<html>

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 10 (filtered)">

<style>
<!--
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
span.emailstyle17
        {font-family:Arial;
        color:windowtext;}
span.EmailStyle18
        {font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>Greetings,</span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'> </span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>Sorry if this is documented somewhere – I’ve
searched google and the ring pcap site for the answer and can’t find it.
I’ve installed the ring pcap version of libpcap and verified TCPDUMP is
using it properly. My question is basically how do I set the PCAP environment
variables so that Snort correctly uses them. The trick is that I’m
running snort under an account that does not have the rights to login (shell
/sbin/nologin etc…) which as I understand it prevents /etc/profile from
executing. If I login as a user that has shell login rights the environment
variables are set correctly. I am running Snort in daemon mode as well –
which I’ve read differing accounts about it kicking Snort off as root
initially then switching to the snort account (not certain about this) –
in which case the environment variables set for root who can login might take
care of it. </span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'> </span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>Sorry if this is obvious and I’ve just missed it
somewhere – if anyone out there could provide some guidance on how to
properly set the PCAP variables for Snort running under an account that has no
shell I would be most appreciative. </span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'> </span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>I’m running Snort 2.0.2 but will be upgrading to Snort
2.0.3 soon.</span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'> </span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>THANKS!</span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'> </span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>M</span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'> </span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'>---------------------------------------------</span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'>Mark F. Ewert, Principal Systems Architect</span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'>Integrated Healthcare Information Services</span></font></p>

<p class=MsoNormal><font size=2 face="Courier New"><span style='font-size:10.0pt;
font-family:"Courier New"'><a href="http://www.ihcis.com/">www.ihcis.com</a></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

</div>


<P class=MsoNormal style="MARGIN-LEFT: 1in"><FONT face=Arial size=2><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><FONT color=#000000><SPAN 
style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><FONT color=#000000>
<HR>
</FONT></SPAN></FONT></SPAN></FONT><FONT face=Arial><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><FONT color=#000000><FONT 
size=1><SPAN style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial"><FONT 
color=#000000 size=1>This e-mail and the information transmitted within it 
is</FONT> <FONT size=1><FONT color=#000000>intended only for the recipient(s) to 
which it is</FONT> <FONT color=#000000>addressed</FONT></FONT></SPAN> and may 
contain confidential and/or privileged material. Any review, retransmission, 
dissemination or other use of; or taking of any action in reliance upon this 
information by persons or entities other than the intended recipient is 
prohibited. If you received this in error, please send the e-mail back to 
notify the sender and delete the message and its contents from any computers and 
network systems involved in its receipt. Thank 
you.</FONT></FONT></SPAN></FONT></P>
</body>

</html>