Samba: ban při kopírování většího množství dat

[Jan Mracek]

Zdravim

chtel bych dostat alert v pripade ze se uzivatel pokusi ze SAMBA serveru stahnout vetsi mnozstvi dat... rekneme vic nez x GB za nejaky cas... resite to pres audit operaci v sambe a nebo pres firewall? Zajima me jen smer ven.

diky za napady resp pokud neco uz existuje tak jak se to jmenuje ;-)

ps: nastroj na vyhazovani hliny = javaman to nebere

[Reklama]

[Lol Phirae]

Nějak nechápu, v čem je problém? Přetěžuje to síť? Nebo to přetěžuje ten fileserver? V obojím případě jaksi ban nebude řešením.

[dustin]

Možná se bojí krádeže dat :-)

[Trupik]

Možná se bojí krádeže dat :-)

alebo cryptolockera

[zboj]

ps: nastroj na vyhazovani hliny = javaman to nebere

To chce nahlásit, ať si to na rootu opraví

[Reklama]

[Jan Mracek]

Jde o pripad, kdy nekoho napadne zkopcit si vsechna data na prenosny disk, aby tomu bylo vcas aktivne zabraneno. Nic vic nic min. Kazdy uzivatel ma svuj username a nemenici se IP.

resi to nekdo nejak elegantne at uz na strane SAMBA serveru nebo v pf ci iptables? Nebo jeste jinak?

diky

[j]

...
resi to nekdo nejak elegantne at uz na strane SAMBA serveru nebo v pf ci iptables? Nebo jeste jinak?

Ok, davam si do poznamnicku, 1GB/den je vpohode, takze do 1/2 roku mam vsechny zajimavy firemni data postahovany ...

Na tomhle si tak maximalne nabijes hubu.  Resi se to tak, ze user nema pristup k vecem ktery nepotrebuje a ty ktery potrebuje mu stejne omezovat nemuzes, protoze je potrebuje.

Nebo jako budes neustale resit veci na tema "ted sem si stah tu prezentaci ... a potrebuju jeste druhou a to mam jako cekat do zitra abych ji moh zakaznikovi kterej sedi vedle me poslat? Postou?"

[Jan Mracek]

Uzivatele nad tema datama normalne pracuji a to je v pohode... maji VPN a nemusi si nikam nic skladovat k sobe. Nepracujou s velkym objemem dat.. ale mezi sebou velky objem dat sdili.

Celou dobu jde o to jestli lze nejak rozumne odchytit situaci, kdy nekdo vezme prenosny disk a zacne kopirovat stylem beru vsechno. Bylo by pak dobre to vedet za vcasu.

Samosebou chapu ze pokud nejaky chytrak nad sdilenim pusti antivirak... tak ho to sekne ale to je v poradku.

zatim to vypada ze budu v nejakem casovem intervalu vyhodnocovat audit operaci nad soubory ale i tak se ptam vsech ostatnich, to nikdo neresil podobnou situaci?

Vynaseni dat je dnes uz tak sofistikovane ze user predpoklada ze kazdy den trosku a za chvili ma vsechno? Notak....

[j]

... kdy nekdo vezme prenosny disk ...

Neveme, kdyz mu to nedovolis. Zakazat pouzivani USB ulozist jde i na widlich.

A ze nepracujou s velkym objemem dat? Co je to velkej objem dat? Blba tabulka v excelu muze mit klido 100MB ... jedna. Neco hledam, otevru jich 10 ... a du domu, protoze mam prekazku v praci na strane zamestnavatele, nic dalsiho prej uz otevrit nemuzu.

Vis, pokud chces zamestnavat lidi, kterym neveris, tak bys radsi mel zavrit kram. A naprosto nepochybuju o tom, ze tu tvoji "duveru" ty lidi nalezite ocenej - prave tim, ze ti ty data vyluxujou vsechny.

Jinak ti dam priklad ju? Prijde ti 5 pokusu na heslo malo? Me to teda prijde az dost. Presto v 80% firem narazis, pokud nastavis politiku tak, ze po 5ti pokusech z IP se na hodinu neda (z ty IP) pripojit vubec.

[Trupik]

Jde o pripad, kdy nekoho napadne zkopcit si vsechna data na prenosny disk, aby tomu bylo vcas aktivne zabraneno. Nic vic nic min. Kazdy uzivatel ma svuj username a nemenici se IP.

resi to nekdo nejak elegantne at uz na strane SAMBA serveru nebo v pf ci iptables? Nebo jeste jinak?

diky

Cez iptables by to šlo modulom hashlimit - podľa daného kritéria počíta packety do jednotlivých chlievikov (napr. podľa zdrojovej IP adresy) a dá sa nastaviť limit na počet paketov za obdobie (napr. 10000 za deň). Nastaviť správny počet paketov a správne obdobie bude asi celkom šamanská veda, ale skúsiť sa to dá.

[Jan Mracek]

Kdyz nekdo prenese za den x GB na misto x MB coz je treba jeho prumer, tak to zas az takove samanstvi neni... stejne jako kdyz nekdo za den otevre prumerne 500 files a najednou jich je tam 5000 za hodinu...

Chapu ze se to nekterym slunickarum zda jako omezovani uzivatelu, ja to vidim jako detekci neceho co se za normalniho provozu nedeje. Tohle neni otazkou duvery v lidi zamestanavatele.

Firma je ke svym zamestnancum velice slusna, nad pomery jinde... presto v tomto pripade je lepsi vedet nez zit v blahe nevidomosti.

A resit to interni smernici budiz... zakaz usb zarizeni Vam neprijde jako omezovani uzivatelu? Boze....

[Ondra Satai Nekola]

Chapu ze se to nekterym slunickarum zda jako omezovani uzivatelu, ja to vidim jako detekci neceho co se za normalniho provozu nedeje. Tohle neni otazkou duvery v lidi zamestanavatele.

Vidim, ze slunickari uz jsou uplne vsude...

[Trupik]

Kdyz nekdo prenese za den x GB na misto x MB coz je treba jeho prumer, tak to zas az takove samanstvi neni... stejne jako kdyz nekdo za den otevre prumerne 500 files a najednou jich je tam 5000 za hodinu...

To sme sa zle pochopili... v tom hashlimit sa počítajú pakety, nie bajty. A odlíšiť pakety, ktoré prenášajú dáta od tých, ktoré nesú metadáta, to už hádam radšej použiť ten audit, čo spomínaš vyššie.

Na bajty by mohol fungovať nejaký traffic shaping, ale s tým skúsenosť nemám.

[Lol Phirae]

Jde o pripad, kdy nekoho napadne zkopcit si vsechna data na prenosny disk, aby tomu bylo vcas aktivne zabraneno. Nic vic nic min. Kazdy uzivatel ma svuj username a nemenici se IP.

Šmarjá, buď má k těm datům přístup a pak je úplně jedno, jestli si to zkopčí za den nebo za měsíc, nebo mu proboha ten přístup nedávej/odeber.

Bože to je zase kundovina.

[j]

..., ale skúsiť sa to dá.

Tj, to bude parada az ti exne pripojeni na otevrenym a neulozenym souboru ... schvalne to nekde otestuj ... a nezapomen mit v pohotovosti zaznam ... protoze tech nadavek co na svoji adresu uslysis bude tolik, ze si je budes pamatovat jeste za 10let. Tak si to nahraj, aby ses s nama pak moh podelit.

Tvle tusi tady vubec nekdo ze i ty blby widle muzou trebas indexovat obsah i sitovych disku? A aby to zaindexovaly ... tak to musej precist. Nebo kdyz pustim na disk hledani neceho v souboru ... tak neprekvapive ty soubory taky musim precist vsechny. A to nemluvim o takovych vecech, ze samba sama posila info o zmenach, takze kdyz kolega trebas jen prejmenuje 10k souboru, tak me (a vsem co k tem souborum maj pristup) dorazi par MB informaci o zmenach.