CC BY
0УДК 004.4 Галимуллина А.В., Хасанова Р.Р.
Галимуллина А.В.
студент
Российский государственный университет нефти и газа
им. И.М. Губкина (г. Москва, Россия)
Хасанова Р.Р.
студент
Российский государственный университет нефти и газа
им. И.М. Губкина (г. Москва, Россия)
ПОЛУЧЕНИЕ СОБЫТИЙ С КЛИЕНТА И СТАТУСЕ СОСТОЯНИЯ КЛИЕНТОВ СРЕДСТВАМИ SAMBA AD
Аннотация: в работе представлена инструкция по настройке отслеживания событий с клиента Samba AD при помощи встроенных средств Samba Active Directory.
Ключевые слова: состояние клиента, авторизация, доменный контроллер, доменный пользователь.
Samba AD — это лицензионное программное обеспечение с открытым исходным кодом GPLv3, которое воспроизводит работу Microsoft Active Directory на операционных системах семейства Unix. Возникновение данного ПО было обусловлено необходимостью создания сетевой инфраструктуры, в которой функционируют различные операционные системы и обеспечивается их совместимость. Основная задача Samba AD заключается в использовании централизованной аутентификации, управлении учетными записями и группами пользователей, в применении политик безопасности.
Работа Samba AD осуществляется благодаря следующим технологиям и протоколам:
- Lightweight Directory Access Protocol (LDAP),
- Kerberos,
- Server Message Block/Common Internet File System (SMB/CIFS).
LDAP является открытым коммуникационным протоколом, который
используется для хранения, а также получения данных из каталога с иерархической структурой. LDAP обычно используется для хранения информации об организации, ее активах и пользователях. Kerberos - сетевой протокол аутентификации, который предназначен для проверки удостоверения пользователей или узлов с помощью системы цифровых «билетов». SMB -клиент-серверный протокол, предназначенный для получения доступа к файлам, каталогам и сетевым ресурсам, CIFS представляет собой часть протокола SMB и предназначен для удаленного подключения различных операционных систем Windows, Linux и MacOS [4].
Samba клиент - это устройства ил системы, которые введены в домен и взаимодействуют с ресурсами домена. Клиентами являются рабочие станции пользователей, многофункциональные устройства, серверы и другие. Для получения доступа к ресурсам клиенты обязаны пройти аутентификацию и авторизацию. Сервер Samba позволяет гибко настраивать логирование для выявления и фиксации возможных проблем в работе службы каталогов, а также мониторинга различных событий, связанных с аутентификацией, авторизацией и внесением изменений в базу данных службы [5].
Для лучшего понимания работы по отслеживанию состояния клиентов проведем эксперимент, в котором изучим процесс генерация и фиксации событий с клиентов. Эксперимент будет заключаться в проведении серии действий на клиентских устройствах, таких как попытки входа, доступ к сетевым ресурсам и изменения конфигурации, и отслеживании регистрации данных событий на сервере Samba AD. В качестве сервера Samba AD будет выступать дистрибутив ОС Альт Сервер, в качестве клиента - ОС Альт Рабочая Станция.
Предполагается, что у нас уже создан контроллер домена на сервере, используемый домен - samba.alt, клиентское устройство введено в домен и находится под управлением Samba AD 4.19.7.
Настроим логирование событий аутентификации и доступа к общим ресурсам в файле «/etc/samba/smb.conf» на контроллере домена. В секцию «global» необходимо добавить строки «log level = 2 auth_audit:3 smb:3», «log file = /var/log/samba/ALT-WS.log», «max log size = 5000». Значение «log level = 2» устанавливает уровень логирования для всей системы. Уровень 2 означает логирование важных событий и нештатных ситуаций. Значение auth_audit:3 указывает, что для аудита аутентификации должен использоваться уровень 3. Уровень 3 обеспечивает достаточно детализированное логирование событий, связанных с процессом аутентификации, таких как успешные и неудачные попытки входа. Параметр smb:3 указывает на уровень детализации для аудита SMB операций, так как доступ к файлам и каталогам, чтение и запись данных. Параметр «log file» задает путь и имя файла, в который будут записываться события, «max log size» определяет максимальный размер лог-файла в килобайтах.
log level = 2 auth audit:3 srob:3 log file = /var/log/&anba/ALT-WS.log max log size = 5090
Рис. 1. Настройка логирования событий Samba.
Создадим общую папку export, события в которой также будем логировать. Для этого секцию [export] приводим к следующему виду: [export]
path=/srv/export guest ok = no read only = no valid users = ivanov
vfs objects = full_audit full_audit:prefix = %u|%I
full_audit:success = open close read pread write pwrite full_audit:failure = none full_audit:facility = local5 full_audit:priority = notice
Доступ к этой папке ограничен только для пользователя с именем ivanov, и гостевой доступ отключен (guest ok = no). Папка настроена как доступная для записи (read only = no), что означает, что пользователь ivanov может и читать, и записывать файлы в этой папке. Кроме того, включен модуль full_audit, который ведет детализированный аудит действий пользователя. Логи записываются с префиксом, включающим имя пользователя и IP-адрес клиента (full_audit: prefix = %u|%I). В логах регистрируются успешные операции открытия, закрытия, чтения и записи файлов (full_audit:success = open close read pread write pwrite). Логи отправляются в лог файл с использованием facility local5 и имеют приоритет notice, что указывает на их важность.
[export ]
path=/srv/export guest ok - no read only = no valid users = ivanov vfs objects = full_audit full_audit:prefix = %u|%I
full_audit:success = open close read pread write pwrite full_audit:failure = none full_audit:facility = locals full_audit:priority = notice
Рис. 2. Настройка отслеживания событий для сетевой папки.
Проведем ряд экспериментов, показывающих работу логирования действий пользователей домена, и рассмотрим, в каких случаях применимы логи на практике.
Для начала выполним вход в доменного пользователя ivanov с правильным и неправильным паролем, после чего проверим информацию, которая была записана в лог файл /уаг/1о§/8ашЬа/ЛЬТ-WS.log. Неудачная попытка входа будет иметь статус NT_STATUS_WRONG_PASSWORD. При успешном входе можно увидеть статус NT_STATUS_OK.
Auth: [Kerberos KDC,ENC-TS Pre-authentication] user [(riu 11) I \ I iVatJtWA\@5AMBA. ALT0SANBA. ALT ] at [Tue, 01 Oct 232+ 16:00:27.289646 N3K] with, IncJ256-cts-hmai-shB1-96J status [NT STATUE WRONG PASSWORD] workstation [(null)] remote host [ipv4:192.16a.253.10;38346] napped to [SAHBA]\ [ivanov]. local host [NULL]
[2024/10/01 18:00:28.648399, 2] ,./../auth/auth J.og.c:858(log authentication_euent_human readable)
Рис. 3. Неудачные попытки входа с клиента.
Auth: [Kerberos K0C,ENC-TS Pre-authenticatiDnl user [(null)]\[petrovWaSAJieA.ALT@5AMBA.ALT] at [Tue, 01 Bet 2024 13:16:31.593437 T15K] with
[aes256cts-hmac-shal-96] status [NT STATUS OK] workstation [(null)] remote host [ipv4:192.168.250.10;40932] became [SAMBA]\[petrov] [S-l-5 -21-4013393389-3869752230■4122384217-1106]. local host [NULL]
[2324/13/31 18:16:59.168794, 3] ../../auth/auth_log.c:8581 log_authentication_event_human_readable)
I Auth: [Kerberos KDC,ENC-TS Pre-authentication] user )(null) J\|ivnnovWpSAHIUi.A.T0SWBA.ALT; at [Tue, 01 Bet 2024 18:16:59.168753 MSK] with
[aes25b-cts-hmac-shal-96] status [NT STATUS_0<] workstation [(null)] remote host [ipv4:192.168.250.10:54330] became [SAMBA]\[iuanov] [S-l-5 -21-48103933B9-3Btt9752230-41220EW217-11951 . local host [NUI I 1
Рис. 4. Удачные попытки входа в пользователей ivanov и petrov с клиента.
Samba хранит в журнале информацию о SMB-подключениях, файловых операциях и других событиях. Воспользовавшись средствами анализа логов, например grep, можно использовать журнал Samba для поиска необходимой информации о событиях со стороны клиентов, таких как время входа, адрес хоста и др.
Auth: [Kerberos KDC.ENC-TS Pre-authentication] user [(null)]\[WORKSTATION5@SAflBA.ALT] at [Tue, 01 Bet 2024 18:31:13.173896 MSK] with [aes2 56■cts hmac-shal-96] status [NT_STATUS_OK] workstation [(null)] remote host [ipv4:192.168.25G.10;52650] became [SAMBA]\[WORKSTATION!] [S 1-5 -21-4010393389-3869752230-4122084217-1103]. local host [NULL]
12024/19/61 18:31: 13.317898, 3] ..!. ,/auTh/anrhjog.c:858(log_aiithenticatinn_eventJiiiPian_readalile)
Auth: [Kerberos KDC,ENC-TS Pre-authentication] user [(null)]\[WORKSTATTON5@5AflBA. ALT1 at [Tue. 01 Bet 2024 18:31:13.317873 MSK1 with [aes2 56■cts-hmac-shal 96] status [NT_STATUS_OK] workstation [(null)] remote host [ipv4:192.168.250.10:526661 became [SAMBA]\[WORKSTATIONS] [S 1-5 -21-4010393389-3869752230-4122084217-1103]. local host [NULL]
[2924/1 B/fil 18:32:32.812045, 2J ,./. ./aiiTh/auth_log.c:858nog_aiithentication_event_hiiinan_ readable)
Auth: IKerberos tg>C,Un known pre-auTltcntUailar; user [(null) ]\[peti ovwaSAMBA.ALTesAKBA.ALTl ai [Tue, 31 Oct 2024 13:32:32.812035 M5K1 wit h [(nullI] status [NT STATUS ACCOUNT DISABLED] workstation [(null)] remote host [ipv4;192.168.250.10:39634] napped to [SAMBA]\[petrov], Ioca I host [NULL]
Рис. 5. Удачная аутентификация устройства workstation через Kerberos, но неудачная авторизация в пользователя petrov.
Статус NT_STATUS_ACCOUNT_DISABLED говорит о том, что пользователь petrov отключен. Зачастую, ошибка входа на клиенте не дает исчерпывающую информацию о причинах отказа доступа, соответственно, такие
логи могут быть инструментом для системного администратора для поиска причин ошибки входа в пользователя домена.
[2024/10/02 02:06:48.702990, 2] ../../scurce3/smbd/open.c:1638[open file]
SAMBA\ivanov opened file file.txt read=Yes write=No inuimopen=2) [2024/10/02 02:07:05.805318, 2] ../../source3/smbd/open.c:1638(open_file)
SAMBA\ivanov opened file file2.txt read=Yes write=¥es (riimopen=3) [2024/19/02 02:07:25.508243, 2] ../../source3/smbd/clcse.c:935(closenormalfile)
SAMBA\ivanov closed file file2.txt fnumopen=n NT_STATUS_OK [2024/10/02 02:07:25.508302, 2] ../../source3/5ntbd/close.c:935(close_normal_file) SAMBA\ivanov closed file file.txt !rumoper=0) NT STATUS_ OK
Рис.6. Запись в логи - ivanov открыл file.txt и file2.txt, и потом закрыл их.
Действия пользователей с файлами и директориями внутри ресурса export логируются. На рисунке 6 видно, что пользователь ivanov открывал и закрывал файлы file.txt и file2.txt, это записалось в логи. Эти логи можно использовать для фиксирования изменения файлов при совместной работе.
Функционал логирования Samba достаточен для логирования событий, для более детального анализа можно рассмотреть вариант работы с SIEM -сторонними системами управления журналами.
Проведенный эксперимент показал, как с помощью встроенных средств Samba можно организовать логирование без необходимости использования сторонних систем.
СПИСОК ЛИТЕРАТУРЫ:
1. Alterator-ahttpd-server // ALT Linux Wiki URL: https://w. altlinux.org/Alteratorahttpd-server;
2. SambD URL: https://winehq.org.ru/SambD;
3. SambD start // ALT Linux Wiki URL: https://w.altlinux.org/SambD_start;
4. Vazquez A., Vazquez A. Samba as a PDC and BDC //Practical LPIC-3 300: Prepare for the Highest Level Professional Linux Certification. - 2019. - С. 395-421;
5. Баранов, А. В. Основы работы с Samba AD: учебное пособие. М.: Издательство Бином, 2020;
6. Документация Samba. - URL: https://w.samba.org/samba/docs/current/man-html/samba. 7. html;
7. Уймин, А. Г. Демонстрационный экзамен базового уровня. Сетевое и системное администрирование : Практикум. Учебное пособие для вузов / А. Г. Уймин. - Санкт-Петербург : Издательство "Лань", 2024. - 116 с. - (Высшее образование). - ISBN 978-5-507-48647-2. - EDN BZJRIQ
Galimullina A. V., Khasanova R.R.
Galimullina A.V.
Gubkin Russian State University of Oil and Gas (Moscow, Russia)
Khasanova R.R.
Gubkin Russian State University of Oil and Gas (Moscow, Russia)
RECEIVING EVENTS FROM CLIENT AND STATUS OF CLIENT STATUS USING SAMBA AD
Abstract: the paper provides instructions for configuring event tracking from the Samba AD client using the built-in Samba Active Directory tools.
Keywords: client status, authorization, domain controller, domain user.
