[Dica] Ativar log de acessos no samba do OpenMediaVault

Tutorias diversos sobre serviços e aplicações em servidores Linux
Avatar do usuário
tacioandrade
Administrator
Administrator
Mensagens: 110
Registrado em: 10 Jun 2013 22:03
Localização: Vitória da Conquista - Ba
Idade: 31
Contato:
Status: Offline

[Dica] Ativar log de acessos no samba do OpenMediaVault

Mensagem por tacioandrade »

Pessoal boa tarde, devido a LGPD chegando, alguns clientes começaram a me pedir pra montar uma estrutura de logs de qual usuário acessou qual arquivo tal dia e horário em seu fileserver. Então antes de pensar em usar servidor de log externos, fui atrás de como gerar os logs do samba de forma local e simplificada no OpenMediaVault e foi mais simples que imaginei.

O OpenMediaVault utiliza o rsyslog como servidor de logs e tem nativamente via interface web uma opção de habilitar o log, porém não pegaram e habilitaram no rsyslog a opção de todos os logs da auditoria irem para um arquivo, então vão todos para o arquivo padrão do sistema, então teremos que nos próximos passos fazer o acesso ao servidor via ssh só para encaminhar os logs para o arquivo correto!

Então vamos a parte prática.

1 - Primeiro ponto é acessar a interface web do OpenMediaVault, navegar até a página de compartilhamento de pastas com o Samba no caminho: Services => SMB/CIFS => Shares e na pasta compartilhada, editar e habilitar a opção: "Audit file operations"

Imagem

2 - Após adicionar a opção de habilitar o log a todos os compartilhamentos que deseja, vamos ter que descobrir o nome usado pelo samba do OpenMediaVault para a "regra" de logs, para adicionar no arquivo do rsyslog. Para isso acesse o OpenMediaVault por ssh e abra o arquivo: /etc/samba/smb.conf

# nano /etc/samba/smb.conf

3 - Com o arquivo do samba aberto, busque a linha que contem: "full_audit:facility" no meu caso era "local7" e estava da seguinte forma:

full_audit:prefix = %u|%I|%m|%P|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = local7

4 - Após descobrir o nome usado pelo OMV para a regra de logs, vamos editar o rsyslog para redirecionar o arquivo para o local correto. Abra o arquivo /etc/rsyslog.conf e adicione a seguinte linha ao final do arquivo, trocando "local7" pelo que encontrou na linha anterior:

# echo "local7.notice /var/log/samba/full_audit.log" >> /etc/rsyslog.conf

5 - Reinicie o servidor do rsyslog com o comando:

# systemctl restart rsyslog

6 - Ao concluir a reinicialização do rsyslog, acesse o seu fileserver, entre em uma das pastas que habilitou a auditoria e simule algumas modificações como: criar, deletar, abrir e editar arquivos e por fim, veja o arquivo de logs que terá uma saída próxima a essa:

# less /var/log/samba/full_audit.log
Sep 26 15:01:43 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|mkdir|ok|Nova pasta
Sep 26 15:01:45 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|rename|ok|Nova pasta|Tacio
Sep 26 15:01:54 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|rename|ok|Tacio/Novo Documento de Texto.txt|Tacio/Teste.txt
Sep 26 15:02:07 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|pwrite|ok|Tacio/Teste.txt
Sep 26 15:02:08 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|pwrite|ok|Tacio/Teste.txt
Sep 26 15:02:15 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|mkdir|ok|.recycle
Sep 26 15:02:15 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|mkdir|ok|.recycle/tacio
Sep 26 15:02:15 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|mkdir|ok|.recycle/tacio/Tacio
Sep 26 15:02:15 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|rename|ok|Tacio/Teste.txt|.recycle/tacio/Tacio/Teste.txt
Sep 26 15:15:10 arquivos smbd_audit: tacio|10.0.10.6|andradenote|/srv/dev-disk-by-id-md-name-arquivos-Arquivos/ti|ti|rmdir|ok|Tacio

Com o log local, nós poderemos futuramente usar alguma ferramenta centralizadora de logs para mandar essas informações para outro local como um graylog, rsyslog remoto, etc e armazena-los a longo prazo.

Boa sorte a todos e vamos que vamos!



Voltar para “Tutoriais”