Tag Archives: AIDE

SAMHAIN –支持 AIX 的文件完整性校验系统

文件完整性校验是安全审计必不可少的一个流程。在不同操作系统的数据库服务器上部署 Tripwire 这样的工具是个麻烦事情(前提是使用非商业软件)。在 Linux 服务器上,我以前测试过 integrit ,参见 integrit – Tripwire 的替代品 。如果操作系统是 AIX , 那么 Samhain 可以作为一个替代方案。

在 AIX 5.3 上编译安装后,提示信息值得看看:

 samhain has been configured as follows:
System binaries: /usr/local/sbin
Configuration file: /etc/samhainrc
Manual pages: /usr/local/man
Data: /var/lib/samhain
PID file: /var/run/samhain.pid
Log file: /var/log/samhain_log
Base key: 812826721,276349012

You can use 'samhain-install.sh uninstall' for uninstalling
i.e. you might consider saving that script for future use

Use 'make install-boot' if you want samhain to start on system boot

make install-boot 可以作为启动 daemon 安装.

/etc/samhainrc 是配置文件,可以参考 Samhain 文档 进行配置。之后即可 运行 /usr/local/sbin/samhain -t init -p info 进行数据库初始化。-p 这个参数后面可以跟 warning, cri(critical) 等参数,打印不同级别的信息。Samhain 这个工具唯一让我感觉不好的地方就是文档说明比较晦涩。配置选项什么都还可以,命令行解释连个例子也不给,还需要摸索半天。

命令行说明:
samhain -t check #检查数据库
samhain -t update #更新数据库 -p info 可以看到相关信息

注意配置 /etc/samhainrc 的时候,默认可能是设定了程序作为 Daemon 启动,最好修改一下,否则运行几次,后台一堆 samhain daemon 在跑。

初始化--> 更新 --> 检查--> 列出变更信息

这应该是类似工具的统一使用思路。只是实现细节上略有差异。

现在在这一堆类似的软件中,号称支持 AIX 的就有 Tripwire 开源版本AIDE 等,但是安装编译几乎很难顺利的通过,网上也很少能够找到相关支持信息。对于这几个软件之间的差异,可以参考 Samhain 上的比较表格(注意有的信息可能比较旧了)

EOF