Edited at

ファイル改ざん検知ツール Samhain

More than 1 year has passed since last update.


Samhain

http://www.la-samhna.de/samhain/

ホスト型侵入検知システム (HIDS) の Samhain は、ファイル整合性チェック、ログファイル監視/分析、ポート監視、不正な SUID 実行可能ファイルの検出などの機能を提供する。

inotify によるリアルタイムのファイル改ざん検知に対応している。

過去にルートキット検知機能も実装されていたが、時代に合わなくなったとして 4.0 時点で廃止された。1

最新版は 2018/09/25 リリースの Samhain 4.3.1 になる。


由来

Samhain の発音はサーウィン ˈsɑːwɪn で、古代ケルトで11月1日に行われた収穫祭のこと。ハロウィンの由来。

Samhain サーバーの呼称 Yule は古代ゲルマン民族の冬至の祭りのことで、クリスマスの由来。


HIDS

Smhain 以外の主な HIDS は以下の通り。



  • AFICK 3.6.0 (2017/12/08) - SourceForge に rpm パッケージがある。


  • AIDE 0.16 (2016/07/25) - CentOS の Base リポジトリーにある。


  • OSSEC 2.9.3 (2017/12/24) - inotify 対応。Atomic リポジトリーにある。


  • Samhain 4.3.1 (2018/09/25) - inotify 対応。コンパイル必須。


  • Tripwire 2.4.3.6 (2017/10/02) - EPEL リポジトリーにある。


パッケージ作成

残念ながらパッケージがないのでやむなくソースからコンパイルする。

yum -y install gcc rpm-build {libacl,libattr,pcre,zlib}-devel

curl -O http://www.la-samhna.de/samhain/samhain-current.tar.gz
tar xf samhain-current.tar.gz && tar xf samhain-4.3.1.tar.gz && cd samhain-4.3.1
echo "%_topdir $HOME/rpmbuild" > ~/.rpmmacros
./configure -q\
--enable-selinux \
--enable-posix-acl \
--enable-login-watch \
--enable-mounts-check \
--enable-logfile-monitor \
--enable-process-check \
--enable-port-check \
--enable-userfiles \
--enable-suidcheck
make rpm

必要に応じて ./configure のオプションを取捨選択する。


インストール

yum -y install samhain-4.3.1.rpm

設定ファイルは /etc/samhainrc に配置される。


自動起動の確認

chkconfig --list samhain


出力例

samhain         0:off   1:off   2:on    3:on    4:on    5:on    6:off



初期化

samhain -t init


起動

samhain -t check -D


プロセスの確認

ps aux | grep -v grep | grep "USER\|samhain"


出力例

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND

root 6742 50.5 0.0 169244 188 ? SL 00:49 0:27 samhain -t check -D
root 6743 0.1 0.0 167444 0 ? S 00:49 0:02 samhain -t check -D


セキュリティ関連記事