Новые ответы

full_audit - не пишутся ошибки логина,

zett, 20-Июн-12, 14:41 [смотреть все]

Столкнулся с такой проблемой. Модуль full_audit.so даже при указании на то из конфига самбы
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:failure = all
full_audit:success = all
full_audit:facility = local5
full_audit:priority = notice
пишет только удачные попытки подключения
Jun 20 13:29:18 yoserv smbd[45722]: user|192.168.х.х|user11-pc|share|connect|ok|share
Jun 20 13:29:18 yoserv smbd[45723]: user|192.168.х.х|admin-pc|IPC_|connect|ok|IPC$
при этом попытки логина скажем с неправильным именем пользователя оставляет без внимания, не говоря уж о неверном пароле. Очень хотелось бы решить эту проблему.
Уважаемые Оупеннетовцы! Помогите победить фул аудит :)

Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, zett, 16:05 , 25-Июн-12 (1)
Неужели никто не занимался вопросами безопасности самбы?
Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, JohnProfic, 22:07 , 25-Июн-12 (2)
Есть предположение, что в случае неверных логинов, дело до full_audit просто не доходит - он все-же работает на уровне vfs, а неверные логины вполне могут отсекаться уровнями выше.
Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, zett, 22:17 , 25-Июн-12 (3)
капля логики в этом конечно же есть!
Но если логи типо "connect|ok" пишутся .. то неужто в случае если не коннект не ок.. то почему бы не писать "connect|erorr" ?
А есть еще какието вменяемые способы решения этого вопроса? Никогда не поверю что никто это не делал...
Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, JohnProfic, 21:53 , 26-Июн-12 (4)
> капля логики в этом конечно же есть!
> Но если логи типо "connect|ok" пишутся .. то неужто в случае если
> не коннект не ок.. то почему бы не писать "connect|erorr" ?
Еще раз: когда дело доходит до full_audit, соединение уже установлено, пользователь опознан, пароль принят. Запись "connect|error" может появиться, если какой-то vfs-модуль после full_audit вернет ошибку. Да и сам этот вызов (connect) существует в основном для того, чтобы vfs-модули могли произвести инициализацию соединения.
> А есть еще какието вменяемые способы решения этого вопроса? Никогда не поверю
> что никто это не делал...
Анализировать логи самбы? Там такая информация должна быть. Подобрать оптимальный уровень протоколирования оставляю как домашнее задание, т.к. сам таким не занимался.
Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, zett, 22:36 , 26-Июн-12 (5)
> Анализировать логи самбы? Там такая информация должна быть. Подобрать оптимальный уровень
> протоколирования оставляю как домашнее задание, т.к. сам таким не занимался.
Уровни log level не подходят, т.к. инфа там пишется в очень не уднобночитаемом виде, и не в одной строчке.. нужно чтоб писалось чтото типо
25.06.12 22:33 auth FAIL user admin IP 10.11.10.11
Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, zett, 17:31 , 27-Июн-12 (6)
За эти дни меня не покидала надежда найти решение этого ворпоса, начал править исходники самбы, если поправить строки 318-320 файла auth/auth.c на соответсвующие
    DEBUG(2, ("check_ntlm_password:  Authentication for user [%s] -> [%s] FAILED from %s with error %s\n",
          user_info->client.account_name, user_info->mapped.account_name, user_info->workstation_name,
          nt_errstr(nt_status)));

то он уже будет писать при ошибка логина строчки вида
[2012/06/27 17:59:26.523359,  2] auth/auth.c:319(check_ntlm_password)
  check_ntlm_password:  Authentication for user [werwer] -> [werwer] FAILED from user-pc with error NT_STATUS_NO_SUCH_USER
вопрос! Как заставить его писать всеже ип а не хостнейм машины, в user_info нету ничего подобного про ип (файл user_info.c), как дописать хз - в си не настолько селен...
Помогите!
Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, кегна, 00:45 , 28-Июн-12 (7)
> то он уже будет писать при ошибка логина строчки вида
> [2012/06/27 17:59:26.523359, 2] auth/auth.c:319(check_ntlm_password)
> check_ntlm_password: Authentication for user [werwer] -> [werwer] FAILED from
> user-pc with error NT_STATUS_NO_SUCH_USER
> вопрос! Как заставить его писать всеже ип а не хостнейм машины, в
> user_info нету ничего подобного про ип (файл user_info.c), как дописать хз
> - в си не настолько селен...
> Помогите!
отресолвить user-pc по днс? )
Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, zett, 11:28 , 28-Июн-12 (8)
> отресолвить user-pc по днс? )
ну типо того )
Ответить | Сообщить модератору

full_audit - не пишутся ошибки логина, zett, 18:31 , 28-Июн-12 (9)
Всем спасибо за ответы, проблему удалось решить правкой исходников auth.c
Кому если нужно, мне не жалко - делюсь :)
Меняем строки 317-319 на следующее
    DEBUG(2, ("check_ntlm_password:  Authentication for user [%s] -> [%s] FAILED from %s with error %s\n",
          user_info->client.account_name, user_info->mapped.account_name, smbd_server_conn->client_id.addr,
          nt_errstr(nt_status)));
и компилим самбу - make package
Логи примут вид:
[2012/06/28 22:24:51.898170,  2] auth/auth.c:319(check_ntlm_password)
  check_ntlm_password:  Authentication for user [user] -> [user] FAILED from 192.168.11.111 with error NT_STATUS_WRONG_PASSWORD
[2012/06/28 22:24:51.903520,  2] auth/auth.c:319(check_ntlm_password)
  check_ntlm_password:  Authentication for user [user] -> [user] FAILED from 192.168.11.111 with error NT_STATUS_WRONG_PASSWORD
[2012/06/28 22:25:02.329675,  2] auth/auth.c:319(check_ntlm_password)
  check_ntlm_password:  Authentication for user [sdfsf] -> [sdfsf] FAILED from 192.168.11.111 with error NT_STATUS_NO_SUCH_USER
Ответить | Сообщить модератору