O Samhain é um sistema de detecção baseado em intrusão de host (HIDS) que fornece verificação de integridade de arquivos e acompanhamento do arquivo de log/análise, bem como detecção de rootkits, monitoramento de portas, detecção de arquivos executáveis ​​SUID e processos ocultos.

Samhain foi projetado para monitorar vários sistemas legados com sistemas operacionais potencialmente diferentes, fornecendo registro centralizado e manutenção, embora também possa ser utilizado como aplicativo independente em um único host.

Samhain é uma aplicação multiplataforma de código aberto para sistemas POSIX (Unix,Linux Cygwin/Windows).

Version 2.8.4a http://www.la-samhna.de/samhain/samhain-current.tar.gz
MD5 checksum c9f7c291ee01a8c6c0bb14a3251b6285
bytes 2064459
release date May 11, 2011

Descompactando

Depois do download, descompacte o arquivo .tar.

$ gunzip samhain-current.tar.gz
$ tar -xf samhain-current.tar
samhain-2.8.4a.tar.gz
samhain-2.8.4a.tar.gz.asc

Obtendo última versão de desenvolvimento do samhain e a chave PGP 1024D/0F571F6C (quase qualquer servidor de chaves vai fazer se pgp.mit.edu estão temporariamente indisponíveis):

$ gpg --keyserver pgp.mit.edu --recv-key 0F571F6C

Verifique a chave fingerprint (EF6C EF54 701A 0AFD B86A F4C3 1AAD 26C8 0F57 1F6C)

$ gpg --fingerprint 0F571F6C

e verificar a chave PGP:

$ gpg --verify samhain-2.8.4a.tar.gz.asc samhain-2.8.4a.tar.gz

Descompacte pela segunda vez e entre na pasta:

$ gunzip samhain-2.8.4a.tar.gz
$ tar -xf samhain-2.8.4a.tar
$ cd samhain-2.8.4a

Instalação
Leia o arquivo README e/ou o manual de opções caso você deseja configurar o código-fonte, então faça:

$ ./configure [options]
$ make
$ make install

(Há também um make uninstall. Caso você deseja não usar mais o samhain.)

Se você curte interfaces "GUI" do tipo 'dialog' (xdialog, dialog, lxdialog) você poderá instalar usando este comando:

$ ./Install.sh

Após a instalação, você deve primeiro analisar o arquivo de configuração (por padrão em /etc/ samhainrc), especialmente no que diz respeito a endereços de rede como o endereço de e-mail e de arquivos/diretórios são verificado. Em seguida, você tem que inicializar o banco de dados:

$ samhain -t init

Depois, você pode inicializar o samhain em modo daemon para verificar o seu sistema em intervalos, conforme especificado no arquivo de configuração:

$ samhain -t check -D

Na maioria dos sistemas, após a $ make install, você pode adicionar para instalar os scripts necessários no boot da máquina:

$ make install-boot

OBS:(SOs suportados: Linux, FreeBSD, MacOS X, Solaris, HP-UX, AIX).

OBS (@firebitsbr) fiz o deploy do Samhain em um CentOS 5.5 64 bits, mas creio funcionar em outras distro linux.

Este artigo foi traduzido e adaptado do link:
http://www.la-samhna.de/samhain/s_download.html

@firebitsbr