Samhain —
Nell’ottica di hardenizzare i bastion host (e di conseguenza rendere un po più sicura la LAN) una parte importante la giocano gli IDS.
Samhain è un software che appartiene a questa categoria, per la precisione è un software che si occupa di controllare l’integrità dei files e di loggare eventuali differenze.
In buona sostanza samhain si crea un database quando viene installato e periodicamente in cron fa un check della situazione.
L’installazione è al solito su una Debian 7.x apt-get install samhain che si tira dietro le dipendenze necessarie.
Una volta installato andiamo a controllare in /var/state/ se esiste il file samhain_file che è poi il database dei files, se per un qualsiasi motivo non ci fosse si procede con samhain -t init e il database si crea.
Ovviamente quando si aggiorna un qualche pacchetto o si modifica un file di configurazione cambia il checksum del file e samhain lo fa immediatamente notare, quando ci si rende conto che la modifica del checksum è legittima (e soprattutto ci si è stancati di vedere messaggi di samhain) si procede ad un update del database con samhain -t update.
Ho lasciato per ultimo non perché meno importante ma perché di solito i valori di default di Debian sono sufficienti a fare un buon lavoro, il file /etc/samhain/samhainrc dove è possibile aggiungere personalizzazioni alla bisogna.
ADDENDUM
Passato a Devuan JESSIE le cose sono un po cambiate e il samhain_file si trova in /var/lib/samhain/
QUI il file di configurazione commentato per non avere avvisi eccessivi su funzioni che non sono presenti sulle macchine.
Categorised as: IDS | Linux | Networking | Sistemi operativi | Work
Comments are disabled on this post