O Samhain é um sistema de detecção baseado em intrusão de host (HIDS) que fornece verificação de integridade de arquivos e acompanhamento do arquivo de log/análise, bem como detecção de rootkits, monitoramento de portas, detecção de arquivos executáveis SUID e processos ocultos.
Samhain foi projetado para monitorar vários sistemas legados com sistemas operacionais potencialmente diferentes, fornecendo registro centralizado e manutenção, embora também possa ser utilizado como aplicativo independente em um único host.
Samhain é uma aplicação multiplataforma de código aberto para sistemas POSIX (Unix,Linux Cygwin/Windows).
Version 2.8.4a http://www.la-samhna.de/samhain/samhain-current.tar.gz
MD5 checksum c9f7c291ee01a8c6c0bb14a3251b6285
bytes 2064459
release date May 11, 2011
Descompactando
Depois do download, descompacte o arquivo .tar.
$ gunzip samhain-current.tar.gz
$ tar -xf samhain-current.tar
samhain-2.8.4a.tar.gz
samhain-2.8.4a.tar.gz.asc
Obtendo última versão de desenvolvimento do samhain e a chave PGP 1024D/0F571F6C
(quase qualquer servidor de chaves vai fazer se pgp.mit.edu estão temporariamente indisponíveis):
$ gpg --keyserver pgp.mit.edu --recv-key 0F571F6C
Verifique a chave fingerprint (EF6C EF54 701A 0AFD B86A F4C3 1AAD 26C8 0F57 1F6C)
$ gpg --fingerprint 0F571F6C
e verificar a chave PGP:
$ gpg --verify samhain-2.8.4a.tar.gz.asc samhain-2.8.4a.tar.gz
Descompacte pela segunda vez e entre na pasta:
$ gunzip samhain-2.8.4a.tar.gz
$ tar -xf samhain-2.8.4a.tar
$ cd samhain-2.8.4a
Instalação
Leia o arquivo README e/ou o manual de opções caso você deseja configurar o código-fonte, então faça:
$ ./configure [options]
$ make
$ make install
(Há também um make uninstall. Caso você deseja não usar mais o samhain.)
Se você curte interfaces "GUI" do tipo 'dialog' (xdialog, dialog, lxdialog) você poderá instalar usando este comando:
$ ./Install.sh
Após a instalação, você deve primeiro analisar o arquivo de configuração (por padrão em /etc/ samhainrc), especialmente no que diz respeito a endereços de rede como o endereço de e-mail e de arquivos/diretórios são verificado. Em seguida, você tem que inicializar o banco de dados:
$ samhain -t init
Depois, você pode inicializar o samhain em modo daemon para verificar o seu sistema em intervalos, conforme especificado no arquivo de configuração:
$ samhain -t check -D
Na maioria dos sistemas, após a $ make install, você pode adicionar para instalar os scripts necessários no boot da máquina:
$ make install-boot
OBS:(SOs suportados: Linux, FreeBSD, MacOS X, Solaris, HP-UX, AIX).