2 # TODO: - snort rules - fix description
3 # - clamav support - cleanup, add some docs
4 # - snort_inline - prepare separate sets of config-files, rules
5 # and startup script, adds some docs
9 %bcond_without pgsql # build without PostgreSQL storage support
10 %bcond_without mysql # build without MySQL storage support
11 %bcond_without snmp # build without SNMP support
12 %bcond_without inline # build without inline support
13 %bcond_without prelude # build without prelude support
14 %bcond_without clamav # build w/o ClamAV preprocessor support (anti-vir)
15 %bcond_with registered # build with rules available for registered users
17 Summary: Network intrusion detection system (IDS/IPS)
18 Summary(pl.UTF-8): System wykrywania intruzów w sieciach (IDS/IPS)
19 Summary(pt_BR.UTF-8): Ferramenta de detecção de intrusos
20 Summary(ru.UTF-8): Snort - система обнаружения попыток вторжения в сеть
21 Summary(uk.UTF-8): Snort - система виявлення спроб вторгнення в мережу
25 License: GPL v2 (vrt rules on VRT-License)
27 Source0: http://www.snort.org/dl/current/%{name}-%{version}.tar.gz
28 # Source0-md5: 108b3c20dcbaf3cdb17ea9203342eaaa
29 Source1: http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/%{name}rules-pr-2.4.tar.gz
30 # Source1-md5: 35d9a2486f8c0280bb493aa03c011927
31 %if %{with registered}
32 Source2: http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_os/%{name}rules-snapshot-2.4.tar.gz
33 # NoSource2-md5: 79af87cda3321bd64279038f9352c1b3
36 Source3: http://www.snort.org/pub-bin/downloads.cgi/Download/comm_rules/Community-Rules-2.4.tar.gz
37 # Source3-md5: 639d98ed81314723f4dee0b3100f7a19
39 Source5: %{name}.logrotate
40 Patch0: %{name}-libnet1.patch
41 Patch1: %{name}-lib64.patch
42 # http://www.bleedingsnort.com/staticpages/index.php?page=snort-clamav
43 Patch2: %{name}-2.4.3-clamonly.diff
44 URL: http://www.snort.org/
45 BuildRequires: autoconf
46 BuildRequires: automake
47 %{?with_clamav:BuildRequires: clamav-devel}
48 %{?with_inline:BuildRequires: iptables-devel}
49 BuildRequires: libnet1-devel = 1.0.2a
50 BuildRequires: libpcap-devel
51 %{?with_prelude:BuildRequires: libprelude-devel}
52 %{?with_mysql:BuildRequires: mysql-devel}
53 %{?with_snmp:BuildRequires: net-snmp-devel >= 5.0.7}
54 BuildRequires: openssl-devel >= 0.9.7d
55 BuildRequires: pcre-devel
56 %{?with_pgsql:BuildRequires: postgresql-devel}
57 BuildRequires: rpmbuild(macros) >= 1.202
58 BuildRequires: rpmbuild(macros) >= 1.268
59 BuildRequires: zlib-devel
60 Requires(post,preun): /sbin/chkconfig
61 Requires(postun): /usr/sbin/groupdel
62 Requires(postun): /usr/sbin/userdel
63 Requires(pre): /bin/id
64 Requires(pre): /usr/bin/getgid
65 Requires(pre): /usr/sbin/groupadd
66 Requires(pre): /usr/sbin/useradd
67 Requires: libnet1 = 1.0.2a
68 Requires: rc-scripts >= 0.2.0
69 Provides: group(snort)
70 %{?with_mysql:Provides: snort(mysql) = %{version}}
71 %{?with_pgsql:Provides: snort(pgsql) = %{version}}
73 Obsoletes: snort-rules
74 BuildRoot: %{tmpdir}/%{name}-%{version}-root-%(id -u -n)
76 %define _sysconfdir /etc/snort
77 %define _bindir %{_sbindir}
80 Snort is an open source network intrusion detection system, capable of
81 performing real-time traffic analysis and packet logging on IP
82 networks. It can perform protocol analysis and content
83 searching/matching in order to detect a variety of attacks and probes,
84 such as buffer overflows, stealth port scans, CGI attacks, SMB probes,
85 OS fingerprinting attempts, and much more. Snort uses a flexible rules
86 language to describe traffic that it should collect or pass, as well
87 as a detection engine that utilizes a modular plugin architecture.
88 Snort has a real- time alerting capability as well, incorporating
89 alerting mechanisms for syslog, user specified files, a UNIX socket,
90 or WinPopup messages to Windows clients using Samba's smbclient.
92 Sourcefire VRT Certified Rules requires registration.
93 https://www.snort.org/pub-bin/register.cgi
95 %description -l pl.UTF-8
96 Snort to bazujący na open source NIDS (network intrusion detection
97 systems) wykonujący w czasie rzeczywistym analizę ruchu oraz logowanie
98 pakietów w sieciach IP. Jego możliwości to analiza protokołu oraz
99 zawartości w poszukiwaniu różnego rodzaju ataków lub prób takich jak
100 przepełnienia bufora, skanowanie portów typu stealth, ataki CGI,
101 próbkowanie SMB, OS fingerprinting i dużo więcej. Snort używa
102 elastycznego języka regułek do opisu ruchu, który należy
103 przeanalizować jak również silnika wykrywającego, wykorzystującego
104 modułową architekturę. Snort umożliwia alarmowanie w czasie
105 rzeczywistym poprzez sysloga, osobny plik lub jako wiadomość WinPopup
106 poprzez klienta Samby: smbclient.
108 Reguły certyfikowane poprzez Sourcefire wymagają rejestracji.
109 https://www.snort.org/pub-bin/register.cgi
111 %description -l pt_BR.UTF-8
112 Snort é um sniffer baseado em libpcap que pode ser usado como um
113 pequeno sistema de detecção de intrusos. Tem como característica o
114 registro de pacotes baseado em regras e também pode executar uma
115 análise do protocolo, pesquisa de padrões e detectar uma variedade de
116 assinaturas de ataques, como estouros de buffer, varreduras "stealth"
117 de portas, ataques CGI, pesquisas SMB, tentativas de descobrir o
118 sistema operacional e muito mais. Possui um sistema de alerta em tempo
119 real, com alertas enviados para o syslog, um arquivo de alertas em
120 separado ou como uma mensagem Winpopup.
122 %description -l ru.UTF-8
123 Snort - это сниффер пакетов, который может использоваться как система
124 обнаружения попыток вторжения в сеть. Snort поддерживает
125 протоколирование пакетов на основе правил, может выполнять анализ
126 протоколов, поиск в содержимом пакетов. Может также использоваться для
127 обнаружения атак и "разведок", таких как попытки атак типа
128 "переполнение буфера", скрытого сканирования портов, CGI атак, SMB
129 разведок, попыток обнаружения типа ОС и много другого. Snort может
130 информировать о событиях в реальном времени, посылая сообщения в
131 syslog, отдельный файл или как WinPopup сообщения через smbclient.
133 %description -l uk.UTF-8
134 Snort - це сніфер пакетів, що може використовуватись як система
135 виявлення спроб вторгнень в мережу. Snort підтримує протоколювання
136 пакетів на основі правил, може виконувати аналіз протоколів, пошук у
137 вмісті пакетів. Може також використовуватись для виявлення атак та
138 "розвідок", таких як спроби атак типу "переповнення буфера",
139 прихованого сканування портів, CGI атак, SMB розвідок, спроб виявлення
140 типу ОС та багато іншого. Snort може інформувати про події в реальному
141 часі, надсилаючи повідомлення до syslog, окремого файлу чи як WinPopup
142 повідомлення через smbclient.
145 %setup -q %{!?with_registered:-a1} %{?with_registered:-a2} -a3
147 %if "%{_lib}" == "lib64"
150 %{?with_clamav:%patch2 -p1}
152 sed -i "s#var\ RULE_PATH.*#var RULE_PATH /etc/snort/rules#g" rules/snort.conf
155 for I in community-*.rules; do
156 echo "include \$RULE_PATH/$I" >> snort.conf
164 # we don't need libnsl, so don't use it
169 %{?with_inline:--enable-inline } \
170 %{?with_inline:--with-libipq-includes=%{_includedir}/libipq } \
171 --with-libnet-includes=%{_includedir} \
172 --with%{!?with_snmp:out}-snmp \
174 --enable-perfmonitor \
175 --with%{!?with_pgsql:out}-postgresql \
176 --with%{!?with_mysql:out}-mysql \
177 %{?with_prelude:--enable-prelude } \
178 %{?with_clamav:--enable-clamav --with-clamav-defdir=/var/lib/clamav}
183 rm -rf $RPM_BUILD_ROOT
184 install -d $RPM_BUILD_ROOT/etc/{rc.d/init.d,%{name},cron.daily,logrotate.d} \
185 $RPM_BUILD_ROOT%{_var}/log/{%{name},archiv/%{name}} \
186 $RPM_BUILD_ROOT%{_datadir}/mibs/site \
187 $RPM_BUILD_ROOT%{_sysconfdir}/rules
190 DESTDIR=$RPM_BUILD_ROOT
192 install rules/*.config $RPM_BUILD_ROOT%{_sysconfdir}
193 install etc/unicode.map $RPM_BUILD_ROOT%{_sysconfdir}
194 install rules/*.rules $RPM_BUILD_ROOT%{_sysconfdir}/rules
195 install %{SOURCE4} $RPM_BUILD_ROOT/etc/rc.d/init.d/%{name}
196 install %{SOURCE5} $RPM_BUILD_ROOT/etc/logrotate.d/%{name}
197 install rules/snort.conf $RPM_BUILD_ROOT%{_sysconfdir}
199 mv schemas/create_mysql schemas/create_mysql.sql
200 mv schemas/create_postgresql schemas/create_postgresql.sql
203 rm -rf $RPM_BUILD_ROOT
206 %groupadd -g 46 -r snort
207 %useradd -u 46 -g snort -M -r -d %{_var}/log/snort -s /bin/false -c "SNORT IDS/IPS" snort
210 /sbin/chkconfig --add snort
211 %service snort restart
214 if [ "$1" = "0" ] ; then
216 /sbin/chkconfig --del snort
220 if [ "$1" = "0" ] ; then
226 %defattr(644,root,root,755)
227 %doc doc/{AUTHORS,BUGS,CREDITS,NEWS,PROBLEMS,README*,RULES.todo,TODO,USAGE,WISHLIST,*.pdf}
228 %doc schemas/create_{mysql,postgresql}.sql
229 %attr(755,root,root) %{_sbindir}/*
230 %attr(770,root,snort) %dir %{_var}/log/snort
231 %attr(770,root,snort) %dir %{_var}/log/archiv/%{name}
232 %attr(750,root,snort) %dir %{_sysconfdir}
233 %attr(640,root,snort) %config(noreplace) %verify(not md5 mtime size) %{_sysconfdir}/unicode.map
234 %attr(640,root,snort) %config(noreplace) %verify(not md5 mtime size) %{_sysconfdir}/*.config
235 %attr(640,root,snort) %config(noreplace) %verify(not md5 mtime size) %{_sysconfdir}/snort.conf
236 %attr(750,root,snort) %dir %{_sysconfdir}/rules
237 %attr(640,root,snort) %{_sysconfdir}/rules/*
238 %attr(754,root,root) /etc/rc.d/init.d/%{name}
239 %attr(640,root,root) %config(noreplace) %verify(not md5 mtime size) /etc/logrotate.d/*