On Sat, Jan 8, 2011 at 5:53 AM, JP Vossen <span dir="ltr"><<a href="mailto:jp@...629...">jp@...629...</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
OK, I've been trying to keep my mouth shut on the larger issue, but I<br>
just read<br>
<a href="http://blog.snort.org/2011/01/rpms-for-rhel5-are-available-from.html" target="_blank">http://blog.snort.org/2011/01/rpms-for-rhel5-are-available-from.html</a> and<br>
I just can't let that one go.<br>
<br></blockquote><div>Perfectly fine, I appreciate the feedback.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Seriously?  You seriously used the phase "stuck at RHEL5" twice in a 5<br>
(counting generously) paragraph blog?  (Fair warning: pent-up rant alert!)<br>
<br></blockquote><div>That's also perfectly fine, I'll respond in line.</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Main point up front:<br>
Who else votes for better RHEL5/CentOS-5 support and longer life-cycles?!?<br>
<br>
And who else votes for actual support of RHEL6 (and CentOS-6 whenever it<br>
finally gets here) that conforms the the RHEL life-cycle not the SF<br>
whatever-the-hell-the-devs-feel-like-this-week Snort life-cycle?<br>
<br></blockquote><div>We don't do things "just for the hell of it".  There are reasons for the decisions we make, and maybe I need to do a better job of explaining those reasons so our community understands them.</div>
<div><br></div><div>It's a matter of resources to test across many platforms.  Not just Linux, but we test on a bunch of different things, so our course of action is generally to build on whatever is the "current" release of RHEL/CentOS and Fedora platforms when a Snort release hits beta.  We do look ahead in that planning a little but there are often timing issues with waiting for a new OS release.</div>
<div><br></div><div>In the case of Snort 2.9, that meant FC13 and would have meant RHEL/CentOS 5.5.  We do not update our platform support for patch releases (i.e. 2.9.0.3) since there is a larger QA effort in terms of reimaging systems that we simply cannot swallow.  That is one of the many reasons we release source code in tarball format, so users can build on any platform they desire.</div>
<div><br></div><div>With Snort 2.9 and the release of DAQ, we now require libpcap 1.0 or higher.  This is simply not a package that is included in the standard distro build of CentOS 5.5 (FC13), and the Snort development team are not going to repackage libpcap within the Snort RPMs, so we're stuck there as well.</div>
<div><br></div><div>There is a plan to build on CentOS 6 for Snort 2.9.1 (our next planned version) assuming it's available, so there will (read: should) be RPMS for the RHEL6 platform.  We will not be able to support RHEL 5 because of the above points.</div>
<div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Maybe I'm the only one--based on all the recent "guides" I am--but I<br>
need to use RHEL (well RHEL & CentOS) at work.  I'd love to use Debian,<br>
or would reluctantly use an Ubuntu LTS, but I will avoid Fedora or god<br>
forbid OEL like the plague.  Aside from how I loath Oracle (yeah, I know<br>
OEL is really RHEL, I just loath Oracle), the Ubuntu, Fedora and Snort<br>
life-cycle is simply too short for an Enterprise pace.  I am not happy<br>
about this, I'd like to move faster and keep up too.  But that simply<br>
does not happen at the Enterprise level (at least where I've worked and<br>
esp. now).<br></blockquote><div><br></div><div>I understand.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">So basically, I am "stuck at RHEL5" or CentOS.  (And I really don't<br>

believe I'm the only one, speak up out there!)  This isn't SF's fault.<br>
<br>
Due to NDAs if we want certain rules we *have* to use the pre-compiled<br>
ones.  OK, I get it.  I don't like it, but I get it.  Also not SF's fault.<br></blockquote><div><br></div><div>Thank you for recognizing that.  We'll make some changes around this soon I hope.</div><div> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">So let's go look at the options in a tarball I have laying around:<br>
$ tar tvzf snortrules-snapshot-2901.tar.gz | grep 'precompiled' | cut<br>
-d'/' -f4 | sort -u<br>
Centos-4-8<br>
Centos-5-4<br>
Debian-Lenny<br>
FC-11<br>
FC-12<br>
FC-9<br>
FreeBSD-7-3<br>
FreeBSD-8-1<br>
OpenSUSE-11-3<br>
RHEL-5.0<br>
Ubuntu-10-4<br>
Ubuntu-8.04<br>
<br>
Huh?!?  FC9, 11, 12, but not 10, and all of which are obsolete and<br>
unsupported.  But not F13 (that Snort is actually compiled for) or F14<br>
(current), not CentOS-5.5 (current).  RHEL-5.0, also unsupported but not<br>
RHEL-5.5 (or just use the CentOS).  And why "8.04" (correct) but "10-4"?<br>
  WTH is "10-4?"  (80's flashback: 10-4 good buddy! :)<br>
<br></blockquote><div><br></div><div>Okay, we can correct this, thanks for bringing it to our attention.  The VRT maintains a separate build environment that is much larger than the Snort team's build env, simply for the Shared Object rules.  (adding OpenBSD to that above list very soon as well.)  Maybe we can get to a point in the near future where we can align the builds for VRT and Snort Dev to make it easier for the community, but then we'll run into the reverse effect, and we'll catch scorn for that as well.  So we are between a rock and hard place. But we'll sit down internally and figure this stuff out.</div>
<div><br></div><div>Personally, I have a box here at the house that is Fedora Core 10.  It's running the FC-9 Shared Object rules.  They work fine.  Undocumented, but they work.  That's my own personal work around.   I have to maintain my own compiles for libpcap, libdnet, and such as well.  Unfortunately that's the price I pay for not wanting to move my personal box to a higher version.  Not a realistic expectation in the enterprise world.  But that's the price of free software for me.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
OK, I'd love to use Lenny (or I guess Ubuntu 10.04), but I can't.  We<br>
use RHEL for almost everything and I can't (and shouldn't) fight that.<br>
BSD is great, but same problem.  Fedora is coming nowhere near anything<br>
I touch for production at work [1].  But I can live with Centos-5-4.<br>
It's not current, but then again I was the one whining about the slow<br>
enterprise pace above, right?<br></blockquote><div><br></div><div>We understand that.  It *is* possible to maintain the source builds for these (libpcap, pcre, libdnet, Snort, DAQ, etc) as well, by downloading the source code.  </div>
<div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Off to get the engine...  But wait!  What do I see at<br>
<a href="http://www.snort.org/snort-downloads" target="_blank">http://www.snort.org/snort-downloads</a>?  F13.  The one that was obsoleted<br>
2 months ago by F14 [2].  Where are the CentOS or RHEL binaries?  You<br>
know, the major enterprise Linux distro version released in 2007 but<br>
supported to 2014 (or 2017 depending) [3] and for which there are<br>
pre-compiled rules.  That one.  Where is it?  My head hurts!<br> </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
Sure I can compile the RPMs myself, and I did.  You can even argue that<br>
someone who can't compile the RPMs (or binaries) themselves has no<br>
business running Snort in an enterprise environment and I might even<br>
agree.  But the folks in smaller shops don't want to upgrade the OS on<br>
their Snort sensors every 6 months either, and those folks might not<br>
have the time or resources needed to do the compiles.  (I am staying out<br>
of any "buy the SF appliance" or use the "ET" rules areas.)<br>
<br></blockquote><div><br></div><div>Right, I understand that.  Personally (and not speaking for the company on this point), I'd rather we don't build RPMs at all. I'd rather we just put out the tarball and let the package maintainers keep the distros up to date.  Unfortunately, they don't.  We have some packages way back in 2.6 land laying around because the package maintainer either stopped doing it, got lazy, whatever.  Doesn't matter, the point is they are out of date.  So we put out a few.</div>
<div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
To be honest, the little inconsistencies just really bug me.  </blockquote><div><br></div><div>And maybe I can fix some of these.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
And the<br>
idea that only a few folks are "stuck at RHEL5" and that that's not a<br>
big deal *really* bugged me.  I actually *am* "stuck at RHEL5" but I<br>
don't mind all that much and it's better than many alternatives (e.g.<br>
Windows or OEL).  Maybe I'm wrong.  Maybe I really am the only one.  But<br>
I kinda doubt it.  And I wonder how the other folks are doing.  Based on<br>
the chatter on the MLs over the last few months wrt to DAQ and pcap on<br>
RHEL5, they aren't doing too well.  (Except for Vincent :).<br>
<br></blockquote><div><br></div><div>And it's great that the community stepped up to do that.  I'd love to have the community do more of that (similar to my previous point with the package maintainers).  We can't pretend to know every little nuance of every OS.  The big thing with RHEL 5* is the lack of libpcap 5.0.  </div>
<div><br></div><div>The version of Snort that will run on RHEL 5 without libpcap modification is 2.8.6.1.  VRT still maintains rules for this version, and will until the next point release of Snort comes out (2.9.1) (+90 days) in accordance with our EOL policy.  <a href="http://www.snort.org/vrt/rules/eol_policy">http://www.snort.org/vrt/rules/eol_policy</a> </div>
<div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
OK, rant over.  (If anyone actually read this far... :)<br>
<rant off><br>
<br></blockquote><div><br></div><div>JP, it's perfectly fine!  Just understand what I read above.  We don't make this stuff up on a whim, there are technical reasons for it.  When we provide new and better functionality, like with DAQ, sometimes that requires something newer.  We have to release new functionality, so we do, but we get in trouble there, but if we don't release new functionality, we get accused of being dead and get in trouble there too and can't detect newer problems.</div>
<div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Maybe Joel could do a vote on the blog, like the recent classification<br>
discussion, and collect more info on who is really using what.<br>
<br></blockquote><div><br></div><div>Not a bad idea.  It might give us a good foothold on who is using what, etc.  The classification discussed has turned into something as simple as replacing the current classifications into something much more comprehensive and will probably lead to a total redesign of the classification system.  We'll talk about that later.</div>
<div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Finally, kudos-in-a-rant to Joel for having to put up with nuts like me,<br>
and for the new blog, which I have found to be excellent.  And also<br>
kudos to Vincent Cojot for his excellent RPM work, especially the<br>
CentOS-5 libpcap compatibility trick.  That saved me a lot of effort, as<br>
I've already told him.<br></blockquote><div><br></div><div>Thank you for the kudos.  You are more than welcome to tell me what we are doing wrong, and I will see what I can do to make it better. If we can't make stuff better (like release a 2.8.6.2, or support RHEL 5), I'll try and lay out the reasons for that on the blog/here.  I am trying to make the blog worth reading, and hopefully I have so far.</div>
<div><br></div><div>Yes, Kudos to Vincent.  He is also going to start signing his RHEL supported packages for you guys, which is excellent as well.  As far as I know, he did exactly what I suggested above.  He downloaded the libpcap source code, and made an RPM out of it.  We can't do it, so the community stepped up. I appreciate this very much, and I think it's phenomenal that our community is getting more involved.</div>
</div><div><br></div>Hopefully this helps.<br clear="all"><br>-- <br>Joel Esler<div>Skype:eslerjoel</div><div><a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a></div><br>