Samhain wird als Quellcode unter der GNU Public License frei angeboten, und die
jeweils aktuellste Version ist erhältlich unter der URL
http://www.la-samhna.de/samhain/samhain-current.tar.gz
Zum Übersetzen der Quellen ist ein ANSI C Compiler wie z. B.
GNU gcc erforderlich. Einige optionale Funktionen erfordern
weitere Software (siehe Abschnitte
Unterstützte Log-Möglichkeiten
und
Weitere Eigenschaften von Samhain).
Insbesondere setzt die Verwendung von signierten Konfigurations- und
Datenbank-Dateien die Installation von GnuPG
( GNU Privacy Guard) voraus (siehe
Abschnitt
Signierte Datenbank- und Konfigurationsdateien).
Nach dem Herunterladen kann man das tar-Paket auspacken, worauf man zwei Dateien
erhält: zum einen ein weiteres tar-Paket mit dem eigentlichen Quellcode, und zum
anderen dessen PGP-Signatur.
user@linux ~$
tar xzvf samhain-current.tar.gz
samhain-X.Y.Z.tar.gz samhain-X.Y.Z.tar.gz.asc
|
Nun kann man (optional) die Signatur überprüfen - alle Versionen von
Samhain sind mit dem Schlüssel 0x0F571F6C (Rainer Wichmann)
signiert:
user@linux ~$
gpg --verify samhain-X.Y.Z.tar.gz.asc samhain-X.Y.Z.tar.gz
gpg: WARNING: using insecure memory! gpg: please see http://www.gnupg.org/faq.html for more information gpg: Signature made Mon Nov 8 07:38:21 2004 CET using DSA key ID 0F571F6C gpg: Good signature from "Rainer Wichmann <rwichmann@la-samhna.de>" gpg: aka "Rainer Wichmann <rwichmann@hs.uni-hamburg.de>"
|
Die Übersetzung der Quellen erfolgt dann nach dem Standardverfahren:
user@linux ~$
tar xzvf samhain-X.Y.Z.tar.gz
user@linux ~$
cd samhain-X.Y.Z/
user@linux ~/samhain-X.Y.Z$
./configure && make
|
... ebenso wie die Installation:
user@linux ~/samhain-X.Y.Z$
su
Password:
geheimes_root_passwort
root@linux /home/user/samhain-X.Y.Z#
make install
root@linux /home/user/samhain-X.Y.Z#
make install-boot
|
|
Bei der Installation von Samhain ist zu berücksichtigen, dass Samhain
voraussetzt, dass nur vertrauenswürdige Benutzer Schreibrechte auf den Pfaden zu
Konfigurations-, Log-, und Datenbank-Dateien haben. Dies gilt auch für
Mitglieder von Gruppen, soweit Gruppen-Schreibrechte bestehen.
Standardmäßig sind nur root
und der Benutzer von Samhain vertrauenswürdig. Zusätzliche
vertrauenswürdige Benutzer lassen sich beim Übersetzen von
Samhain definieren über die Option
--with-trusted=0,uid1,uid2,...
|
Die Konfigurationsdatei heißt standardmäßig /etc/samhainrc. Wer sie
lieber unter /usr/local/etc/ haben möchte, kann dies bei der
Übersetzung der Quellen mit ./configure --prefix=/usr/local
erzwingen.
Bei der Installation wird eine Standard-Konfigurationsdatei installiert, die man
in der Regel zunächst an die eigenen Bedürfnisse anpassen möchte.
Die Syntax der Konfigurationsdatei lehnt sich an an INI-Dateien: es gibt
einzelne Sektionen, die jeweils mit einer Überschrift in eckigen Klammern
beginnen, und die "Parameter=Wert"-Zeilen enthalten. Leere Zeilen sowie Zeilen,
die mit "#" beginnen, werden ignoriert; in "Parameter=Wert"-Zuweisungen werden
Leerzeichen vor "Parameter", vor und nach dem Gleichheitszeichen, sowie am
Zeilenende ignoriert.
Die wesentlichen Eigenschaften, die konfiguriert werden sollten, sind:
-
das Logging (siehe Abschnitt
Konfiguration der Logging-Eigenschaften),
d. h. wie ausführlich soll Samhain seine Aktivität protokollieren,
und welche Methoden soll es benutzen ?, und
-
die Integritätseigenschaften innerhalb des Dateisystems (siehe Abschnitt
Konfiguration der Integritätseigenschaften innerhalb des Dateisystems),
d. h. welche Dateien sollen überwacht werden, und welche Eigenschaften dieser
Dateien sollen überprüft werden?
|
Nach der Überprüfung und Anpassung der Konfiguration kann nun durch den Benutzer
root die Datenbank
initialisiert werden:
root@linux ~#
samhain -t init
|
Je nach Umfang der zu überwachenden Dateien kann die Initialisierung mehrere
Minuten dauern. Die erzeugte Datenbank wird standardmäßig nach
/var/lib/samhain/samhain_file geschrieben.
Zu beachten ist dabei, dass grundsätzlich an das Dateiende angehängt wird, falls
die Datei bereits vorhanden ist. Dieser Befehl ist also nicht dazu geeignet,
eine bereits vorhandene Datenbank zu aktualisieren. Für letzteres sollte
entweder der Befehl samhain -t update verwendet werden, oder
die Datenbank zuvor verschoben werden.
|
|