verificando la integridad del sistema de archivos con SAMHAIN V. 2.7.2a

The Samhain host-based intrusion detection system (HIDS) provides file integrity checking and log file monitoring/analysis, as well as rootkit detection, port monitoring, detection of rogue SUID executables, and hidden processes. (http://www.la-samhna.de/samhain/index.html)

Samhain es un sistema de  verificación de integridad de archivos  y alerta de intrusión para hosts individuales o redes basadas en Unix, distribuido bajo los términos de la GNU General  Public Licence.

Básicamente lo que hace es crear una base de datos con la información  relevante (permisos, fecha de creación, usuario , grupo. etc. ) de los archivos que se encuentran en los directorios que le indiquemos, luego revisa periódicamente  si alguno de los archivos fue modificado y notifica.

Instalación

-Obtenemos Samhain:

$wget http://la-samhna.de/samhain/samhain-current.tar.gz

– Compilamos e instalamos:

La configuración estándar de Samhain  es válida para el propósito de esta entrada. Para ver todas  las opciones de configuración  ejecutar:  ./configure – -help. Recomiendo – -with-kcheck=/path/to/System.map para habilitar la detección de rootkits.

$ ./configure
$ make
# make install

Instalación gráfica

$ ./Install.sh
Después de la instalación

- Iniciar la base de datos
$ samhain -t init

- Correr samhain como demonio
$ samhain -t check -D

Por defecto, la ruta y el nombre del archivo de configuración es:  /etc/samhainrc
Configurarlo  no es muy complicado  si se tiene a mano la documentación: http://www.la-samhna.de/samhain/manual/ , como dije anteriormente la configuración por defecto es funcional y se sale del propósito del post explicarla detalladamente.

– Es posible utilizar samhain con nagios: http://www.la-samhna.de/samhain/manual/nagios.html

-El proyecto Beltane sirve de consola web para samhain  (vista gráfica de notificaciones).

multiple hostsmultiple hosts
No Comments