12
14

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

ファイル改ざん検知ツール Samhain

Last updated at Posted at 2016-08-24

Samhain

http://www.la-samhna.de/samhain/
ホスト型侵入検知システム (HIDS) の Samhain は、ファイル整合性チェック、ログファイル監視/分析、ポート監視、不正な SUID 実行可能ファイルの検出などの機能を提供する。
inotify によるリアルタイムのファイル改ざん検知に対応している。
過去にルートキット検知機能も実装されていたが、時代に合わなくなったとして 4.0 時点で廃止された。1

最新版は 2018/09/25 リリースの Samhain 4.3.1 になる。

由来

Samhain の発音はサーウィン ˈsɑːwɪn で、古代ケルトで11月1日に行われた収穫祭のこと。ハロウィンの由来。
Samhain サーバーの呼称 Yule は古代ゲルマン民族の冬至の祭りのことで、クリスマスの由来。

HIDS

Smhain 以外の主な HIDS は以下の通り。

  • AFICK 3.6.0 (2017/12/08) - SourceForge に rpm パッケージがある。
  • AIDE 0.16 (2016/07/25) - CentOS の Base リポジトリーにある。
  • OSSEC 2.9.3 (2017/12/24) - inotify 対応。Atomic リポジトリーにある。
  • Samhain 4.3.1 (2018/09/25) - inotify 対応。コンパイル必須。
  • Tripwire 2.4.3.6 (2017/10/02) - EPEL リポジトリーにある。

パッケージ作成

残念ながらパッケージがないのでやむなくソースからコンパイルする。

yum -y install gcc rpm-build {libacl,libattr,pcre,zlib}-devel
curl -O http://www.la-samhna.de/samhain/samhain-current.tar.gz
tar xf samhain-current.tar.gz && tar xf samhain-4.3.1.tar.gz && cd samhain-4.3.1
echo "%_topdir $HOME/rpmbuild" > ~/.rpmmacros
./configure -q\
  --enable-selinux \
  --enable-posix-acl \
  --enable-login-watch \
  --enable-mounts-check \
  --enable-logfile-monitor \
  --enable-process-check \
  --enable-port-check \
  --enable-userfiles \
  --enable-suidcheck
make rpm

必要に応じて ./configure のオプションを取捨選択する。

インストール

yum -y install samhain-4.3.1.rpm

設定ファイルは /etc/samhainrc に配置される。

自動起動の確認

chkconfig --list samhain
出力例
samhain         0:off   1:off   2:on    3:on    4:on    5:on    6:off

初期化

samhain -t init

起動

samhain -t check -D

プロセスの確認

ps aux | grep -v grep | grep "USER\|samhain"
出力例
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root      6742 50.5  0.0 169244   188 ?        SL   00:49   0:27 samhain -t check -D
root      6743  0.1  0.0 167444     0 ?        S    00:49   0:02 samhain -t check -D

セキュリティ関連記事

  1. http://www.la-samhna.de/samhain/manual/kerneldef.html

12
14
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
12
14

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?