[samba-jp:21985] Re: 共有フォルダからクライアントPCへのデータ転送監視について

[森川 武]

ご返信ありがとうございます。

>サーバー側からはコピーかどうかは判断付けられません。

>一定期間に一定以上のファイルへの書き込み量を超えたら遮断、
>といった動作の独自の Samba VFS モジュールを実装できると思いますが、
>標準でそのような機能はないですね。

>fullaudit 等のモジュールって書き込み量はログされなかったような。
以下のような方法を試みました。
①full-auditが出力するログから、create_fileを含む行を探す
②コードが0x120089のものを探す。(Windows XPでは0x20089)
③ヒットした行のパス・ファイル名をもとにduコマンドを打って、ファイルサイズを算出する
④③で算出した値をプロセスごとに加算していく
⑤閾値を超えたら、smb.confのhosts deny = all　を有効にする

上記のようなシェルを実装しました。
しかし、実装後に分かったのですが、エクスプローラで検索したときや
OSによってはCtrl + cを押下しただけで、①〜③にヒットするログが出力されてしまい、
結果的にログをもとにする方法では厳しいと判断するに至りました。

結局、おっしゃる通り、「コピー」かどうかはサーバ側では判断できないため
ログからもそれを判断ができるわけがないということなのだと思います。

>クライアント側で工夫するしかないでしょうね。
それはもちろんが考えましたが、エンドユーザからNGが出たため
どうにかサーバ側で判断する方法を模索するために、質問させて頂いた次第で
ございます。