https://www.opennet.ru/openforum/vsluhforumID14/2534.html Столкнулся с такой проблемой. Модуль full_audit.so даже при указании на то из конфига самбы <br>vfs objects = full_audit<br>full_audit:prefix = %u&#124;%I&#124;%m&#124;%S<br>full_audit:failure = all<br>full_audit:success = all<br>full_audit:facility = local5<br>full_audit:priority = notice<br><br>пишет только удачные попытки подключения <br><br>Jun 20 13:29:18 yoserv smbd[45722]: user&#124;192.168.х.х&#124;user11-pc&#124;share&#124;connect&#124;ok&#124;share<br>Jun 20 13:29:18 yoserv smbd[45723]: user&#124;192.168.х.х&#124;admin-pc&#124;IPC_&#124;connect&#124;ok&#124;IPC$<br><br>при этом попытки логина скажем с неправильным именем пользователя оставляет без внимания, не говоря уж о неверном пароле. Очень хотелось бы решить эту проблему.<br><br>Уважаемые Оупеннетовцы! Помогите победить фул аудит :)<br> https://www.opennet.ru/openforum/vsluhforumID14/2534.html#9 Thu, 28 Jun 2012 14:31:08 GMT Всем спасибо за ответы, проблему удалось решить правкой исходников auth.c<br>Кому если нужно, мне не жалко - делюсь :)<br><br>Меняем строки 317-319 на следующее<br>DEBUG(2, ("check_ntlm_password: Authentication for user [%s] -&gt; [%s] FAILED from %s with error %s\n",<br> user_info-&gt;client.account_name, user_info-&gt;mapped.account_name, smbd_server_conn-&gt;client_id.addr,<br> nt_errstr(nt_status)));<br><br>и компилим самбу - make package<br>Логи примут вид:<br><br>[2012/06/28 22:24:51.898170, 2] auth/auth.c:319(check_ntlm_password)<br> check_ntlm_password: Authentication for user [user] -&gt; [user] FAILED from 192.168.11.111 with error NT_STATUS_WRONG_PASSWORD<br>[2012/06/28 22:24:51.903520, 2] auth/auth.c:319(check_ntlm_password)<br> check_ntlm_password: Authentication for user [user] -&gt; [user] FAILED from 192.168.11.111 with error NT_STATUS_WRONG_PASSWORD<br>[2012/06/28 22:25:02.329675, 2] auth/auth.c:319(check_ntlm_password)<br> check_ntlm_password: Authentication for user [sdfsf] -&gt; [sdfsf] FAILED from 192.168.11.111 with error https://www.opennet.ru/openforum/vsluhforumID14/2534.html#8 Thu, 28 Jun 2012 07:28:52 GMT &gt; отресолвить user-pc по днс? ) <br><br>ну типо того )<br> https://www.opennet.ru/openforum/vsluhforumID14/2534.html#7 Wed, 27 Jun 2012 20:45:49 GMT &gt; то он уже будет писать при ошибка логина строчки вида <br>&gt; [2012/06/27 17:59:26.523359, 2] auth/auth.c:319(check_ntlm_password) <br>&gt; check_ntlm_password: Authentication for user [werwer] -&gt; [werwer] FAILED from <br>&gt; user-pc with error NT_STATUS_NO_SUCH_USER <br>&gt; вопрос! Как заставить его писать всеже ип а не хостнейм машины, в <br>&gt; user_info нету ничего подобного про ип (файл user_info.c), как дописать хз <br>&gt; - в си не настолько селен...<br>&gt; Помогите!<br><br>отресолвить user-pc по днс? )<br><br> https://www.opennet.ru/openforum/vsluhforumID14/2534.html#6 Wed, 27 Jun 2012 13:31:49 GMT За эти дни меня не покидала надежда найти решение этого ворпоса, начал править исходники самбы, если поправить строки 318-320 файла auth/auth.c на соответсвующие<br><br>DEBUG(2, ("check_ntlm_password: Authentication for user [%s] -&gt; [%s] FAILED from %s with error %s\n",<br> user_info-&gt;client.account_name, user_info-&gt;mapped.account_name, user_info-&gt;workstation_name,<br> nt_errstr(nt_status)));<br><br><br>то он уже будет писать при ошибка логина строчки вида <br>[2012/06/27 17:59:26.523359, 2] auth/auth.c:319(check_ntlm_password)<br> check_ntlm_password: Authentication for user [werwer] -&gt; [werwer] FAILED from user-pc with error NT_STATUS_NO_SUCH_USER<br><br>вопрос! Как заставить его писать всеже ип а не хостнейм машины, в user_info нету ничего подобного про ип (файл user_info.c), как дописать хз - в си не настолько селен...<br><br>Помогите!<br> https://www.opennet.ru/openforum/vsluhforumID14/2534.html#5 Tue, 26 Jun 2012 18:36:21 GMT &gt; Анализировать логи самбы? Там такая информация должна быть. Подобрать оптимальный уровень <br>&gt; протоколирования оставляю как домашнее задание, т.к. сам таким не занимался.<br><br>Уровни log level не подходят, т.к. инфа там пишется в очень не уднобночитаемом виде, и не в одной строчке.. нужно чтоб писалось чтото типо<br>25.06.12 22:33 auth FAIL user admin IP 10.11.10.11<br> https://www.opennet.ru/openforum/vsluhforumID14/2534.html#4 Tue, 26 Jun 2012 17:53:12 GMT &gt; капля логики в этом конечно же есть!<br>&gt; Но если логи типо "connect&#124;ok" пишутся .. то неужто в случае если <br>&gt; не коннект не ок.. то почему бы не писать "connect&#124;erorr" ? <br><br>Еще раз: когда дело доходит до full_audit, соединение уже установлено, пользователь опознан, пароль принят. Запись "connect&#124;error" может появиться, если какой-то vfs-модуль после full_audit вернет ошибку. Да и сам этот вызов (connect) существует в основном для того, чтобы vfs-модули могли произвести инициализацию соединения.<br><br>&gt; А есть еще какието вменяемые способы решения этого вопроса? Никогда не поверю <br>&gt; что никто это не делал...<br><br>Анализировать логи самбы? Там такая информация должна быть. Подобрать оптимальный уровень протоколирования оставляю как домашнее задание, т.к. сам таким не занимался.<br> https://www.opennet.ru/openforum/vsluhforumID14/2534.html#3 Mon, 25 Jun 2012 18:17:10 GMT капля логики в этом конечно же есть!<br>Но если логи типо "connect&#124;ok" пишутся .. то неужто в случае если не коннект не ок.. то почему бы не писать "connect&#124;erorr" ?<br><br>А есть еще какието вменяемые способы решения этого вопроса? Никогда не поверю что никто это не делал...<br> https://www.opennet.ru/openforum/vsluhforumID14/2534.html#2 Mon, 25 Jun 2012 18:07:57 GMT Есть предположение, что в случае неверных логинов, дело до full_audit просто не доходит - он все-же работает на уровне vfs, а неверные логины вполне могут отсекаться уровнями выше.<br> https://www.opennet.ru/openforum/vsluhforumID14/2534.html#1 Mon, 25 Jun 2012 12:05:23 GMT Неужели никто не занимался вопросами безопасности самбы?<br>