Seite 1 von 1

[gelöst] Logging der IP Adresse des Sambalogins

Verfasst: 7. Mär 2018, 12:04
von rolle
Liebe Leute!

Ich möchte im Log meines Sambaserver (NT Domänencontroller auf Ubuntu 16.04) herausfinden, von welcher Adresse aus Loginversuche stattfinden. Ich habe hier ein paar Auffälligkeiten und würde gerne nach dem Urheber forschen.
In den Logfiles finde ich nur so etwas:
[2018/03/07 11:58:15.199203, 2] ../source3/auth/auth.c:315(auth_check_ntlm_password)
check_ntlm_password: Authentication for user [ADMINISTRATOR] -> [ADMINISTRATOR] FAILED with error NT_STATUS_NO_SUCH_USER
Das Loglevel in der smb.conf steht auf 2. Auch wenn ich ihn für auth auf 20 stelle, bekomme ich nicht meine gesuchte Quelladresse.
Gibt es eine Möglichkeit, dem Sambaserver zu sagen, er möge doch bitte die IP Adresse loggen, von der aus der Anmeldeversuch kommt? Und falls ja, welche?

Re: Logging der IP Adresse des Sambalogins

Verfasst: 7. Mär 2018, 12:18
von marce

Code: Alles auswählen

log file = /var/log/samba/%m.log
reicht nicht?

Re: Logging der IP Adresse des Sambalogins

Verfasst: 7. Mär 2018, 12:21
von rolle
Naja, das wäre eher nur ein Notnagel. Da ich hier viele potentielle Clients habe, stapeln sich halt damit die Logfiles. Ich möchte aber lieber je daemon nur einen haben.

Re: Logging der IP Adresse des Sambalogins

Verfasst: 8. Mär 2018, 12:27
von stka
Hallo,
das geht momentan (noch) nicht, soll aber kommen ;-). Wie immer bei Samba dann wenn es fertig ist. Ich würde das eventuell mit "fail2ban" machen. Es gibt zwar ein Audit-Modul, aber das logged nur Dateisystemzugriffe und das sollte man in einem Unternehmen IMMER mit dem Betriebsrat absprechen ;-) Thema hier "Arbeitskontrolle". Das gleiche gilt auch für das Loggen der Anmeldungen, denn damit könntest du überprüfen wann sich ein Benutzer an- und abgemeldet hat, das ist ebenfalls eine Arbeitskontrolle.
Ein Tipp noch: Frag doch mal auf der Samba Mailingliste nach ob und wann das gehen wird :-)

Re: Logging der IP Adresse des Sambalogins

Verfasst: 8. Mär 2018, 13:19
von rolle
Dankeschön, das war eine erschöpfende Antwort. Wie so oft will ich mal wieder etwas, was es noch nicht gibt... Dann warte ich eben auf Godot...

Ich werde mich hüten, ungezwungen eine Leistungs- und Verhaltenskontrolle zu implementieren. Mir geht es nur darum, Angriffsversuche erkennen zu können.