Samhain – program do sprawdzania integralności systemu plików

Samhain to nie tylko program do sprawdzania integralności systemu plików. To cały kombajn z możliwością pracy w architekturze klient – serwer, korzystania z baz danych, kontrolowania użytkowników, ostrzegania o ładowaniu niezarejestrowanych modułów do jądra…

Instalacja programu

Program jest dostępny w kilku dystrybucjach w postaci pakietów. Najlepiej jednak skompilować go według własnych potrzeb, gdyż ilość przydatnych funkcji programu jest duża.

Sama konfiguracja i instalacja w podstawowym trybie jest standardowa: ./configure, make, make install. Uzyskamy w ten sposób program, który będzie kontrolował integralność systemu plików. Plik Makefile posiada opcję deinstall więc można go później spokojnie odinstalować. Nie ma potrzeby korzystania z żadnych wraperów procesu instalacji jak.np. Checkinstall

Używanie programu

Przejdzmy do użytkowania programu. Musimy najpierw zainicjować bazę programu. W tym celu edytujemy plik /etc/samhainrc, a gdy go dopieścimy do własnych potrzeb wydajemy polecenie samhain -t init. Program utworzy sobie bazę danych z informacjami o plikach i katalogach. Następnie co jakiś czas należy sprawdzić czy coś się nie zmieniło. Korzystamy tutaj z opcji -t check czyli wydajemy polecenie samhain -t check. Jeżeli zainstalujemy jakieś nowe oprogramowanie należy przeedytować plik konfiguracyjny oraz uaktualnić bazę danych komendą samhain -t update. Wszystkie działania programu zostaną zalogowane do pliku /var/log/samhain_log.

Dalsze możliwości programu

Program może pobierać datę z zewnętrznego serwera, co uniemożliwia włamywaczowi ukrycie manipulacji w systemie przez zmianę daty. Może on też kontrolować logowania użytkowników, procesu ładowania modułów do jądra. Bezpieczeństwo programu można zwiększyć wykorzystując opcję stealth (ukrywa działania programu przed systemem) oraz chowając pliki konfiguracyjne i bazy danych w obrazkach. Program może współpracować z GPG. Bardzo przydatną opcją jest możliwość pracy przez sieć w architekturze klient – serwer.

ćwiczenie 2

Proszę skompilować i zainstalować program. Następnie dokonać inicjalizacji programu. Dalej zmienić plik konfiguracyjny dla programu lilo (/etc/lilo.conf) i ponownie uruchomić program. Program powinien wykazać zmianę w systemie.

Odpowiedzi do ćwiczeń

ćwiczenie 2 (Samhain)

Program kompilujemy i instalujemy poleceniami ./configure, make, maka install Inicjacja programu polega na wykonaniu polecenia samhain -t init. Sprawdzenie systemu dokonujemy poleceniem samhain -t check.
Należy obejrzeć logi znajdujące się w pliku /var/log/samhain.log

Dodaj komentarz