LMN 7.x Was loggt Ihr?

alois · 10. Juli 2022 um 10:55

Hallo Matthias,

es sollte zumindest - wie in der 6.2 und früher - möglich sein nachzuvollziehen, wer in welchem Zeitraum wo eingeloggt war. Und an anderer Stelle. Welcher Rechner welche Webseite besucht hat.

Vielleicht weis jemand von den @Entwickler wo man solche Logs findet.

Viele Grüße

Alois

Michael · 10. Juli 2022 um 12:36

Hallo zusammen.
Vermutlich geht es um das hier:
https://wiki.samba.org/index.php/Setting_up_Audit_Logging

Viele Grüße,
Michael

rettich · 10. Juli 2022 um 20:11

Hallo zusammen,

Da steht:

When using Kerberos authentication, the KDC is responsible for authentication. Therefore, Samba on an AD domain member can not log the authentication event.

Was wohl auf uns zutrifft. Wie man den KDC dazu bringt, Authentication zu loggen, weiß ich nicht. Vielleicht weiß jemand, wie das geht…

Gruß,
Mathias

alois · 14. Juli 2022 um 23:08

Ist das

die Lösung?

Gruß Alois

Rupprecht · 15. Juli 2022 um 05:56

Naja, man sieht eben dann im Samba log, wer sich wann an welchem Rechner angemeldet hat. Insofern ist es schon eine Lösung. Was noch schön wäre, wenn man mit „Namen“ sieht, wann man sich abgemeldet hat. Das ist nicht so.

Gruß,
Markus

wilfried · 15. Juli 2022 um 07:51

Hallo Markus,

Gerd hat hier folgendes geschrieben:

das hat auf mich so gewirkt, als ob die logs dadurch durch die Decke gehen würden. Kannst du das bestätigen?

Viele Grüße

Wilfried

jrichter · 15. Juli 2022 um 08:33

Hallo zusammen,

bei der LMN 6 wurde das ja ganz gut mit preexec und postexec gelöst. In etwas vereinfachter Version:

#Datei smb.conf
...
[homes]
...
root preexec  = echo  "$(date +%F\ %H:%M:%S) %u Klasse/Gruppe %g angemeldet an Rechner %m (%I)" >> /pfad/zum/log
root postexec  = echo  "$(date +%F\ %H:%M:%S) %u Klasse/Gruppe %g abgemeldet von Rechner %m (%I)" >> /pfad/zum/log

Man kann das natürlich noch in ein Skript packen und aufhübschen oder noch andere Dinge erledigen. Das „root“ ist nicht erforderlich, wenn man die Dateirechte des Logfiles richtig setzt.

Beste Grüße

Jörg

Michael · 15. Juli 2022 um 08:35

Funktioniert das auf diesem Weg weiterhin bzw hast Du es so getestet?

jrichter · 15. Juli 2022 um 09:05

Hallo Michael,

ich kann es gerade nicht testen, aber generell funktioniert preexec noch.

Beste Grüße

Jörg

Michael · 15. Juli 2022 um 09:12

Hallo Jörg,
ok – ich frage nur deshalb, weil sich ja noch mehr geändert hat und SAMBA jetzt als AD dient … und wie Matthias schon in #5 richtig gestellt hat: „Therefore, Samba on an AD domain member can not log the authentication event.“ – vielleicht widersprechen sich aus diesem Grund hier gerade einige Beiträge??

Nachtrag: Mit den Einträgen werden jetzt imho alle Anmeldungen in die Log-Datei geschrieben, also auch alle, die sich an Moodle usw anmelden. Geht vielleicht etwas zu weit bzw ist unnötig, da ja eigentlich nur die Anmeldungen an die Rechner in der Schule von Interesse sind?!?

Viele Grüße,
Michael

jrichter · 15. Juli 2022 um 09:40

Hallo Michael,

/„Therefore, Samba on an AD domain member can not log the
authentication event.“/
Unser Samba ist der AD-Controller, nicht nur „domain member“. Und mit
dem Audit-Logging geht es ja auch, die Information ist also da.

Aber wie gesagt kann ich es nicht testen, meiner VM-Umgebung fehlt noch
der Client - ein solcher Test ist aber schnell erledigt.

Viele Grüße

Jörg

jrichter · 15. Juli 2022 um 09:44

Hallo Michael,

den Nachtrag kam nicht mehr per Mail, sorry.

Es klappt also, das ist schon mal gut. Wenn zu viel ins Log geschrieben wird, dann würde ich doch keinen Einzeiler nehmen, sondern ein gesondertes Skript. Da kann man dann leicht Anmeldungen von Moodle, Nextcloud und anderen Diensten herausfiltern. Oder man loggt z. B. nach /pfad/zum/login-%m.log, dann ist es auch gleich schön nach Rechnern sortiert.

Beste Grüße

Jörg

Michael · 15. Juli 2022 um 10:18

Hi. Die Größe der Log-Datei angeht:
Gestern war sie 0 kB groß … und jetzt:

-rw-r--r--  1 root root   4654568 Jul 15 12:16 log.samba

Sie wächst also schon ordentlich. Ich habe die Größenbegrenzung wie oben vorgeschlagen aber gesetzt…

Michael · 15. Juli 2022 um 10:20

Das größere Problem scheint zu sein: In meiner smb.conf gibt es keinen Eintrag für die Homes mehr

… das war vielleicht ein Missverständnis: Ich hatte bisher nur die Einträge von ganz oben ausprobiert, nicht aber die preexec/postexec-Einträge.

jrichter · 15. Juli 2022 um 10:59

Hallo Michael,

OK, das muss man inzwischen woanders konfigurieren. Ich muss mir das mal
in Ruhe ansehen.

Aber es gibt ja offenbar schon eine funktionierende Lösung, auch wenn
noch Feintuning nötig zu sein scheint.

Beste Grüße

Jörg

Michael · 15. Juli 2022 um 11:33

… ich habe gesehen, dass alle eigenen Änderungen + Feintuning in die Datei
smb.conf.admin eingetragen werden sollen:
# add here your custom admin stuff

Rupprecht · 15. Juli 2022 um 12:40

Hallo Wilfried,

das mit dem log file = /var/log/samba.log.%m => 1 Logdatei pro Rechner habe ich dann nicht gemacht. Ich habe jetzt nur dieses auth_audit:3 drin und nach drei Tagen ist mein samba log nun 8613038 Bytes lang. Es geht. Ist aber irgendwie trotzdem unübersichtlich. Aber natürlich besser als gar nichts.

Gruß,

Markus

alois · 15. Juli 2022 um 14:48

Hallo Markus,

Das kann man ja mit Logrotate in den Griff bekommen.

Ich habe im Übrigen ein Issue zu der Thematik erstellt.

Viele Grüße

Alois

Arnaud · 16. Juli 2022 um 08:09

Hallo Alois,

Danke für die Issue, die Webui ist aber der falsche Ort, deswegen werde ich es schliessen. Das Loggen soll man im Kern von linuxmuster.net einstellen, d.h. linuxmuster-base oder sophomorix. Aber erst man muss man differenzieren, was man loggen will :

Wer sich an einem Computer anmeldet ?
Das ist eindeutig eine Sambasache, und hier gibt es schon Tipps wie man Samba konfigurieren kann, um es zu loggen. Aber die Anmeldung unter Windows Clients und Linux Client ist die gleiche : beim Linux Client läuft es mit Kerberos Ticket.
Ich werde selber es die nächste Wochen testen, da ich es auch brauche.
Wer welche Webseite besucht ?
Das ist ein bisschen polemisch, und es kommt darauf an welche Firewall / Proxy Lösung jeder nutzt. Meistens ist es OPNSense, ich kenne da nicht die angepasste Option.
Welcher Admin welche Änderung vornimmt ?
Man kann vieles in die Webui konfigurieren, aber der Kern da ist sophomorix, der vieles unter /var/log/sophomorix loggt. Die Webui kann auch alle ausgefürhte Kommandozeile loggen ( ich meine Befehl, die aus der Webui ausgefürht sind ) loggen.
Wer sich an die Webui sich anmeldet ?
Das ist automatisch in /var/log/ajenti geloggt. Man kann den DEBUG Modus aktivieren indem man folgendes in /lib/systemd/system/linuxmuster-webui.service ändert :

ExecStart=/usr/bin/python3 /usr/local/bin/ajenti-panel -d --stock-plugins --plugins /usr/lib/linuxmuster-webui/plugins

zu

ExecStart=/usr/bin/python3 /usr/local/bin/ajenti-panel -d --stock-plugins --plugins /usr/lib/linuxmuster-webui/plugins --log debug

und dann :

systemctl daemon-reload
systemctl restart linuxmuster-webui.service

ausführt.

Es wäre natürlich wenn ie Community Lösung und Tipps für die Punkte 1) und 2) sammeln könnte ( wie gesagt, ich werde es auch testen ).

Gruß

Arnaud

alois · 20. Juli 2022 um 19:14

Hallo Arnaud,

sorry, dass ich noch nicht geantwortet habe. Diese Woche ist bei mir vollkommen verplant. Ich habe die passende Stelle für das Issue nicht gefunden. Nochmal Sorry, dass ich Dir damit Arbeit gemacht habe.

Viele Grüße

Alois