Поиск нарушителя в сети

[fopmaceft]

Добрый день!
Такая ситуация, есть школьная сеть 80 компьютеров, Ubuntu сервер шлюзом, установлен жесткий диск на 2 тб, расшарен в сеть подключен сетевой папкой на каждый компьютер. Учителя создали свои папки и хранят/обмениваются документами - в общем получилась "помойка" для файлов учителей. Однажды утром мы обнаружили кучу новых папок с именами "ваш админ сети лох", "увольте админа на***р потому что не умеет настраивать доступ" и т.д., всего папок 10. В свойствах папок владельцем был "nobody" т.е. из локалки, учителя не такие грамотные, чтобы написать такие имена папок - есть несколько вариантов: чувак подключился по вайфаю и поугорал или через комп учителя. Скажем так секретной информации там нет, но там почти 500 гигов рабочих документов и было бы не хорошо если бы они разом исчезли. Надо узнать с какого ip были созданы папки, если это вайфай настроить подключение только по мак адресу, если через комп предупредить учителя чей комп был использован, гуглить пробовал подобных проблем не видел, да и на будущее пригодилось бы.

[vasyl]

Запаролить шару ?

[Sly_tom_cat]

Вы поставили себе сразу много задач:
1. Найти (и как я понимаю наказать) хулигана.
2. Защитить от возможной потери данных.
3. Настроить нормальный доступ по wifi.

По первой советую - забить. Человек явно был достаточно грамотный (всяко не вам с ним тягаться).
По второй - вам нужен бекап, только он может спасти от внезапной потери "всего что нажито непосильным трудом".
По третьей - для начала расскажите что у вас за wifi сетка - как и кем она используется.

[RUstorm]

Если он подключился по вайфаю то вы его не найдете, если это школьник зделал то со временим сам все и всем разболтает, а бекап документов обезательно должен быть - потерять 500 гб документации  далеко не шутка. Хулигану во всяко случае спасибо нужно сказать что не снес все эти документу,  другие деверсанты снесли бы все под ноль.

[Azure]

По п.1 — посмотреть время создания папок и уже отталкиваясь от этого смотреть чьи компьютеры были подключены и их активность.
Доступ к папке сделать по логин/пароль, а не просто расшарить (хотя бы будете знать откуда "прилетело")

[fopmaceft]

Посмотрел все ответы и дам несколько комментариев, вай-фай открытый - доступ к фильтрованному школьному интернету, но раздается в новые сети через роутеры, т.е. если основная сеть 192.168.0.0, то роутеры раздают в 192.168.1.0, 192.168.2.0, 192.168.3.0 и т.д.
Основной вопрос можно ли узнать с какого ip зашли на сервер и создали папку, есть ли такая программа и какую установить на будущее что бы знать, кто заходит и что делает.

[koshev]

samba. опция full_audit.

[Sly_tom_cat]

fopmaceft, полностью открытый вай-фай - точка дыра, через которую не только из школы можно попасть, но и из соседних зданий. Напакостить вам мог не школьник. Найти его вам скорее всего не удастся даже "с собаками"... Забейте на это (на поиск, как я уже предлагал). Тем более что ущерба - нет (если не считать ущербленного самолюбия  ).

Сосредоточьтесь на вопросах бекапирования данных и системой разделения прав доступа к файловой шаре.
 
Попутно я бы все же проработал вопрос с закрытием публичного доступа по wifi - пароль можно поставить простой и выдавать его всем желающим в школе, но хотя бы к вам не будут лезть из соседних домов торенты качать.

[fopmaceft]

1. По вайфаю я уже понял, настрою по доступ мак адресу.
2. Папки расшаривал через GUI (делалось из-за быстроты и простоты запуска сервиса) в smb.conf  нет описания шар, как добавить описание существующих шар?
3. Попробую настроить резервное копирование (максимальный объем занимают необработанные фото/видео для школьного сайта) они всегда зарезервированы.

[Sly_tom_cat]

Доступ в WiFi по MAC - это очень жестковато.

Нужно понять какие цели приследует беспроводная сеть? Если в нее включены только стационарные/лептопы школьных работников и школы - то там да - можно и по МАКу. Хотя можно и включить шифрование и доступ по никому кроме вас неизвестному паролю.  Если же она с претензией на общедоступность (хотя зачем она такая в школе - мне трудно понять - это не кафе какое-нибудь...) то тогда лучше включить шифрование и авторизацию по паролю. Пароль на дверях школы вешать не стоит, но и секретничать сильно не надо.

[AnrDaemon]

Настроить по школе нормальную авторизацию (да, домен/АД, а вы что хотели?). Заодно избежите проблем с "а кто создал эту папочку" в будущем.
Привязать WiFi к RADIUS серверу.
Кому нужен доступ - его будут иметь.