[vine-users:080836] Re: ＜ご教授願い＞Vine5.2へのsnortの導入手法

[Hajime Satono]

里野＠金沢です。

岸様。

On 2011/02/16 11:16,, swing4jazzy ＠ gmail.com-san wrote:
> ちょうど最新の snort-2.9.0.3-1 をインストールした備忘録をアップした所で
> す。但し私の環境は x86_64 ですので、参考にされるにあたってはご自身の環境
> に読みかえて行ってください。

http://swing.jakou.com/vine/server-5.2.html#snort
大変参考になる資料をご作成、ご提示いただき大感謝です_(_ _)_

岸様のシステムはVine5.2ベースと思うのですが、
「apache-1.3.41-3vl5」を導入されているのは訳ありでしょうか？
（Vine5.2ですと通常デフォルトの導入ではApache2になるかと。。）

ですので「x86_64」→「i386」以外にも
「php5-apache」→「php5-apache2」等、適時読み替えさせていただき、
またMySqlは導入済みでしたので必要だと思われる部分（ここがバグかも？
を実行する形で進めました。
また最初は「root」で実施してたのですがコンパイラ内部エラーとか出たので
ご提示の通り一般ユーザをroot同権でsudoできるようにして再実施したところ、
下記まで進む事が出来ました。

● Snort 本体のインストール
   1:snort                  ########################################### [ 50%]
   2:snort-mysql            ########################################### [100%]
● Snort の設定
● Snort のルールファイルを入手
● MySQL の設定

ところが

● Snort の起動

のテスト段階・・・

>最初に次のようなコマンドを入力してエラーが出ないことを確認。
>$ sudo /usr/sbin/snort -c /etc/snort/snort.conf -i eth1

・・・で

>Commencing packet processing (pid=17385)
>このようになればOK!　終了は Ctrl+c

・・・とされているのですが、当方では下記の様に

**エラー引用ここから***********************************************
[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format    : Full-Q
| Finite Automaton  : DFA
| Alphabet Size     : 256 Chars
| Sizeof State      : Variable (1,2,4 bytes)
| Instances         : 384
|     1 byte states : 373
|     2 byte states : 11
|     4 byte states : 0
| Characters        : 83197
| States            : 67342
| Transitions       : 5166086
| State Density     : 30.0%
| Patterns          : 4435
| Match States      : 3998
| Memory (MB)       : 32.82
|   Patterns        : 0.36
|   Match Lists     : 0.54
|   DFA
|     1 byte states : 1.89
|     2 byte states : 29.65
|     4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 693 ]
pcap DAQ configured to passive.
Acquiring network traffic from "eth0".
Decoding Ethernet
WARNING: normalizations disabled because DAQ can't replace packets.
ERROR: database: mysql_error: Access denied for user 'snort'@'localhost'
(using password: YES)
Fatal Error, Quitting..
**エラー引用ここまで***********************************************

となってしまいます。
mysqlのsnortユーザのpasswordは何度も確認したのですが間違っては無かったです。
（最低文字数制限とかあるのでしょうか？現在は英文字7文字で設定してます）

ということで、本件に関して問題点等お解りになる方いらっしゃいましたら
ご指摘・アドバイス等いただきたくお願いいたします_(_ _)_

	By Hajime Satono / hsatono ＠ iodata.jp