Wer hat's gelöscht?

Mit Hilfe von POSIX ACLs kann man die Dateizugriffe über Samba sehr viel granularer einschränken als mit normalen File Permissions. Doch manchmal wird trotzdem versehentlich was gelöscht und dann will's keiner gewesen sein. Von wegen. Samba kann man Argusaugen verpassen:

/etc/samba/smb.conf

[daten]
  path = /srv/daten
  browseable = yes
  read only = no
  hide unreadable = yes

  # Argusaugen

  vfs objects = full_audit

  full_audit:success = unlink rmdir
  full_audit:failure = none
  full_audit:facility = LOCAL7

/etc/rsyslog.conf

local7.*        /var/log/samba/log.audit

/etc/logrotate.d/samba-audit

/var/log/samba/log.audit {
        weekly
        missingok
        rotate 7
        postrotate
                /etc/init.d/samba reload > /dev/null
        endscript
        compress
        notifempty
}

/var/log/samba/log.audit

Sep 19 21:12:30 hermes-845-gv smbd[3700]: swick|192.168.0.100|rmdir|ok|tnc/testordner

Unter /usr/lib/samba/vfs gibt's noch andere Nettigkeiten z.B. Logging in eine MySQL oder PostgreSQL Datenbank.