使用full_audit插件,记录samba账号操作日志,增删改查等(安全审计)

已于 2024-11-26 09:10:48 修改
阅读量1.4k 收藏 8
点赞数 7
分类专栏: 监控、报警 应用、工具 文章标签: 安全 运维
于 2024-06-27 10:30:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayychiguoguo/article/details/139954041
版权

环境:centos系统

目的:记录samba账号的操作行为

full_audit 是一个用于审计文件操作的功能或插件,通常与 Samba 文件共享服务结合使用,增强 Samba 的审计能力。它允许管理员记录共享上的所有操作,如创建文件、删除文件、更改路径等,从而提供事后溯源的重要工具。

full_audit 功能介绍:
   - 记录共享上的所有操作,包括文件创建、删除、修改等。
   - 提供用户、客户端IP地址、客户端名称和共享名称等详细信息的日志前缀。

具体步骤

1. 修改samba配置

看需求,是想记录某个共享目录,还是整个共享盘
- 所有共享盘:global下添加如下配置项,适用于全局
- 某个网盘:某共享目录下添加

...
   vfs objects = full_audit
   full_audit:prefix = %u|%I|%m|%S
   full_audit:success = connect disconnect mkdir rmdir open pread pwrite write rename unlink chmod chown
   full_audit:failure = none
   full_audit:facility = LOCAL7
   full_audit:priority = NOTICE
...

在这里插入图片描述

① 配置项说明:

  • vfs objects = full_audit:启用full_audit虚拟文件系统对象,以便记录文件操作。

  • full_audit:prefix = %u|%I|%m|%S 这行确保日志前缀中包含:
    - Samba账户名 (%u)
    - 客户端IP地址 (%I)
    - 客户端名称(%m)
    - 共享名 (%S)

  • full_audit:success 列出需要记录的成功操作。

    • 连接(connect)、
    • 断开连接(disconnect)、
    • 创建目录(mkdir)、
    • 删除目录(rmdir)、
    • 打开文件(open)、
    • 读取文件(pread)、
    • 写入文件(pwrite和write)、
    • 重命名文件(rename)、
    • 删除文件(unlink)、
    • 修改文件权限(chmod)
    • 修改文件所有者(chown)
      可以多试试权限,

  • full_audit:failure = none:不记录失败操作。
    意义:这个配置可能表示在审计日志中不记录失败的操作。
    可能的替代值:
    full_audit:failure = all:记录所有失败的操作。
    full_audit:failure = <具体的操作类型>:只记录特定类型的失败操作。
    注意:具体的替代值取决于你的系统或日志框架所支持的设置。

  • full_audit:facility = LOCAL7
    意义:这个配置指定了日志消息的“设施”(facility)。在Unix-like系统中,设施是系统日志机制的一部分,用于分类日志消息。LOCAL7是一个用户定义的本地设施,通常用于非标准的、自定义的应用程序日志。
    可能的替代值:
    full_audit:facility = auth:安全/授权消息。
    full_audit:facility = cron:cron守护进程的日志。
    full_audit:facility = daemon:系统守护进程的日志。
    …以及其他标准设施,如kern, lpr, mail, news, syslog, user, uucp等。
    你也可以使用其他本地设施,如LOCAL0到LOCAL6。

  • full_audit:priority = NOTICE
    意义:这个配置指定了日志消息的优先级。NOTICE是一个中等级别的日志优先级,通常用于正常的但值得注意的事件。
    可能的替代值:
    full_audit:priority = debug:调试信息,通常只在调试时启用。
    full_audit:priority = info:信息性消息,通常表示系统正常运行。
    full_audit:priority = warn:警告,表示可能出现问题,但系统仍能正常运行。
    full_audit:priority = err 或 full_audit:priority = error:错误,表示已经发生了问题,可能会影响系统的正常运行。
    full_audit:priority = crit:临界错误,表示系统或应用程序已经不能正常工作。
    full_audit:priority = alert:需要立即采取行动的情况。
    full_audit:priority = emerg 或 full_audit:priority = panic:系统处于无法使用的状态。

② 额外配置项

[global]
	log file = /var/log/samba/log.%u.%I.%m.%S
	log level = 1
	max log size = 1000
  • log file :指定Samba日志文件的位置,按客户端区分:日志文件名中包含用户、客户端 IP 地址、NetBIOS 名称和共享服务名称的组合
  • log level:设置日志记录级别
    • 0:只记录错误信息。
    • 1:记录错误和警告信息。
    • 2及以上:记录更详细的调试信息。
  • max log size :最大日志文件大小,当日志文件达到此大小时,将会创建一个新的日志文件。

3. 重启Samba服务

配置完成后,重启Samba服务以应用新配置:

sudo systemctl restart smb
sudo systemctl restart nmb

smbd 负责记录用户对共享文件和目录的具体操作日志。
nmbd 负责记录 NetBIOS 名称解析和网络浏览相关的日志。

4.配置 /etc/rsyslog.d/samba.conf,定义日志路径

编辑syslog配置文件 /etc/rsyslog.conf 或 /etc/rsyslog.d/ 中的相关配置文件,没有的手动新建
添加以下行以记录Samba审计日志:

vim  /etc/rsyslog.d/samba.conf 
添加
local7.notice   /var/log/samba/audit.log

说明:/var/log/samba/audit.log 为日志路径,可自定义

重启rsyslog服务:

sudo systemctl restart rsyslog

5. 验证配置

尝试连接Samba共享并执行一些文件操作(如创建、修改、删除文件等),然后检查 /var/log/samba-audit.log 文件,确保日志记录正常。

tail -f  /var/log/samba/audit.log 
效果嘎嘎好!
Jun 18 12:34:56 servername smbd_audit[pid]: user|192.168.1.100|shared|desktop|connect|ok
Jun 18 12:35:01 servername smbd_audit[pid]: user|192.168.1.100|shared|desktop|open|ok|path/to/file
Jun 18 12:35:05 servername smbd_audit[pid]: user|192.168.1.100|shared|desktop|unlink|ok|path/to/deleted_file
Jun 18 12:35:10 servername smbd_audit[pid]: user|192.168.1.100|shared|desktop|disconnect|ok

由于编辑器的不同,记录行为会有所差异
比如修改333.xlsx表格内容:会记录为rename
以下使用full_audit、inotify两种监控对比!

full_audit 监控

Aug 19 15:27:29 metas smbd_audit: yy|192.168.2.125|sy-x01|mmmt|rename|ok|/home/yy/all/data/mmmt/新建文件夹/333.xlsx|/home/yy/all/data/mmmt/新建文件夹/333~F79557.tmp
Aug 19 15:27:29 metas smbd_audit: yy|192.168.2.125|sy-x01|mmmt|rename|ok|/home/yy/all/data/mmmt/新建文件夹/~tmp17240524493521
840794.TMP|/home/yy/all/data/mmmt/新建文件夹/333.xlsx
Aug 19 15:27:29 metas smbd_audit: yy|192.168.2.125|sy-x01|mmmt|unlink|ok|/home/yy/all/data/mmmt/新建文件夹/333~F79557.tmp

inotify 监控
/home/yy/all/data/mmmt/新建文件夹/ CREATE ~$333.xlsx
/home/yy/all/data/mmmt/新建文件夹/ MODIFY ~$333.xlsx
/home/yy/all/data/mmmt/新建文件夹/ CREATE ~tmp17240524493521840794.TMP
/home/yy/all/data/mmmt/新建文件夹/ MODIFY ~tmp17240524493521840794.TMP
/home/yy/all/data/mmmt/新建文件夹/ MODIFY ~tmp17240524493521840794.TMP
/home/yy/all/data/mmmt/新建文件夹/ MOVED_FROM 333.xlsx
/home/yy/all/data/mmmt/新建文件夹/ MOVED_TO 333~F79557.tmp
/home/yy/all/data/mmmt/新建文件夹/ MOVED_FROM ~tmp17240524493521840794.TMP
/home/yy/all/data/mmmt/新建文件夹/ MOVED_TO 333.xlsx
/home/yy/all/data/mmmt/新建文件夹/ DELETE 333~F79557.tmp

修改333.xls表格内容:① 创建临时会①rename333.xls为临时文件tmp、②

日志说明:

servername : 服务器名称
user: 表示samba账户名,
192.168.1.100 :表示客户端IP地址,
shared :表示共享盘的名称,
desktop : 表示samba账号登录的客户端名
connect 、open 、unlink :表示文件操作。
path/to/file :表示操作的文件路径

有用的话,点赞再走咩~

不需要安装audit,两个不是一回事~

Bessssss
关注
专栏目录
Linux的samba使用记录
corehu的专栏
10-03 994
security = user username map = /etc/samba/smbusers 记录一下: step.1安装samba apt-get install samba smbfs sbmclient step.2 备份文件 cp /etc/sa
Samba日志分析
weixin_33806300的博客
01-21 1499
Samba日志分析随着我们文件共享安全级别的提高,越来越多的情况下需要对日志进行记录审计。Linux平台下的Samba服务的配置文件是smb.conf,有不少图形化配置工具例如Webmin、smbconftool、SWAT及RedHat提供的system-config-samba等工具都可以为您简化配置smb.conf的过程,但这些工具的细致程度却无法满足samba的需求,对于如何分析samba...
Samba:查看用户在文件服务器的操作
weixin_42494218的博客
11-17 1631
Samba 提供了详细的日志,这些日志可以帮助你跟踪用户在共享文件上的操作
samba开启用户审计
lx_1314的博客
05-19 2245
1./etc/samba/smb.conf添加如下配置: global: [global] workgroup = SAMBA security = user passdb backend = tdbsam printing = cups printcap name = cups load printers = yes cups options = raw log file = /var/log/samba/%m.log log level = 5 vfs:10 # 定义日志级别
samba服务日志文件
热门推荐
qq_31186123的博客
08-23 1万+
1、Samba服务日志文件 日志文件对于samba非常重要,它存储着客户端访问samba服务器的信息,以及samba服务的错误提示信息等,可以通过分析日志,帮助解决客户端访问和服务器维护等问题。 在/etc/samba/smb.conf文件中,logfile为设置samba日志的字段。 #=======================GlobalSettings==================...
Truenas Samba Full_Audit 审计日志设置实例
QQ276633260的博客
07-08 4002
Truenas Samba Full_Audit 审计日志设置实例 Truenas Samba Full_Audit 审计日志设置实例 Samba audit审记日志对企业网管来说非常重要,是事后溯源的重要工具。Full_Audit 允许记录共享上的所有操作,如创建文件、删除文件、更改路径… **1)**转到服务-> SMB->动作 **2)**在“附加参数”中添加这些行: ‘log level = 3 vfs:10 #设定日志级别,这一行不写,没有samba审计日志。 log fi
获取linux samba的文件访问日志
weixin_34354173的博客
08-19 3852
一天一客户打电话说其公司的某一个共享文件夹完全不见,赶到客户处,经过分析,发现是因为某部门的同事不小心将之移动到其它的位置,把客户给吓得半 死。后来同其商量,为了解决此种,以及出现问题之后可以快速找出是谁进行的误操作(比如是谁什么时间删除了文件,复制了文件等),以追究责任。决定 从两方面下手,第一,实现对每个共享及文件详细的ACL控制,虽然麻烦点,但能够有效的预防因为误操作而...
ORACLE_审计内容_DBA_AUDIT_TRAIL.xlsx
11-11
Oracle审计内容DBA_AUDIT_TRAIL数据字典说明,根据开启的Oracle审计功能,读取dba_audit_trail视图的审计内容包含用户名、操作时间、操作类型、SQL文本、数据库操作次数等等,此文档是对dba_audit_trail视图的中文简介,...
mysql8.0审计日志插件mariaDb安装失败记录
08-15
在MySQL 8.0中,审计日志是用于记录数据库操作的重要工具,它可以帮助管理员跟踪和审查用户对数据库的访问行为。然而,在尝试安装MariaDB的审计日志插件时,可能会遇到一些挑战。MariaDB的审计日志插件与MySQL 8.0...
sqlserver 利用trigger实现增删改操作审计audit日志log记录
JCrazyUltimate的专栏
06-03 874
/* 首先建立数据库Test,建立两个表,我们命名为grades和audit,利用audit实现对grades的审计功能,其中grades用于存放学生的成绩,包括“sdudentID,courseID,grade”三个字段,主键为sdudentID,courseID;audit仅仅比表grades增加了两个字段:changeType,changTime,用于记录grades表被修改的类型和修改时间。 建立2个表格的sql语句如下: */ create table grades ( studentID int
Samba Audit-开源
05-01
SMBD(Samba)审核是一组用于Samba 3和Web前端的VFS审核模块,用于查看和搜索samba审核日志。 模块将日志直接存储到MySQL或PostgreSQL数据库中。 有关更多信息,请参见自述文件和安装
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
smb记录
Dark_gezi的博客
03-01 582
[root@localhost 桌面]# !getgetsebool -a | grep samba[root@localhost 桌面]#getsebool -a | grep sambasamba_create_home_dirs --> offsamba_domain_controller --> offsamba_enable_home_dirs --> offsamba_export_a
Linux下部署Samba服务环境的操作记录(以Centos7为例)
qq_44657834的博客
05-23 139
转载:https://www.cnblogs.com/kevingrace/p/8550810.html
Linux下部署Samba服务环境的操作记录
qq_37312838的博客
04-13 249
https://www.cnblogs.com/kevingrace/p/8550810.html
Linux存储技术之samba实现Linux与windows之间的文件互传操作记录
guijianchouxyz的博客
03-06 489
部署samba操作记录 在Linux上面有特别多的储存服务,这边小编主要记录samba操作记录, 其实来说samba是一个实现Linux与Windows之间传输的一个较好的工具,就搭建这块来说还是比较简单的 安装samba之前系统配置 [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core) #更改主机名,修改完重启生效,暂时不要重启,因为下面修改selinux也需要重启 [root@loc
smb学习日记
u013175014的专栏
10-21 608
用户身份验证:If Client.Connection.ShareLevelAccessControl is FALSE For each existing Connection to the server in Client.ConnectionTable[ServerName]
CIA安全属性简介
最新发布
闲人
12-03 285
在信息安全领域,CIA 三性通常指的是保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。这三个概念是信息安全的核心要素,用于确保信息的安全和可信度。综上所述,CIA 三性在信息安全中是非常重要的概念,它们相互关联、互为补充,共同构成了一个综合的信息安全框架,用于保护和管理各种类型的信息资源。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bessssss

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值