Samhain, un HIDS multi-OS

Samhain est un système de détection d’intrusion au niveau de la machine ou HIDS (Host-based Intrusion Detection System), qui permet de vérifier l’intégrité des fichiers et d’avoir un journal de tous les événements suspects comme la détection de rootkit, la surveillance des ports, la détection des exécutables Rogue SUID et des processus cachés.

Samhain été conçu pour surveiller des hôtes multi-systèmes d’exploitation, offrant une journalisation et une maintenance centralisée, mais il peut également être utilisé comme application autonome sur un seul hôte.

Cette application est open-source et multiplateforme pour les systèmes POSIX (Unix, Linux, Cygwin / Windows):

  • POSIX (Linux, *BSD, Solaris 2.x, AIX 5.x, AIX 4.x, HP-UX 10.20, HP-UX 11, Unixware 7.1.0, Alpha/True64, et Mac OS X)
  • Windows 2000 / WindowsXP avec une emulation POSIX (Cygwin)

Téléchargement

http://www.la-samhna.de/samhain/samhain-current.tar.gz

MD5 checksum: ff33a5307640d21e8060966e135123af

Installation

Dézippez une première fois le fichier tar:

$ gunzip samhain-current.tar.gz
$ tar -xf samhain-current.tar

Vous devez avoir ces deux fichiers:
samhain-2.7.0.tar.gz
samhain-2.7.0.tar.gz.asc

Récupérez la clé PGP 1024D/0F571F6C

$ gpg –keyserver pgp.mit.edu –recv-key 0F571F6C

Vérifiez la clé d’empreinte (EF6C EF54 701A 0AFD B86A F4C3 1AAD 26C8 0F57 1F6C)

$ gpg –fingerprint 0F571F6C

et vérifiez la signature PGP sur l’application

$ gpg –verify samhain-2.7.0.tar.gz.asc samhain-2.7.0.tar.gz

Dézipper le fichier tar et placez vous dans le répertoire de l’application

$ gunzip samhain-2.7.0.tar.gz
$ tar -xf samhain-2.7.0.tar
$ cd samhain-2.7.0

Pour connaître les options, consultez le README et/ou le manuel situé dans le répertoire où vous devriez être. (samhain-2.7.0)

$ ./configure [options]
$ make
$ make install

Après l’installation, vous devriez vérifier le fichier de configuration (par defaut /etc/samhainrc), notamment les adresses réseaux, les adresses email et le fichiers/répertoires que vous voulez surveiller. Ensuite, vous devez initialiser la base de données:

$ samhain -t init

Ensuite, vous pouvez lancer le service samhain pour vérifier votre système à intervalle régulier que vous aurez spécifié dans le fichier de configuration:

$ samhain -t check -D

Sur la plupart des systèmes, après la commande ‘$ make install, vous utiliser la commande suivante pour lancer samhain à chaque démarrage (supporté: Linux, FreeBSD, MacOS X, Solaris, HP-UX, AIX) :

$ make install-boot

Documentation

Toutes la documentation est dans le sous-dossier « docs » de l’application. Vous trouverez un manuel détaillé au format PS et HTML, comprenant des explications, des exemples pour la configuration et des tutoriels pour vous aider à résoudre les problèmes.

La documentation est également disponible en ligne.

1 Response to "Samhain, un HIDS multi-OS"

Laissez un commentaire