とりあえず動かすsnort+ACID
libpcapをインストールする
さて、必須中の必須ライブラリ、libpcapをインストールしましょう。
ただ、多くのディストリビューションは標準でインストールされてるくさいので、まずは確認をしましょう。
rpm -qa|grep pcap
としたとき、「libpcap-0.6.2hugahoge」と出てきたらすでにインストールされています。なお、Laser5はどうやら古いpcapを使っているくさいので、そんなものは捨ててしまいましょう(爆笑)
もし、出てこなかったら、ディストリビューションのCDをマウントし、rpm -ivhでlibpcap-0.6.2hugahoge.i?86.rpmを叩き込みましょう。
ただし、libpcapにセキュリティ上の問題があったりすると、IDSで侵入検知以前の問題になります。このため、ディストリビューションのftpサーバなどで、最新のものをインストールするようにしてください。
#ちなみに、マウントがわからない人は、インストール以前の状態だと思いますので、まずはしっかり勉強しましょう(^^)。
なお、上記のLaser5のように、古いlibpcapしかない、という方は、2つの手段のいずれかを選んでください。
1つ目は、ほかのディストリビューションからlibpcap-0.6.2-hugahoge.src.rpmを取ってきて、自分の環境でリビルドし、インストールする方法です。もう一つは、オフィシャルサイトに行って、libpcap.tar.Zをとってきて、自前でインストールする方法です。
このうち、前者はrpmのデータベースに登録されるので、アンインストールなどが簡単に実行できるということですが、欠点は、うまくリビルドできないとさみしい思いをする、ということです。
後者は、データベースに登録されないという反面、たぶん簡単にインストールできる、ということです。
ここでは、後者の場合について説明します。といってもたぶん、./configureしてmakeしてmake installするだけだと思います(なにせ、私はまともなrpmが存在するKondara MNU/Linux2.0ユーザなので確認する必要ないし)。