Samhain
http://www.la-samhna.de/samhain/
ホスト型侵入検知システム (HIDS) の Samhain は、ファイル整合性チェック、ログファイル監視/分析、ポート監視、不正な SUID 実行可能ファイルの検出などの機能を提供する。
inotify によるリアルタイムのファイル改ざん検知に対応している。
過去にルートキット検知機能も実装されていたが、時代に合わなくなったとして 4.0 時点で廃止された。1
最新版は 2018/09/25 リリースの Samhain 4.3.1 になる。
由来
Samhain の発音はサーウィン ˈsɑːwɪn で、古代ケルトで11月1日に行われた収穫祭のこと。ハロウィンの由来。
Samhain サーバーの呼称 Yule は古代ゲルマン民族の冬至の祭りのことで、クリスマスの由来。
HIDS
Smhain 以外の主な HIDS は以下の通り。
- AFICK 3.6.0 (2017/12/08) - SourceForge に rpm パッケージがある。
- AIDE 0.16 (2016/07/25) - CentOS の Base リポジトリーにある。
- OSSEC 2.9.3 (2017/12/24) - inotify 対応。Atomic リポジトリーにある。
- Samhain 4.3.1 (2018/09/25) - inotify 対応。コンパイル必須。
- Tripwire 2.4.3.6 (2017/10/02) - EPEL リポジトリーにある。
パッケージ作成
残念ながらパッケージがないのでやむなくソースからコンパイルする。
yum -y install gcc rpm-build {libacl,libattr,pcre,zlib}-devel
curl -O http://www.la-samhna.de/samhain/samhain-current.tar.gz
tar xf samhain-current.tar.gz && tar xf samhain-4.3.1.tar.gz && cd samhain-4.3.1
echo "%_topdir $HOME/rpmbuild" > ~/.rpmmacros
./configure -q\
--enable-selinux \
--enable-posix-acl \
--enable-login-watch \
--enable-mounts-check \
--enable-logfile-monitor \
--enable-process-check \
--enable-port-check \
--enable-userfiles \
--enable-suidcheck
make rpm
必要に応じて ./configure のオプションを取捨選択する。
インストール
yum -y install samhain-4.3.1.rpm
設定ファイルは /etc/samhainrc に配置される。
自動起動の確認
chkconfig --list samhain
出力例
samhain 0:off 1:off 2:on 3:on 4:on 5:on 6:off
初期化
samhain -t init
起動
samhain -t check -D
プロセスの確認
ps aux | grep -v grep | grep "USER\|samhain"
出力例
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 6742 50.5 0.0 169244 188 ? SL 00:49 0:27 samhain -t check -D
root 6743 0.1 0.0 167444 0 ? S 00:49 0:02 samhain -t check -D
セキュリティ関連記事
- PHPセキュリティ強化モジュール Suhosin
- DoS攻撃/ブルートフォース攻撃対策アプリの近況
- Linuxアンチウイルスソフト ClamAV
- Linux Malware Detect
- ルートキット検出ツール Rootkit Hunter (rkhunter)
- ルートキット検出ツール chkrootkit
- ファイル改ざん検知ツール AFICK
- ファイル改ざん検知ツール AIDE
- ファイル改ざん検知ツール OSSEC
- ファイル改ざん検知ツール Samhain
- ファイル改ざん検知ツール Tripwire
- 脆弱性スキャナー OpenVAS
- 脆弱性スキャナー Nikto
- Linuxセキュリティ監査ツール Lynis