Ubuntu文件共享审计配置（手把手教你设置Samba共享与日志审计）

第一步：安装 Samba 服务

Samba 是 Linux 系统中最常用的文件共享工具，支持与 Windows 系统无缝协作。首先，打开终端（Ctrl+Alt+T），更新软件包列表并安装 Samba：

sudo apt updatesudo apt install samba -y

第二步：创建共享目录并设置权限

假设我们要共享一个名为 shared_docs 的目录：

sudo mkdir -p /srv/samba/shared_docssudo chown -R nobody:nogroup /srv/samba/shared_docssudo chmod -R 0775 /srv/samba/shared_docs

这里我们将所有者设为 nobody，以便匿名用户也能访问（可根据实际需求调整）。

第三步：配置 Samba 共享

编辑 Samba 配置文件 /etc/samba/smb.conf：

sudo nano /etc/samba/smb.conf

在文件末尾添加以下共享配置：

[shared_docs]   path = /srv/samba/shared_docs   browseable = yes   writable = yes   guest ok = yes   read only = no   create mask = 0775   directory mask = 0775

保存并退出（在 nano 中按 Ctrl+O 回车，再按 Ctrl+X）。

第四步：启用 Samba 日志审计（关键步骤）

为了实现Linux文件审计配置，我们需要增强 Samba 的日志记录能力。继续编辑 smb.conf，在 [global] 段落下添加或修改以下参数：

[global]   log file = /var/log/samba/%m.log   max log size = 1000   log level = 2   vfs objects = full_audit   full_audit:prefix = %u|%I|%m|%S   full_audit:success = open close read write mkdir rmdir unlink rename   full_audit:failure = none   full_audit:facility = local7   full_audit:priority = notice

说明：

• vfs objects = full_audit：启用完整审计模块
• full_audit:success：记录成功的文件操作
• %u|%I|%m|%S：日志前缀包含用户名、IP、主机名和共享名

第五步：重启 Samba 并验证配置

保存配置后，重启 Samba 服务使更改生效：

sudo systemctl restart smbd nmbd

测试配置是否正确：

testparm

第六步：查看审计日志

当有用户访问共享时，审计日志会写入系统日志。你可以使用以下命令实时查看：

sudo tail -f /var/log/syslog | grep audit

你也可以将审计日志单独输出到文件（需配置 rsyslog），但这已超出本文范围。以上配置足以满足大多数Ubuntu系统安全和Samba共享安全的基本审计需求。

小结

通过本教程，你已经成功完成了 Ubuntu文件共享审计 的基础配置。这不仅提升了共享文件的安全性，也为后续排查异常访问行为提供了有力依据。建议定期检查日志，并根据实际需求调整审计级别。

安全无小事，审计要先行！