Для PostgreSQL установка будет выглядеть так:

# su postgres

$ createdb samhain

$ createuser samhain

$ psql -d samhain < samhain.postgres.init

$ exit

Для MySQL тоже не сложно:

#mysql -p -u root < samhain.mysql.init

#mysql -p -u root

#mysqladmin -p -u root reload

При использовании базы данных необходимо добавить в секцию Log:

[Log]

DatabaseSeverity=warn

И создать секцию Database, изменив поля, значение которых очевидно:

[Database]

SetDBName=db_name

SetDBTable=db_table

SetDBHost=db_host

SetDBUser=db_user

SetDBPassword=db_password

SetDBServerTstamp=true/false – timestamp для сообщений клиентов

n  --with-gpg=/full/path/to/gpg – samhain использует GnuGP для подписи файла конфигурации и базы данных сигнатур, выдавая контрольную сумму. При этом ее всегда можно сверить, запустив:

gpg -a --clearsign --not-dash-escaped FILE

Но использовав опцию --with-gpg, можно возложить часть работы на samhain. При этом программа конфигурации проверит, чтобы доверенные пользователи имели доступ к gpg, а gpg будет вызываться без использования переменных оболочки по полному пути, указанному при компиляции, со средой ограниченной переменной $HOME, используя файл $HOME/.gnupg. Для облегчения работы с подписью и проверкой файлов имеется Perl-скрипт samhainadmin.pl, который первоначально придется заточить под свою систему.

При помощи опции --with-checksum=CHECKSUM можно вбить в программу контрольную сумму бинарника gpg, которая будет проверяться каждый раз при обращении к нему, что позволит контролировать оригинальность gpg (можно и отказаться, использовав --with-checksum=no).

Контрольную сумму можно узнать, использовав такую команду:

#/usr/bin/gpg --load-extension tiger --print-md TIGER192 /usr/bin/gpg

И теперь в строке конфигурирования:

--with-checksum="/usr/bin/gpg: 1C739B6A F768C949 FABEF313 5F0B37F5 22ED4A27 60D59664"

Но это еще не все, простой факт, что сигнатура является правильной, не доказывает, что это было подписано именно вами и вашим ключом – только доказывает, что это было подписано кем-то. Для того чтобы Samhain мог проверить, что именно ваш ключ использовался, необходимо добавить опцию --with-fingerprint=FINGERPRINT.

n  --enable-stealth=xor_val, где xor_val может принимать значение от 128 до 255. Еще одна довольно интересная опция, позволяющая скрыть присутствие samhain в системе. При этом все сообщения в журнале складываются со значением xor_val, не зная которое, будет труднее прочитать записанное. Также журнал можно будет подцепить в конец любого исполняемого файла или рисунка, а конфигурационный файл в режиме стеганографии в файл Postscript. Правда, в последнем случае можно использовать вариант --enable-micro-stealth=xor_val, когда конфигурационный файл прятать не надо. Плюс дополнительно можно использовать опцию --enable-nocl[=ARG], где ARG – магическое слово, без которого не будет приводиться анализ аргументов командной строки.