Subscribe:

Ads 468x60px

Rabu, 13 November 2013

Samba Audit

Pada artikel ini saya akan menceritakan bagaimana saya setup pemeriksaan file di samba untuk linux file server.
Audit file server adalah hal yang sangat sederhana, setiap tindakan pengguna pada setiap file server akan dicatat dalam log file.

Sehingga Anda dapat melihat nantinya apa sebenarnya terjadi. Lihat file log contoh:

 Oct 23 16:06:44 server smbd_audit: user01|192.168.0.23|project|opendir|ok|.
Oct 23 16:06:44 server smbd_audit: user01|192.168.0.23|project|closedir|ok|
Oct 23 16:06:44 server smbd_audit: user01|192.168.0.23|project|open|ok|r|file.txt
Oct 23 16:06:44 server smbd_audit: user01|192.168.0.23|project|pread|ok|file.txt
Oct 23 16:06:44 server smbd_audit: user01|192.168.0.23|project|close|ok|file.txt
Konfigurasi Samba

Cari smb.conf, biasanya di /etc/samba/smb.conf
dan tambahkan baris-baris berikut ke bagian global
full_audit:prefix = %u|%I|%S
full_audit:failure = connect
full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath
full_audit:facility = local5
full_audit:priority = notice
full_audit: prefix =% u |% I |% S - menambahkan informasi tambahan yang berguna untuk mengaudit file log

% U - Pengguna
% I - alamat IP Pengguna atau %M untuk nama mesin
% S - nama berbagi Server

full_audit:success - Pilih sesuai dengan kebutuhan

Untuk setiap sharing tambahkan baris ini:
vfs objects = full_audit
[public]
comment = Public Stuff
path = /home/samba/public
public = yes
writable = no
write list = @staff
vfs object = full_audit
Konfigurasi Syslogd
Dalam konfigurasi standar syslogd berada dalam file syslog.conf:
* *;. Auth, authpriv.none -/var/log/syslog
Rubah baris ini menjadi :
* *;. local5, auth, authpriv.none -/var/log/syslog
Tambahkan baris berikut setelahnya
local5.notice /var/log/samba/audit.log
Rotasi log dengan logrotate

Bagian terakhir, tetapi tidak kalah pentingnya adalah untuk mengkonfigurasi rotasi log.

Buat file baru /etc/logrotate.d/samba.audit
/var/log/samba/audit.log {
   weekly
   missingok
   rotate 7
   compress
}
Restaring

Restart samba

  # /etc/init.d/samba Restart

Restart syslogd

  # /etc/init.d/sysklogd Restart

Periksa lognya, Goodluck.
Diposting oleh Babah Gemblung di 08.30

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)