatiello em 09/09/2014 - 10:33h

Favoritado, sensacional e funciona muito bem.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts