Merge branch 'master' into openbsd_integration

minor comment wording update w.r.t. SYSLOG_DAEMON usage

INSTALL_ROOT resolution bug fix (found by Kat)

Merge branch 'master' into openbsd_integration

removed legacy psadwatchd.conf file references

merged in --Use-answer options

bumped version to 2.2

Added install.answers.example file to illustrate install.pl answers to be consumed by --Use-answers

changelog and credits update

Added the ability to automatically get query answers from --answers-file

By default the install.pl script records user answers to installation queries
so they can be used to install psad in an automated fashion later.  A new
option --Use-answers makes this possible.  This feature was requests by
@pyllyukko.

merged from master

bumped version to psad-2.2-pre2

removed psad-nobuildreqs.spec

moved ChangeLog.old -> ChangeLog (the old style is much more readable)

matched all chdir() calls with getcwd() for easier test suite support

added the psad-require-makemaker.spec file

Removed the ExtUtils::MakeMaker build requirement

Although building the psad RPM builds a set of perl modules which themselves
have the 'use ExtUtils::MakeMaker' requirement in their respective Makefile.PL
scripts, some Linux distributions don't seem to make it easy to install
ExtUtils::MakeMaker in a manner in which the local RPM install can see it.
And, at the same time, it usually is there since installing perl modules is
such a common operation.  The compromise is this solution, which will allow the
psad RPM to be built even if RPM dosen't or can't see that ExtUtils::MakeMaker
is installed - most likely it will build anyway.  If it doesn't, there are
bigger problems since psad is written in perl.  If you want to build the psad
RPM with a .spec file that requires ExtUtils::MakeMaker, then use the
"psad-require-makemaker.spec" file that is bundled in the psad sources.

update to install the init script in the test dir in --install-test-dir mode

Merge branch 'master' into openbsd_integration

added guard variable around syslog() calls

bug fix to expand INSTALL_ROOT variable from psad.conf

completed merge from master for psad-2.2 features

bug fix to ensure that a pristine psad.conf file is preserved across --install-test-dir mode

Bug fix for undefined syslog routine

Fixed a bug that caused psad to emit the following:

Undefined subroutine &main::LOG_DAEMON called at ./psad line 10071.

This problem was noticed by Robert and reported on the psad mailing list.

RPM spec files switched to NetAddr::IP installation

--test-system-install to allow current system installation of psad to be tested through the test suite

override -O option for fwcheck_psad.pl

update psad RPM spec files for the 2.2 release - more updates coming to properly handle the NetAddr::IP modules

version 2.2 nearly ready - bumped version numbers

Merge branch 'master' into openbsd_integration

added signatures file that excludes the MS SQL connect signature

updated test config files to not require the 'mail' binary

allow pf firewall type to not require 'Chain' output in reports

perl warnings test to all firewall architectures

Added --interface tests

normalized TCP flags across iptables and pf log formats

added test suite --diff mode (from the fwknop test suite)

first cut at packet parsing on OpenBSD PF firewalls

added 'firewalls' hash key to @tests() to define supported firewalls for each test

minor variable updates

additional --fw-type updates to handle non-iptables firewalls

populated fw_type() code for firewall type resolution

added --firewall-type <type> argument, calls to log parsing routines done via function references

minor variable/comment update to not be too iptables-specific

differentiate OS via uname - install.pl installs on OpenBSD now

Minor compiler warning bug fix for OpenBSD systems.

Compiling psad *.c files on OpenBSD issued the following warning before this fix:

/usr/bin/gcc -Wall -O psadwatchd.c psad_funcs.c strlcpy.c strlcat.c -o psadwatchd
psad_funcs.c: In function 'send_alert_email':
psad_funcs.c:325: warning: missing sentinel in function call

added IPv6 exclusion test for Snort MS SQl Server communication attempt signature

added Snort sig tests for MS SQL Server communication attempt

IPv4 allow valid echo request

minor hostname update minastirith -> linux

added IPv4 ICMP type/code validation test

ICMP6 type/code validation test, perl warnings test

added ipv6_invalid_icmp6_type_code file for test suite support for ICMP6 type/code validation

bugfix for uninitialized variable in ICMP6 validation reporting

validate ICMP6 type+code fields

copy original psad.conf before install and restore at conclusion

move icmp validation code out of Snort rules comparision

For better performance and correctness, moved icmp type/code validation code out
of Snort rule comparision routine.  Added icmp validation output to --Analyze
mode output.  Disabled DNS lookups in -A mode by default, but added --dns-analysis
command line arg to provide an override.

added --install-root and --install-test-dir options to --help output

added the ability to read iptables packet data from a file with -m in --Benchmark mode

added IPv6 abbreviated format test

bugfix to honor audo_dl lines with IPv6 addresses

added --test-mode so that fw check emails are not sent, debug is enabled, and is_local() always returns false

added --test-mode so that fw check emails are not sent, debug is enabled, and is_local() always returns false

added enable_ack_detection.conf file

added IPv6 TCP connect() test

added TCP NULL scan test

added NULL scan test

added FIN, XMAS, and ACK scan tests

bugfix in psad to honor IGNORE_PROTOCOLS keyword (found by corresponding tests)

updated to remove kmsgsd discussion since kmsgsd is basically deprecated at this point

minor config file comment typo fixes

minor comment typo fixes

added auto_dl 5 tests

added SYN scan and UDP scan tests

updated default INSTALL_ROOT path to the test/ directory install path test/psad-install

bugfix in variable expansion routine to ensure expansion of multiple sub-vars

Added the ability to install at custom location

This commit adds the ability to install psad at a custom location via the
--install-root <root> command line argument to install.pl.  This feature
was suggested by @pyllyukko.  In addition, psad can be installed by a
normal user instead requiring root.

additional basic operations tests, next up: scan tests

added test suite scans/ directory

added test suite via the test/ directory

bug fix to ensure the psadfifo file is not created unless  is true

added PERL5LIB env variable so module installs can reference the current install path, minor 'die' statement update to remove newlines

added support for ip6tables policy default log and drop rule detection

updated to IPTables::ChainMgr 1.2 and IPTables::Parse 1.1

updated to IPTables::ChainMgr 1.2 and IPTables::Parse 1.1

fix 'qw(...) usage as parenthesis' warnings for perl > 5.14

minor comment updates (header material)

updated Unix::Syslog to 1.1 from CPAN

fix 'qw(...) usage as parenthesis' warnings for perl > 5.14

added ip6tables policy dump to --fw-dump mode

bumped version to 3.0-pre1

bug fix to parse iptables syslog date into a proper numeric time

minor bug fix to call older passive OS fingerprinting routine for non-IPv6 packets

interim commit to maintain better separation between IPv4 and IPv6 passive OS fingerprinting code

Added MAX_SCAN_IP_PAIRS

Thic commit allows psad memory usage to be constrained by restricting the
number of unique IP pairs that psad tracks via a new config variable
MAX_SCAN_IP_PAIRS.  This is useful for when psad is deployed on systems with
little memory, and is best utilized in conjunction with disabling
ENABLE_PERSISTENCE so that old scans will also be deleted (and thereby making
room for tracking new scans under the MAX_SCAN_IP_PAIRS threshold).

reworked how old scans are deleted, and added a new PERSISTENCE_CTR_THRESHOLD variable to control this

update to not collect err packets in --no-ipt-errors mode

Completed conversion to NetAddr::IP module

This commit completes the conversion to the NetAddr::IP module for all IP
address comparisions.  Also re-worked Snort keyword matching to maximize
performance.

added the deps/NetAddr-IP directory

made --packets apply to --Analyze mode, man page doc fixes relative to the old psadfifo file