Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Surveillance traffic samba ?

MrEgg964

Bonjour à tous,

Je cherche une solution pour surveiller les volumes de téléchargement par utilisateur sur les partages samba, et idéalement être alerté si un utilisateur se met à siphonner les données d'un partage. J'ai essayé de faire une analyse du log en level 10 de samba, mais je ne vois rien d'exploitable directement. J'ai bien essayé de duckduckgo le sujet, mais le canard ne semble pas être au courant de quoi que ce soit.

Avez-vous des suggestions en la matière ?

Le plus facile serait de donner accès au serveur via X2Go sans les bindings -- ce qui empêcherait toute copie en local des répertoires partagés. Mais je suis dans un environnement où je ne cherche pas à empêcher la copie locale (les road warriors doivent pouvoir travailler hors connexion), mais simplement à monitorer le traffic.

Merci de votre input,
Egg

MrEgg964

Pour l'instant, j'ai mis en place une surveillance via le module vfs objects de samba comme ceci :

   vfs objects = full_audit
    
   full_audit:prefix = %u|%I|%m|%S
   full_audit:success = pread_send pwrite_recv rename unlink mkdir rmdir 
   full_audit:failure = none
   full_audit:facility = LOCAL7
   full_audit:priority = NOTICE

et j'ai déclaré LOCAL7 dans rsyslog.

Quelqu'un aurait-il une meilleure idée ?

bruno

Modération : déplacement vers la section « Serveurs », ce n'est pas un problème de sécurité.

--
Pas de meilleure idée puisque c'est justement à cela que peut servir ce module VFS Samba.
À voir comment on peut intégrer cela avec un outil de surveillance : logcheck, logwatch, munin, monit, etc.