このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

Snortの最新版が起動しない このメッセージに返信する
日時: 2011/04/17 21:46
名前: よっしー
URL: https://takao-y.net/~takao/fsiki/wiki.cgi
こんにちは、お世話になります。

掲題の件、http://centossrv.com/patio/patio.cgi?mode=view&no=2117のstrangerさん
が示していた各種パッケージのコンパイル及びリビルド方法を参照して一応最新版の
Snortのインストールは出来たのですが、/var/log/messagesに下記エラーが出て起動に
失敗してしまいます。

Invalid keyword 'compress_depth' for 'global' configuration.

ググったところ、このエラーはソースからコンパイルしてインストールする際には
下記サイトの方法で解消出来ることが分かりました。

https://forums.snort.org/forums/support/topics/invalid-keyword-compress_depth-for-global-configuration

但し、RPMパッケージからインストールする場合にはリビルドの際に--enable-zlib
オプションが使用出来ないようで何とかならないものか思案しています。

どなたか妙案をご存知の方がいらっしゃいましたら、ご教授頂けないでしょうか。

宜しくお願い致します。

以上

記事編集 編集
Re: Snortの最新版が起動しない このメッセージに返信する
日時: 2011/04/16 17:42
名前: stranger
URL: http://ja.528p.com/
snort.specを編集して mysqlを使うのであれば

if [ "$1" = "mysql" ]; then
./configure $SNORT_BASE_CONFIG \
--with-mysql \
--without-postgresql \
--without-oracle \
--without-odbc \
%{?EnableFlexresp} %{?EnableFlexresp2} \
%{?EnableInline} \
--enable-zlib
fi

--enable-zlibを追加してみてはどうですか
記事編集 編集
Re: Snortの最新版が起動しない このメッセージに返信する
日時: 2011/04/16 23:33
名前: よっしー
URL: https://takao-y.net/~takao/fsiki/wiki.cgi
こんばんは、お世話になります。

strangerさん>
早速のレスを有難うございました。

上記の件、結局教えて頂いた方法で再度snortのRPMパッケージをビルドしましたが、
相変わらず同じエラーが出て起動しませんでしたので、Snortの公式サイトのソース
からのビルド及びインストールは諦めて、http://centossrv.com/patio/patio.cgi?mode=view&no=2117
のNo.6でJK大好きさんが紹介されていたhttp://vscojot.free.fr/dist/snort/snort-2.9.0.5/RHEL5/i386/
サイトからhttp://blogs.yahoo.co.jp/torigon777/29079580.htmlのサイトを参考にして
下記のパッケージをインストールしました。

libpcap1-1.1.1-9.el5.i386.rpm
libdnet-1.12-7.el5.i386.rpm
libdnet-devel-1.12-7.el5.i386.rpm→こちらは無くても良いかも知れません
daq-0.5-9.el5.i386.rpm
snort-2.9.0.5-12.el5.i386.rpm

以上をインストール後、このサイトの通りに設定しましたが、
下記の点だけ変更しました。

・/etc/snort/snort.conf内の ipvarの箇所を全てvarに変更する

・### include $RULE_PATH/....で始まるステートメントのコメントを全て外す

以上で最新版のSnort+BASEで正常稼働の確認が取れました。参考になれば幸いです。(^o^)

宜しくお願い致します。

以上
記事編集 編集
Re: Snortの最新版が起動しない このメッセージに返信する
日時: 2011/04/17 06:38
名前: stranger
URL: http://ja.528p.com/
http://vscojot.free.fr/dist/snort/snort-2.9.0.5/RHEL5/SPECS/
に修正されたsnort.specファイルがありますね
その他のrpmもいろいろ手を入れているのでしょうね
わかっている人が作成したrpmなのでそれを使うのがベストでしょう

記事編集 編集
Re: Snortの最新版が起動しない このメッセージに返信する
日時: 2011/04/17 19:22
名前: よっしー
URL: https://takao-y.net/~takao/fsiki/wiki.cgi
こんばんは、お世話になります。

strangerさん>
再度のレスを有難うございます。

http://centossrv.com/patio/patio.cgi?mode=view&no=2117の方では
非公式のRPMパッケージなのでリスクが伴うという記載がありましたが、
再度英語の原文を読んでみると、『Snortの公式のRPMパッケージではないので、
使用はあくまで自己責任で』といったような意味のようです。

ほぼ一日程適用して様子を見ていますが、きちんと検知はしていますし、
特に問題は発生していません。

それではこれにて本スレッドを解決済みとさせて頂きます。
有難うございました。(^_^)

宜しくお願い致します。

以上
記事編集 編集
Re: Snortの最新版が起動しない このメッセージに返信する
日時: 2011/06/07 12:52
名前: 龍馬
URL: http://www.bushido-spirits.jp/nushiblog/
初めまして。

自ブログのレファラーを追ってこちらに辿り着きました。
非公式のRPMで不安もあるかと思います。

もしよろしければ、私のサイトで最新版におけるソースからのコンパイル・インストールを紹介しています。

ご参考にしていただければ幸いです。

http://www.bushido-spirits.jp/nushiblog/2011/05/snort-run-daq-inline-witj-single-nic/
http://www.bushido-spirits.jp/nushiblog/2011/05/snort-compile-and-configuration-enviroment-snort-run-daq-inline-witj-single-nic-eth0/
http://www.bushido-spirits.jp/nushiblog/2011/05/snort-ips-and-iptables/
記事編集 編集
高額収入 このメッセージに返信する
日時: 2012/07/14(Sat) 08:50
名前: ひかる
URL: http://www.44m4.net/
ほんまかいなー!!(●^口^●) www.fgn.asia/
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -