[samba-jp:21993] Re: 共有フォルダからクライアントPCへのデータ転送監視について

[takasi.yano ＠ nifty.com]

矢野です。

クライアントPCの外部記憶機器を使用不可にするのは漏洩防止のいろはなので、それをしないなら漏洩防止はできません。ユーザの要求を断るべきかと思います。

-----作成者: 森川 武 <t.morikawa ＠ sync.co.jp> -----
宛先: Sambaについての様々な質疑応答用 <samba-jp ＠ samba.gr.jp>
送信者: 森川 武 <t.morikawa ＠ sync.co.jp>
日付: 2013/05/23 10:53
件名: [samba-jp:21990] Re: 共有フォルダからクライアントPCへのデータ転送監視について

>情報漏洩防止のためにサーバーのディスクI/Oの量を制限するのは
>最適な方法とは思えないですね。

>Samba4のグループポリシー機能を使って、クライアントPCの
>USBやDVDなどへの書き込み禁止機能を使う方が良いと思います。

>１ファイルのサイズが指定したサイズを超えていたら
>サーバーへコピーしようとするとエラーになります。

>これはサーバーへのコピーする場合なので
>すでにサーバーにある大きなファイルをクライアントにコピーする場合はエラー
>になりません。

>この機能の目的はファイルサーバーに動画などの無駄に大きなファイルを置かせ
>ないための機能です。

おっしゃっていることはご最もなのですが、サーバ側だけで制御し
クライアント側では制御させない、そしてサーバ⇒ローカルへのコピーを
監視・制限するという仕様はマストなんです。

現状のアプローチでは仕様を完全に満たすことは困難極まりないことは承知しております。

結局、Samba側からクライアントがコピー操作をしたかどうかを判別が困難である以上
コピーだけを制限するのは厳しいですからね。

ちなみにですが、現状のSambaではクライアント側のコピー操作を判別するのは
できないと思いますが、Sambaを改修することで判別できるようにするというのは
可能だと思われますか？

それを行うには最低でも、クライアントからSambaに対して、コピーなり検索なりの命令を
行う際に内部的な違いがなければ、その時点で不可能だと言えると思いますが。