[GNUPG:] GOODSIG FB4AD9A83D8B7333 Sergej Jaremchuk (samhain key) <grinder@ua.fm>

 gpg: Good signature from "Sergej Jaremchuk (my key) <grinder@ua.fm>"

 [GNUPG:] VALIDSIG EA9E228F669770837DD41540FB4AD9A83D8B7333 2004-03-14  1079276263 0 3 0 17 2 01 EA9E228F669770837DD41540FB4AD9A83D8B7333

 [GNUPG:] TRUST_ULTIMATE

Теперь, когда все готово, можно приступать к созданию базы данных:

# /usr/local/sbin/samhain -t init

В результате в каталоге /usr/local/var/lib/samhain/ появится файл samhain_file, который содержит все сигнатуры на момент инициализации, с которыми и будут сравниваться в дальнейшем параметры. Во избежание модификации ее также рекомендуется подписать, схема аналогична предыдущей:

# gpg -a --clearsign --not-dash-escaped /var/lib/samhain/samhain_file

# mv /var/lib/samhain/samhain_file.asc /var/lib/samhain/samhain_file

Проверить соответствие можно командой:

samhain -t check

после чего на регистраторы, описанные в конфигурационном файле, будет поступать информация. В случае глобальных изменений обновить базу можно командой:

samhain -t update

Но наибольшее преимущество достигается при запуске этой утилиты в качестве демона, тогда программа запоминает все изменения и не будет раздражать повторяющимися сообщениями. К тому же только тогда будут в полной мере задействованы все дополнительные возможности в виде проверок на kernel rootkits и пр. Запустить можно тремя способами: при установке Daemon=yes секции Misc и запуска без параметров, программа все остальное, необходимое для работы, возьмет из конфигурационного файла; аналогично программа себя поведет при запуске при помощи стартовых скриптов, расположенных в /etc, например /etc/rc.d/samhain start, и наконец указав, чем ей заниматься в строке запуска:

samhain -D -t check

где -D указывает на запуск в виде процесса-демона.

Но для нормальной работы в среде клиент-сервер для начала придется установить и настроить сервер yule, иначе клиенты будут ругаться при запуске о том, что не могут найти конфигурационный файл и будут пользоваться локальным.

<log sev="INFO" tstamp="2004-03-14T17:00:33+0200" msg="Downloading configuration file" />

<log sev="ERRO" tstamp="2004-03-14T17:00:33+0200" msg="Network is unreachable, address mgrinder.com" subroutine="connect" service="export" host=" logserver.com " />

<log sev="INFO" tstamp="2004-03-14T17:00:33+0200" msg="No file from server, trying local file" />

Конфигурация сервера yule требует меньших опций, т.к. его задача только собирать логи. При необходимости защиты и самого сервера на нем устанавливается и samhain. Я не буду останавливаться подробно, так как многие вопросы аналогичны установке и конфигурированию клиента samhain.

samhain-1.8.3 # ./configure --with-gpg=/usr/bin/gpg

--with-fp=EA9E228F669770837DD41540FB4AD9A83D8B7333