Shall wiTango? RSSフィード

2005-04-15侵入検知系の覚え書き(1)

[]samhainのインストール記録(WSMから本人投稿を再掲載 2004年2月)

samhainはOSXでうまくコンパイルできると紹介されていたのですが、結果から言うと、1.6.6まではその通りですが、1.7系以降はsh_mail.cでエラーになりコンパイルできません。

1.6.6のsh_mail.cなどと入れ替えたりしてみましたが、最新の1.8.3では結局成功することはありませんでした。私はプログラマではないので修正はできない(一応ソースは見て努力はしましたけど、無駄でした:-()ので、1.6.6をインストールしてみました。

ソースを展開後、./configureをすればいいのですが、OSX用には以下のオプションを適用すると面倒が少なくていいと思います。


./configure --prefix=/usr --with-trusted=0,1,501


ここで、--with-trusted=0,1,501としているのは、samhainは信頼するユーザでの動作・操作を要求するので、rootdaemon、管理者ユーザを信頼するよう加えてあげるためです。管理者ユーザのUIDが異なる場合には必要なUIDに変更してください。

これをしないと、インストール時やインストール後に再configureが必要になると思います。

その後はマニュアル通りです。


make

sudo make install


インストールが完了したら設定ファイルを編集します。


sudo vi /etc/samhainrc


設定内容はGoogleで「サワーン」を引くと有名なページが出てくるので参考にしてください。

設定を保存したら最初に初期化します。


sudo /usr/local/sbin/samhain -t init


その後デーモンモードで起動します。


sudo /usr/local/sbin/samhain -t check -D


samhainはインストールしてもOSX用の自動起動scriptインストールしてくれませんので、自分で起動scriptを作ってやる必要があります。

動作はG4/800でもそれほど重い感じはしないので、1時間おきにチェックの設定をしています。samhainが異常を知らせるメールを指定のアドレスに設定ファイルに記述して送らせることができますが、多量のファイルが検出された場合、大量のメールが届くので注意が必要です。1メールに記述する異常の件数が少ないため、ここはまとめ送りにしてほしいところです。1.7系以降は解消されているのかもしれませんが、1.6xではこれが困ります。

samhainはClient/Serverモードでも動作しますので、1台のマシンで多数の端末の管理が可能です。

OSXで最新版がうまくコンパイルできない点でちょっと不安があったので利用しないことにしたため、こちらの設定は試していませんが。

1台の端末に入れてチェックするだけなら、比較的お手軽でいいかなと思います。

たまちゃんたまちゃん2005/04/16 01:02最新版の 2.0.5b ではすんなりとコンパイルできました。

ishizuishizu2005/04/16 01:47ありがとうございます!かなりバージョン進んでますね。古いネタは掲載しない方がよかったかな...まぁ覚え書きということで残しておきます。

たまちゃんたまちゃん2005/04/16 08:40いえいえ。configure のオプションの説明は大変助かりました。何も考えずにやると最新版でも失敗しました。詳細なドキュメント有り難うございます。

トラックバック - http://pcmgxxx.g.hatena.ne.jp/ishizu/20050415