• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Löschen von Files - wie Kontrolle? log?

Hi all,
auf unserem FileServer (SUSE Enterprise10) wird mittels Samba von vielen WindowsClients zugegriffen. Seit einigen Tagen "verschwinden" regelmäßig ganze Verzeichnisse (immer in einem bestimmten Unterverzeichnis). Ich vermute, da macht sich jemand eine "Scherz" daraus.
Frage: Kann man per log ermitteln, wer wann eine Datei oder Verzeichnis löscht? oder verschiebt?

Gruß Klara
(hoffe ich bin hier richtig, oder sollte die Frage ins Samba-Forum?)
 
Gegenfrage....
Wird auf einem reinen Windows-Server protokolliert, wer welche Datei auf einem Netzlaufwerk gelöscht hat?
Oder werden Datei-Aktionen über NFS oder auf einer lokalen Linux-Partition protokolliert....?

Ich denke, ganz so einfach wird es nicht möglich sein.
Normalerweise kann man davon ausgehen, wer Rechte auf eine Datei hat, sollte auch damit umgehen können.... :???:

Vielleicht aber einfach mal den Loglevel von Samba ganz hoch stellen....
Vielleicht ist da noch was zu sehen...
 
klara.win schrieb:
Frage: Kann man per log ermitteln, wer wann eine Datei oder Verzeichnis löscht? oder verschiebt?
Von Servern hab' ich keine Ahnung. Wenn für's Löschen "rm" verwendet wird, könnte man theoretisch die Quellen von "rm" so manipulieren, daß mit einem "sytem();"-Befehl der Name der gelöschten Datei irgendwohin geschrieben wird. Dann "rm" neu kompilieren usw.. Möglich, theoretisch.

Gruß
 
A

Anonymous

Gast
abgdf schrieb:
Wenn für's Löschen "rm" verwendet wird, könnte man theoretisch die Quellen von "rm" so manipulieren, daß mit einem "sytem();"-Befehl der Name der gelöschten Datei irgendwohin geschrieben wird. Dann "rm" neu kompilieren usw.. Möglich, theoretisch
samba wird nicht über rm arbeiten, sondern ehr über Kernelmodule oder die Funktionen aus der libc oder ähnliches benutzen. währe auch der komplett falsche Weg.
klara.win schrieb:
Seit einigen Tagen "verschwinden" regelmäßig ganze Verzeichnisse (immer in einem bestimmten Unterverzeichnis). Ich vermute, da macht sich jemand eine "Scherz" daraus.
Du solltest sowas nicht als Scherz auffassen sondern als aller letzte Warnung dich mal ernsthaft mit Zugriffsrechten auseinander zu setzen. Du bist auf dem bestem Wege die Kontrolle über das Netz und die Daten zu verlieren. Die Zugriffsrechte sind dazu da, das eben nicht jeder alles nur mal so zu Spaß machen kann. Wenn jemand gerne löscht, bitte, das kann er dann nur noch mit seinen einen eigenen Daten, und wenn er dann irgend wann mal mal keine mehr hat, dann muss er sich erst mal wieder welche besorgen. ;) Die Ausrede: "das muss jemand anders gelöscht haben", gilt dann auch nicht, das kann nur er selbst gewesen sein.

Miit normalem Menschenverstand, Moral und Anstand und ähnlichem kann ein Rechner nichts anfangen (leider einige Menschen auch nicht). Der Rechner macht was er gesagt bekommt.
Solange du jemanden erlaubst etwas zu löschen, dann darf er das auch löschen und der Rechner wird das machen. Nur brauchst du dann hinterher auch nicht nachforschen, zu was auch, du hast es ja erlaubt. Und warum willst du auch jemanden zur Rede stellen, wenn er nur das macht, was du ihm erlaubt hast.

Das alles mit loggen? mühselig, resourcefessend, und aufwendig. Die Daten währen deswegen trotzdem weg und selbst wenn du nach tagelangen Recherchen dann jemanden nachweisen könntest, das er ständig Dateien löscht, ein Vorsatz ist ihm im Ernstfall kaum nachweisbar solange die Zugriffsrechte dabei nicht übergangen worden sind.

Wenn du Jedem alles erlaubst, brauchst du dich nicht wundern wenn ab und zu mal jemand Gebrauch davon macht.


robi
 
robi schrieb:
....... Du solltest sowas nicht als Scherz auffassen sondern als aller letzte Warnung dich mal ernsthaft mit Zugriffsrechten auseinander zu setzen. Du bist auf dem bestem Wege die Kontrolle über das Netz und die Daten zu verlieren. Die Zugriffsrechte sind dazu da, das eben nicht jeder alles nur mal so zu Spaß machen kann. Wenn jemand gerne löscht, bitte, das kann er dann nur noch mit seinen einen eigenen Daten, und ..........
Solange du jemanden erlaubst etwas zu löschen, dann darf er das auch löschen und der Rechner wird das machen. Nur brauchst du dann hinterher auch nicht nachforschen, zu was auch, du hast es ja erlaubt. Und warum willst du auch jemanden zur Rede stellen, wenn er nur das macht, was du ihm erlaubt hast.

Wenn du Jedem alles erlaubst, brauchst du dich nicht wundern wenn ab und zu mal jemand Gebrauch davon macht.
robi
Naja, es ist halt ein Fileserver mit Projekten. Da müssen nun mal alle (in diesem Fall ca. 40 Mitarbeiter) darauf zugreifen und ändern können. Es ist nicht so, das ein MA sein Projekt für sich alleine hat.

robi schrieb:
......
Das alles mit loggen? mühselig, resourcefessend, und aufwendig. Die Daten währen deswegen trotzdem weg und selbst wenn du nach tagelangen Recherchen dann jemanden nachweisen könntest, das er ständig Dateien löscht, ein Vorsatz ist ihm im Ernstfall kaum nachweisbar solange die Zugriffsrechte dabei nicht übergangen worden sind.
robi
Dachte ich mir schon, das das nicht so trivial ist. Aber im Samba sieht man ja die anliegenden Verbindungen und es hätte ja sein können, das .. ;) Und ein Vorsatz ist ihm im Ernstfall doch nachweisbar, weil ganze Verzeichnisse weg sind, die auf jeden Fall benötigt werden.
Die Daten habe ich auch immer 3 fach gesichert, und so haben wir auch noch keinen wirklichen Verlust zu beklagen.

Trozdem THX
Klara
 
Du kannst mal das "t"-bit setzen am Verzeichnis und den Dateien, dann kann nur noch der Besitzer einer Datei oder eines Verzeichnisses dieses löschen. (chmod o+t datei)
 
A

Anonymous

Gast
ansonsten mal ein paar Linuxsonderrecht vorschalten. Die Dateien von denen man annimmt das sie nicht mehr gelöscht werden, sondern eventuell noch nur noch verändert, geändert oder angepasst werden müssen, einem speziellem Projektuser überstellen. (extra User ohne Login und den dann mit chmod als User dieser Dateien einteilen.) Auf das gesamte Verzeichnis das Stickybit setzten.
Da die Linuxrechte den Sambarechten vorgelagert sind, kann so eine Datei außer root (und dem speziellem Projektuser mit dem man sich aber nicht anmelden kann) niemand löschen, den Inhalt kann jedoch jeder ändern wenn er will. Je nach dem wie du samba konfiguriert hast, greift der Schutz auch auf alle anderen Dateien, immer nur der User der Datei kann diese löschen. Damit könnte irgendwer die Datei immer noch "leer" ändern, ist aber wesentlich auffälliger, da dann unter anderem der Zeitstempel zu sehen ist, und damit lässt sich schneller nachweisen wer angemedet war und wer nicht, das schreckt in der Regel schon etwas ab, geht meist auch nicht über viele Dateien mit einer einzigen Aktion.

Erfahrunsgemäß wenn so eine User Änderungen mit gesetztem Sticky still und heimlich eingeführt werden: der Erste der auffällige dumme Fragen stellt ;) ;) ;)

war ich wohl wieder zu langsam, dafür aber ausführlicher

robi
 
Oben