důvěryhodnost samba full_audit

Daniel Hrbac hrbac na advokati.biz
Úterý Únor 28 21:39:55 CET 2012 

a doplňující dotaz - může se takto projevit vyhledávání v průzkumníkovi 
nad sdílenou složkou?

dan

Dne 28.2.2012 21:31, Daniel Hrbac napsal(a):
> Dobrý den,
>
> v konfiguráku samby na ubuntu 10.04 mám napsáno
> full_audit:prefix = %I|%m|%S
> full_audit:success = mkdir rename unlink rmdir pwrite
> full_audit:failure = none
> full_audit:facility = LOCAL7
> full_audit:priority = NOTICE
>
> a vznikají soubory typu log.jmenopocitace s údaji full auditu. pro další
> pořádek podotýkám, že security = share a guest ok = yes.
>
> každopádně se objeví např. následující řádky:
>
> [2012/02/28 15:18:50, 3] smbd/vfs.c:865(check_reduced_name)
> reduce_name [xxx/proekcionnye chertezhi rev1.zip] [/media/Akta]
> [2012/02/28 15:18:50, 3] smbd/vfs.c:974(check_reduced_name)
> reduce_name: xxx/proekcionnye chertezhi rev1.zip reduced to
> /media/Akta/xxx/proekcionnye chertezhi rev1.zip
> [2012/02/28 15:18:50, 3] smbd/dosmode.c:149(unix_mode)
> unix_mode(xxx/proekcionnye chertezhi rev1.zip) returning 0777
> [2012/02/28 15:18:50, 3] smbd/vfs.c:865(check_reduced_name)
> reduce_name [xxx/proekcionnye chertezhi rev1.zip] [/media/Akta]
> [2012/02/28 15:18:50, 3] smbd/vfs.c:974(check_reduced_name)
> reduce_name: xxx/proekcionnye chertezhi rev1.zip reduced to
> /media/Akta/xxx/proekcionnye chertezhi rev1.zip
> [2012/02/28 15:18:50, 2] smbd/open.c:580(open_file)
> nobody opened file xxx/proekcionnye chertezhi rev1.zip read=Yes write=No
> (numopen=62)
> [2012/02/28 15:18:50, 3] smbd/oplock_linux.c:127(linux_set_kernel_oplock)
> linux_set_kernel_oplock: got kernel oplock on file xxx/proekcionnye
> chertezhi rev1.zip, file_id = 821:2c020:0 gen_id = 60806
> [2012/02/28 15:18:50, 3] smbd/process.c:1459(process_smb)
> Transaction 705163 of length 76 (0 toread)
>
> zajímá mě zhruba 5. řádek od konce začínající "nobody opened file .... "
> následně je vytvořen sambou oplock což je asi správně.
>
> znamená to že nobody fyzicky otevřel tento soubor? dá se na to spolehnout?
>
> nobody přistupuje z winXP, bez offline files nebo něčeho takového.
>
> děkuji.
>


-- 
Daniel Hrbac

Další informace o konferenci Linux