Re: důvěryhodnost samba full_audit

[Pavel Kankovsky]

On Tue, 28 Feb 2012, Daniel Hrbac wrote:

> v konfiguráku samby na ubuntu 10.04 mám napsáno
>     full_audit:prefix = %I|%m|%S
> [...]
> a vznikají soubory typu log.jmenopocitace s údaji full auditu. pro další 
> pořádek podotýkám, že security = share a guest ok = yes.
> [...]
> [2012/02/28 15:18:50,  2] smbd/open.c:580(open_file)
>  nobody opened file xxx/proekcionnye chertezhi rev1.zip read=Yes write=No 
> (numopen=62)

Ale toto není záznam z full auditu. To je ladící hláška z funkce 
open_file. Full_audit píše do syslogu a vyrábí hlášky podle zadaného 
prefixu: v tomto případě je prefix %I|%m|%S, čili IP adresa, jméno 
počítače (podle toho, jak si sám říká) a jméno služby/sharu; jméno 
uživatele by se tam vůbec neobjevilo.

> znamená to že nobody fyzicky otevřel tento soubor? dá se na to 
> spolehnout?

Ano, znamená to, že uživatel nobody otevřel jmenovaný soubor pro čtení.
Dá se na to spolehnout do té míry, do jaké se dá spolehnout na to, že 
se nikomu nepodaří přimět Sambu k tomu, aby dělala věci, které dělat nemá.

> a doplňující dotaz - může se takto projevit vyhledávání v průzkumníkovi 
> nad sdílenou složkou?

Možná ano. U některých druhů souborů už jen při zobrazení obsahu adresáře 
leze dovnitř a hledá tam ikony apod.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /