CentOS-Italia.org - La Community degli Utenti Italiani di Linux CentOS Forum e Guide How To

Supporto Tecnico a Centos => Server => Topic aperto da: Riccardo80 - 07 Ottobre 2011, 09:13:03

Titolo: Monitorare accesso cartelle samba
Inserito da: Riccardo80 - 07 Ottobre 2011, 09:13:03
Salve a tutti,

sto cercando un modo per controllare gli accessi alle cartelle condivise tramite Samba

Ho centos 5.6 con samba PDC. Vorrei sapere quanti accessi ci sono per ogni cartella e possibilmente da quali utenti. In ottica di manutenzione vorrei cercare di tenere solo le cartelle veramente necessarie e cancellare quelle poco o mai utilizzate.

Ho visto che nei log di samba ho righe di questo tipo

---------------------------------------
Allowed connection from  (192.168.30.12) : 179 Time(s)
 lib/access.c:check_access(323)  Allowed connection from  (192.168.30.13) : 5 Time(s)
 lib/access.c:check_access(323)  Allowed connection from  (192.168.30.14) : 5 Time(s)
 lib/access.c:check_access(323)  Allowed connection from  (192.168.30.15) : 1 Time(s)
 lib/access.c:check_access(323)  Allowed connection from  (192.168.30.18) : 14 Time(s)
---------------------------------------

sto cercando un modo per completare queste informazioni riportando anche gli utenti e le cartelle.

Cordialmente

riccardo
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: LonelyWolf - 07 Ottobre 2011, 10:07:15
Al di là del possibile o meno, non ti è legalmente concesso sapere chi fa cosa, ma solamente quando accede.
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: Riccardo80 - 07 Ottobre 2011, 10:27:26
Non mi interessa il chi fa cosa, e comunque non si tratta di dati privati e/o sensibili, mi serve sapere se tutte le cartelle che nel tempo sono state create sono ancora utili.

Ti spiego più in dettaglio cosa mi serve, credo rientri nella normale manutenzione.

io ho 20 cartelle condivise sul mio server, e attualmente ritengo siano troppe anche perché alcune contengono informazioni simili, quindi si rischia anche la ridondanza di file.

Io vorrei capire quali sono le cartelle meno usate, perché magari scopro che su 20 cartelle in 10 non ci entra mai nessuno e quindi le posso eliminare. Questo sarebbe un primo passo già utile.

Sapere chi ci entra mi permetterebbe di rendere più veloce il lavoro perché andrei direttamente dagli utenti per chiedere di controllare cosa tenere e cosa buttare.

Titolo: Re: Monitorare accesso cartelle samba
Inserito da: smeserver - 07 Ottobre 2011, 10:59:13
puoi prendere spunto da qui:

http://bugs.contribs.org/show_bug.cgi?id=6176

ed applicare le modifiche al tuo smb.conf

HTH
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: LonelyWolf - 07 Ottobre 2011, 13:13:38

Citazione da: Riccardo80
Vorrei sapere quanti accessi ci sono per ogni cartella e possibilmente da quali utenti.
Per me significa sapere quale utente accede a quale cartella/file.


In questo caso non si tratta di dati sensibili ma di privacy, non puoi registrare quello che fanno gli utenti, l'unica possibilità è monitorare gli accessi dell'Amministratore alla macchina; questo è quello che dice la legge.

Anche a me farebbe comodo poterlo fare (e non ho solo 20 cartelle).

Per quello che vuoi sapere tu è sufficiente controllare le date di accesso ai file.

Io periodicamente faccio un controllo sulle date di accesso ai file e mando una comunicazione a tutti di rimuovere quelli non più utilizzati nonchè di predisporre una cartella ad hoc per un eventuale backup "dedicato" prima della cancellazione.
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: Riccardo80 - 07 Ottobre 2011, 13:45:50

Sto leggendo Stackable VFS modules per audit su samba.

Posso chiederti come controlli le date di accesso ? se basta quello magari è anche un lavoro più semplice
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: smeserver - 07 Ottobre 2011, 14:08:16

Citazione da: Riccardo80
Vorrei sapere quanti accessi ci sono per ogni cartella e possibilmente da quali utenti.
Per me significa sapere quale utente accede a quale cartella/file.


In questo caso non si tratta di dati sensibili ma di privacy, non puoi registrare quello che fanno gli utenti, l'unica possibilità è monitorare gli accessi dell'Amministratore alla macchina; questo è quello che dice la legge.

Anche a me farebbe comodo poterlo fare (e non ho solo 20 cartelle).

Per quello che vuoi sapere tu è sufficiente controllare le date di accesso ai file.

Io periodicamente faccio un controllo sulle date di accesso ai file e mando una comunicazione a tutti di rimuovere quelli non più utilizzati nonchè di predisporre una cartella ad hoc per un eventuale backup "dedicato" prima della cancellazione.


puoi per cortesia darmi gli estremi esatti di dove è scritto ciò?

se si parla di home degli utenti concordo, ma se si parla di share di rewte condivise tra più utenti cade il discorso privacy..

l'auditing delle share di rete non è sottoposto a privacy AFAIK nè lo è quello relativo agli accessi alla macchina..

ed inoltre ho anche diritto di sapere chi ha, per esempio, eliminato un file se questo può comportare dei seri problemi in azienda.

grazie
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: Riccardo80 - 07 Ottobre 2011, 16:30:00
Per chi interessa ho visto che con VFS full_audit si possono monitorare le operazioni si una precisa cartella, riporto l'esempio che ho testato.

        path = /home/samba/test
        vfs objects = full_audit recycle
        full_audit:prefix = %u|%I|%m|%S
        full_audit:success = mkdir rename unlink rmdir pwrite
        full_audit:failure = none
        full_audit:facility = LOCAL6
        full_audit:priority = NOTICE

Riporto anche un link con più dettagli
http://moiristo.wordpress.com/2009/08/10/samba-logging-user-activity/

Questo però non risolve il mio quesito, dove non mi serve tanto sapere quali operazioni vengono fatte ma avere un totale degli accessi per cartella.
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: smeserver - 07 Ottobre 2011, 16:44:27
visto che tutte le info sono nei log, uno script che fa grep sui log è il passo successivo, magari messo in cron.daily o in cron.weekly.. la tua fantasia qui si può solo sbizzarrire..

Titolo: Re: Monitorare accesso cartelle samba
Inserito da: LonelyWolf - 08 Ottobre 2011, 11:55:53
Citazione
l'auditing delle share di rete non è sottoposto a privacy AFAIK nè lo è quello relativo agli accessi alla macchina..

ed inoltre ho anche diritto di sapere chi ha, per esempio, eliminato un file se questo può comportare dei seri problemi in azienda.

Puoi registrare tutto previo regolamento interno, informativa ai dipendenti, ecc. , puoi andare poi nel dettaglio e scoprire chi fa cosa solo e nei modi stabiliti dal regolamento di cui sopra.
Come con un proxy, sempre che attivi la registrazione; cosa che ho dovuto fare perchè devo poter risalire a chi eventualmente combina un guaio, a.e.: (caso limite) mi arriva la polizia postale a chidermi chi ha visitato un sito di pedofilia.
MA io non posso consultare i log in dettaglio (con dati anonimi si) i log e sapere chi vede cosa, nemmeno per vedere se qualcuno usa emule.

Lui può vedere solo Quanti accessi, ma non chi li ha effettuati a meno che non abbia predisposto apposito regolamento; se poi diciamo che è una realtà piccola, se ne fregano tutti, a lui sta bene ok, ma se 1 solo decide di protestare ....


Quando torno in ufficio in settimana ti posto i dati esatti, i commi/articoli/sub non li tengo a memoria, se vuoi apriamo un topic ad hoc a riguardo privacy e tutto quello che attiene, perchè qua andiamo ot.
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: smeserver - 08 Ottobre 2011, 14:17:29
Puoi registrare tutto previo regolamento interno, informativa ai dipendenti, ecc. , puoi andare poi nel dettaglio e scoprire chi fa cosa solo e nei modi stabiliti dal regolamento di cui sopra.
Come con un proxy, sempre che attivi la registrazione; cosa che ho dovuto fare perchè devo poter risalire a chi eventualmente combina un guaio, a.e.: (caso limite) mi arriva la polizia postale a chidermi chi ha visitato un sito di pedofilia.
MA io non posso consultare i log in dettaglio (con dati anonimi si) i log e sapere chi vede cosa, nemmeno per vedere se qualcuno usa emule.

Lui può vedere solo Quanti accessi, ma non chi li ha effettuati a meno che non abbia predisposto apposito regolamento; se poi diciamo che è una realtà piccola, se ne fregano tutti, a lui sta bene ok, ma se 1 solo decide di protestare ....


Quando torno in ufficio in settimana ti posto i dati esatti, i commi/articoli/sub non li tengo a memoria, se vuoi apriamo un topic ad hoc a riguardo privacy e tutto quello che attiene, perchè qua andiamo ot.

direi che stiamo facendo confusione.. per quanto riguarda la navigazione internet e le attività in generale verso wan la legge mi è ben nota.. non posso sapere chi fa cosa e dove, ma posso sapere solo per quanto tempo e quanto traffico fa.. nulla comunque vieta che io, amministratore, decida, *senza* obbligo di comunicazione né di contrattazione alcuna, di rendere disponibile la navigazione solo a certe persone, per dati orari, verso certi siti. questo è pacifico

per quanto riguarda gli accessi a risorse condivise in rete contenenti documenti aziendali e quindi *non* coperti da privacy alcuna (al limite sono a visibilità controllata, nel senso che certe risorse sono disponibili solo a certe persone), io posso senza problema monitorare ogni tipo di accesso alle risorse stesse, prendendo eventualmente provvedimenti a chi dovesse causare danno con cancellazioni o altro..

e questo, nel contesto del topic, non è certamente OT, IMHO
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: LonelyWolf - 08 Ottobre 2011, 16:05:31
Secondo l’art. 4 legge 300 del 1970, gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna;  pertanto il datore di lavoro può sottoporre il dipendente solo a controlli indiretti, attraverso l’uso di tecnologie informatiche, ma sempre nei limiti tracciati dal Garante e purché si tratti di “controlli difensivi” ritenuti legittimi solo se tesi a garantire la tutela del patrimonio aziendale, e soprattutto previa comunicazione espressa al dipendente e alla rappresentanza sindacale.

E per tutto il resto ed evoluzioni della normativa, ti ripeto, se vuoi apriamo un topic in settimana che avrò tutta la documentazione che vuoi.

Il topic è relativo al COME FARLO e non al POSSO FARLO, pertanto la disquisizione relativa a privacy/statuto lavoratori/ecc non è richiesta qua.

Buon fine settimana a tutti.
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: LonelyWolf - 13 Ottobre 2011, 10:24:48

Sto leggendo Stackable VFS modules per audit su samba.

Posso chiederti come controlli le date di accesso ? se basta quello magari è anche un lavoro più semplice

Perdonami, mi era sfuggito il post, spero di non essere troppo in ritardo.

find percorso -ctime X azione_da_compiere

Dove:
percorso = percorso dove cercare i file
-ctime X = tempo, inteso come X*24 ore, passato dalla modifica del file (se usi -atime controlla l'accesso al file)
azione_da_compiere = cosa ci si deve fare, per questo e tutte le opzioni man find

Titolo: Re: Monitorare accesso cartelle samba
Inserito da: Riccardo80 - 13 Ottobre 2011, 11:04:29
Grazie mille

proverò anche quest'altra soluzione.

P.s Io sarei interssato ad un topic ad hoc riguardo privacy e tutto quello che attiene.

Se può interessare alla Smau a Milano ci saranno diversi incontri in merito alla privacy.

Saluti
Titolo: Re: Monitorare accesso cartelle samba
Inserito da: LonelyWolf - 13 Ottobre 2011, 11:09:06
Grazie mille

proverò anche quest'altra soluzione.

P.s Io sarei interssato ad un topic ad hoc riguardo privacy e tutto quello che attiene.

Se può interessare alla Smau a Milano ci saranno diversi incontri in merito alla privacy.

Saluti

Adesso vediamo come organizzare la cosa (per la privacy), relativamente alla SMAU non penso proprio di non andarci, sono anni che manco.