Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst] Logging der IP Adresse des Sambalogins

Alles rund um die Server (Web-, Mail-, Datenbank-, Datenaustausch-, etc.) die man unter Linux betreiben kann

Moderator: Moderatoren

Antworten
rolle
Guru
Guru
Beiträge: 3724
Registriert: 4. Mai 2004, 21:50
Kontaktdaten:

[gelöst] Logging der IP Adresse des Sambalogins

Beitrag von rolle » 7. Mär 2018, 12:04

Liebe Leute!

Ich möchte im Log meines Sambaserver (NT Domänencontroller auf Ubuntu 16.04) herausfinden, von welcher Adresse aus Loginversuche stattfinden. Ich habe hier ein paar Auffälligkeiten und würde gerne nach dem Urheber forschen.
In den Logfiles finde ich nur so etwas:
[2018/03/07 11:58:15.199203, 2] ../source3/auth/auth.c:315(auth_check_ntlm_password)
check_ntlm_password: Authentication for user [ADMINISTRATOR] -> [ADMINISTRATOR] FAILED with error NT_STATUS_NO_SUCH_USER
Das Loglevel in der smb.conf steht auf 2. Auch wenn ich ihn für auth auf 20 stelle, bekomme ich nicht meine gesuchte Quelladresse.
Gibt es eine Möglichkeit, dem Sambaserver zu sagen, er möge doch bitte die IP Adresse loggen, von der aus der Anmeldeversuch kommt? Und falls ja, welche?
Zuletzt geändert von rolle am 8. Mär 2018, 14:02, insgesamt 1-mal geändert.
Horrido, Roland

Für meine Postings gilt außer bei Zitaten hier im Linux-Club die Creative Commons.

Werbung:
marce
Advanced Hacker
Advanced Hacker
Beiträge: 1069
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: Logging der IP Adresse des Sambalogins

Beitrag von marce » 7. Mär 2018, 12:18

Code: Alles auswählen

log file = /var/log/samba/%m.log
reicht nicht?

rolle
Guru
Guru
Beiträge: 3724
Registriert: 4. Mai 2004, 21:50
Kontaktdaten:

Re: Logging der IP Adresse des Sambalogins

Beitrag von rolle » 7. Mär 2018, 12:21

Naja, das wäre eher nur ein Notnagel. Da ich hier viele potentielle Clients habe, stapeln sich halt damit die Logfiles. Ich möchte aber lieber je daemon nur einen haben.
Horrido, Roland

Für meine Postings gilt außer bei Zitaten hier im Linux-Club die Creative Commons.

stka
Moderator
Moderator
Beiträge: 3284
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Re: Logging der IP Adresse des Sambalogins

Beitrag von stka » 8. Mär 2018, 12:27

Hallo,
das geht momentan (noch) nicht, soll aber kommen ;-). Wie immer bei Samba dann wenn es fertig ist. Ich würde das eventuell mit "fail2ban" machen. Es gibt zwar ein Audit-Modul, aber das logged nur Dateisystemzugriffe und das sollte man in einem Unternehmen IMMER mit dem Betriebsrat absprechen ;-) Thema hier "Arbeitskontrolle". Das gleiche gilt auch für das Loggen der Anmeldungen, denn damit könntest du überprüfen wann sich ein Benutzer an- und abgemeldet hat, das ist ebenfalls eine Arbeitskontrolle.
Ein Tipp noch: Frag doch mal auf der Samba Mailingliste nach ob und wann das gehen wird :-)
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher

rolle
Guru
Guru
Beiträge: 3724
Registriert: 4. Mai 2004, 21:50
Kontaktdaten:

Re: Logging der IP Adresse des Sambalogins

Beitrag von rolle » 8. Mär 2018, 13:19

Dankeschön, das war eine erschöpfende Antwort. Wie so oft will ich mal wieder etwas, was es noch nicht gibt... Dann warte ich eben auf Godot...

Ich werde mich hüten, ungezwungen eine Leistungs- und Verhaltenskontrolle zu implementieren. Mir geht es nur darum, Angriffsversuche erkennen zu können.
Horrido, Roland

Für meine Postings gilt außer bei Zitaten hier im Linux-Club die Creative Commons.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste