オンアクセスでのファイルの改ざん検知(ファイルが改ざんされたと同時に検知)を行えるツールというと、OSSECとかTripwire(有償版)あたりかと思うのだが、この『Samhain』もオンアクセスでのファイル改ざん検知が行えるようだ。 厳密にはホスト型のIDSなので、改ざん検知の他に以下のような機能を提供している。
- 完全性チェック(チェックサムで変更を検知)
- ログの集中監視
- データベース、設定ファイルへの署名
- ログファイルやメールへの署名
今回は、この『Samhain』をCentOS 7にインストールしてみる。 ただ、結論から言うとオンアクセスでの改ざん検知設定までは持っていけなかったので、今後も調査が必要かも…。
1. インストール
パッケージは無いので、普通にソースからインストールする。 せっかくなので、参考元のようにrpmパッケージも作ってみる。
yum install -y gcc rpm-build libacl-devel libattr-devel pcre-devel zlib-devel wget
echo "%_topdir $HOME/rpmbuild" > ~/.rpmmacros
wget http://www.la-samhna.de/samhain/samhain-current.tar.gz
tar xzvf samhain-current.tar.gz
tar xzvf samhain-[0-9]*.tar.gz
cd samhain-*
./configure \
--enable-selinux \
--enable-posix-acl \
--enable-login-watch \
--enable-mounts-check \
--enable-logfile-monitor \
--enable-process-check \
--enable-port-check \
--enable-userfiles \
--enable-suidcheck
make rpm
yum install -y samhain-4.2.0.rpm
これでインストールができた。
2. 初期化及び起動
次に、Samhainのデータベース初期化及びサービスの起動を行う。 (インストール時点ですでに自動起動設定は有効になっているので、そこについては変更をしない)
samhain -t init
/etc/init.d/samhain start
これでサービスが起動した。 ただ、この時点ではまだ改ざんが行われても検知されないようだ(実際に設定ファイル「/etc/samhainrc」をいじってみたりしたのだが、どうも検知されなかった)。 設定が悪かったのか不明だが、ログには何も吐き出されずだったので、また時間をみてちょこちょこいじっていくことにする。