Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Samhain —

Nell’ottica di hardenizzare i bastion host (e di conseguenza rendere un po più sicura la LAN) una parte importante la giocano gli IDS.
Samhain è un software che appartiene a questa categoria, per la precisione è un  software che si occupa di controllare l’integrità dei files e di loggare eventuali differenze.
In buona sostanza samhain si crea un database quando viene installato e periodicamente in cron fa un check della situazione.
L’installazione è al solito su una Debian 7.x apt-get install samhain che si tira dietro le dipendenze necessarie.
Una volta installato andiamo a controllare in /var/state/ se esiste il file samhain_file che è poi il database dei files, se per un qualsiasi motivo non ci fosse si procede con samhain -t init e il database si crea.
Ovviamente quando si aggiorna un qualche pacchetto o si modifica un file di configurazione cambia il checksum del file e samhain lo fa immediatamente notare, quando ci si rende conto che la modifica del checksum è legittima (e soprattutto ci si è stancati di vedere messaggi di samhain) si procede ad un update del database con samhain -t update.
Ho lasciato per ultimo non perché meno importante ma perché di solito i valori di default di Debian sono sufficienti a fare un buon lavoro, il file /etc/samhain/samhainrc dove è possibile aggiungere personalizzazioni alla bisogna.


Categorised as: IDS | Linux | Networking | Sistemi operativi | Work

Comments are disabled on this post


Comments are closed.