[samba-jp:21986] Re: 共有フォルダからクライアントPCへのデータ転送監視について

[takasi.yano ＠ nifty.com]

矢野です。

ログを取っているから漏洩させたら丸わかりだよとユーザに警告しておくしかないかな。その上で実際の漏洩リスクを甘受するという書面に取締役レベルの署名を貰うっと。署名が貰えないなら共有フォルダは廃止という条件で。

-----作成者: 森川 武 <t.morikawa ＠ sync.co.jp> -----
宛先: Sambaについての様々な質疑応答用 <samba-jp ＠ samba.gr.jp>
送信者: 森川 武 <t.morikawa ＠ sync.co.jp>
日付: 2013/05/22 11:51
件名: [samba-jp:21985] Re: 共有フォルダからクライアントPCへのデータ転送監視について

ご返信ありがとうございます。

>サーバー側からはコピーかどうかは判断付けられません。

>一定期間に一定以上のファイルへの書き込み量を超えたら遮断、
>といった動作の独自の Samba VFS モジュールを実装できると思いますが、
>標準でそのような機能はないですね。

>fullaudit 等のモジュールって書き込み量はログされなかったような。
以下のような方法を試みました。
①full-auditが出力するログから、create_fileを含む行を探す
②コードが0x120089のものを探す。(Windows XPでは0x20089)
③ヒットした行のパス・ファイル名をもとにduコマンドを打って、ファイルサイズを算出する
④③で算出した値をプロセスごとに加算していく
⑤閾値を超えたら、smb.confのhosts deny = all　を有効にする

上記のようなシェルを実装しました。
しかし、実装後に分かったのですが、エクスプローラで検索したときや
OSによってはCtrl + cを押下しただけで、①〜③にヒットするログが出力されてしまい、
結果的にログをもとにする方法では厳しいと判断するに至りました。

結局、おっしゃる通り、「コピー」かどうかはサーバ側では判断できないため
ログからもそれを判断ができるわけがないということなのだと思います。

>クライアント側で工夫するしかないでしょうね。
それはもちろんが考えましたが、エンドユーザからNGが出たため
どうにかサーバ側で判断する方法を模索するために、質問させて頂いた次第で
ございます。