samhain:比较变态的入侵检测系统
[撰文/hmy]
主机完整性检查工具,说它变态是因为在编译的时候可以加入证书认证,配置文件也需要通过证书签名才能运行,检查结果也是证书签名的。最大限度的保障安全性。另外可以隐藏运行。另外还可以一个服务器端专门接收检测结果。遇到主机被入侵可以第一时间发现。
samhain 主要是通过对文件夹或者文件定义一些检测规则来实现主机一致性检查。最敏感的设置,可以发现一个文件的 atime(文件被读取的时间,用 stat filename 可以看到)的变化。
debian 库里有,希望对你有用。
详细研究参考主页:
纠正一下,看文件的属性,应该用stat filename
例如
hmy@com2:~$ stat 1.jpg
File: ?1.jpg?
Size: 5778 Blocks: 16 IO Block: 4096 ????
Device: 303h/771d Inode: 5318130 Links: 1
Access: (0644/-rw-r–r–) Uid: ( 1000/ hmy) Gid: ( 1000/ hmy)
Access: 2008-08-19 19:31:49.000000000 +0800
Modify: 2008-08-19 19:31:42.000000000 +0800
Change: 2008-08-19 19:31:42.000000000 +0800
平常为了性能, fs 的 atime 都用 noatime 关掉了. 完整性检查用 mhash.
记错了, s/mhash/mtree/ :D
@fcicq 是的,检测的时候有点消耗,入侵检测对非关键的应用或者个人用户来说,意义不大。
@hmy: 已作纠正。