[Samba-it] Chi ha creato quella dir? Analisi del log

[Simo Sorce]

On Tue, 2003-11-25 at 00:10, Marco De Vitis wrote:
> Oggi mi è successa una cosa un po' imbarazzante.
> Nella radice di una share di Samba è stata trovata una directory 
> "Programmi", contenente solo una sottodirectory "AutoCAD LT 2002 Ita", a 
> sua volta vuota. Queste due dir portano la data di oggi, ore 9:38.

Tieni conto che unix non salva la data di creazione dei file, quindi se
ne crea una ad hoc per i client windows basandosi sulla data di
accesso/modifica, quindi potrebbe anche essere cosa più vecchia.

> Tutti gli utenti negano di esserne responsabili, e quindi sono stato 
> incaricato di spulciare i log per capire cosa fosse successo.

Ma l'owner del file chi è ?

> Ebbene, nei log di Samba (livello 2) non ne ho trovato traccia! Ho trovato 
> traccia di tutte le operazioni possibili, ma su quelle due dir buio 
> completo. Ho verificato che la creazione di una directory e lo spostamento 
> da un altro percorso vengono registrati, quindi non si tratta di questi 
> due casi.

Non vedo altri casi possibili, a meno che quella dir non sia condivisa
anche con altro nome e magari i dati si trovano in un altro file di log

> Esiste qualche genere di operazione che non viene registrata nei log di 
> livello 2?

Una marea :-)
Se vuoi fare dell'auditing sulle operazioni dei file ti consiglio di
usare il modulo vfs apposito piuttosto che usare i messagi di debug.
In questo modo hai tutto nel syslog fra l'altro.

> Anche se si trattasse di un tentativo di installazione fallito, 
> l'eventuale installer avrebbe agito a nome dell'utente, e quindi le 
> operazioni risulterebbero registrate come tutte le altre, giusto?

Direi di si.

> Qualche idea?

Nope.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Durando 10 Ed. G - 20158 - Milano
mobile: +39 329 328 7702
tel. +39 02 2399 7130 - fax: +39 02 700 442 399