Samhain

Mahlzeit, pünktlich zum Samhain fest kam ich mal wieder dazu mich um meine Honeypots zu kümmern. Was mir fehlte war eine weitere Sicherung für den Fall das es doch mal jemand über die Grenzen meines Honeypots hinaus schafft. Gut, natürlich hab ich bereits Vorkehrungen getroffen um soetwas zu verhindern doch ein weiteres Sicherheitsnetz kann ja nie Schaden. Zuerst dachte ich an Tripwire, das ja quasi soetwas wie den Goldstandart unter den HIDS-Systemen darstellt, doch die Neugierde trieb mich dann doch dazu mir Samhain noch einmal genauer anzuschauen.  Nach der ersten Begutachtung stellte ich fest das Samhain alles bietet was ich von einem Host Intrusion Detection System erwarte.

Samhain bietet eine Client-Server Infrastruktur die es ermöglicht die Hashdatenbank sicher auf dem Server zu speichern, eine Möglichkeit den Client auf den einzelnen Hosts zu verstecken und eine vernünftige konfigurierbarkeit.

Also gab ich Samhain eine Chance und bin seitdem mehr als zufrieden. Samhain verrichtet mittlerweile sehr zuverlässig seinen Dienst auf mehreren meiner Server und die Falschalamierungen halten sich in erträglichen Grenzen was allerdings eher meiner paranoiden Konfiguration zu verdanken ist. Samhain steht und fällt mit seiner Konfiguration weshalb ich nur jedem raten kann sich hierfür soviel Zeit zu nehmen wie überhaupt nur Möglich ist. Das überwachen zuvieler Dateien macht das ganze unerträglich langsam und nervig, sind es zu wenige wird ein eventueller Einbrecher nicht bemerkt also gilt es die für genau diesen Server und Einsatzzweck die perfekte Lösung zu finden.

 

Tagged , , , . Bookmark the permalink.

About Brechthold

Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.