Menü
Avatar von Dracoform
  • Dracoform

11 Beiträge seit 04.08.2000

Zusätzlich den User im AD sperren?

Setzt man den Samba / Fail2Ban Server nicht als Hauptfileserver sondern lediglich als Warnsystem ein wenn plötzlich im Netzwerk Dateien verdächtig umbenannt werden, läßt sich über die hier veröffentlichte Option lediglich der Linuxrechner per IPTables sichern.

Meine Idee war nun, dass zugleich auch das Passwort des "schuldigen" Users geändert wird, bzw. dieser als Sicherheitsmaßnahme direkt deaktiviert wird.

Die benötigten Details stehen ja im Syslog: (hier mit zakushi als Testausdruck)

Mar 10 14:18:21 honeypot smbd_audit: IP=192.168.0.103|USER=TESTDOM\testuser|MACHINE=192.168.0.103|VOLUME=storage|rename|ok|Verwaltung/txt.txt.zakushi|Verwaltung/txt.txt.zakushi.zakushi

die IP zu sperren funktioniert einwandfrei, aber wie kann ich den dafür nötigen Teil von USER=xxxx an einen entsprechenden action Programmteil weitergeben?

Oder denke ich hier einfach falsch?

Grüße,
Frank

Bewerten
- +
Anzeige