Pagina 1 di 1
avviare wireshark non come root
Inviato: ven 19 feb 2010, 23:35
da relay
Ho da poco installato wireshark.Avviandolo da root, mi permette di scegliere l'interfaccie di rete mentre da user, posso avviarlo ma non scegliere l'interfaccia di rete e quindi utilizzarlo.Dato che per questioni di sicurezza e sconsigliato usare wireshark come root, volevo chiedere se qualcuno sa dirmi come gestirlo da user.
Grazie
Re: avviare wireshark non come root
Inviato: sab 20 feb 2010, 0:27
da relay
P.S io proverei a eseguirlo come suid ma ho visto che alcun i articoli consigliano di creare il gruppo wireshark ecc...Cosa mi consigliate?
Re: avviare wireshark non come root
Inviato: sab 20 feb 2010, 1:02
da relay
Mi riferisco a questo articolo:
Running Wireshark (or any other network capture/analyzer, for that matter) on Linux needs root privileges. Therefore, you have to have root privileges when starting Wireshark, else you can't capture data. Please note that you don't have to login as root when starting your computer, you can use su(1) or sudo( for that purpose. However, this remains unsecure as the dissectors, the parts of Wireshark which parse the captured data, run with root privileges as they did before. A much safer solution would be to su(1) to root, then use the bundled dumpcap to dump the data (for example, you can evoke dumpcap by using "dumpcap -w ./dumpfile", which will dump the packets to the file "dumpfile" in the current working directory. See "dumpcap -h" for details). You could also use tcpdump for this purpose. The advantage of this solution is, while dumpcap/tcpdump still run as root, you can run Wireshark as a ordinary user and load the data you captured previously, so effectively this is kinda "privilege separation by hand".
Anche se non ho ben capito acosa si riferisca laseconda opzione piu sicura consigliata da loro.
Grazie
Re: avviare wireshark non come root
Inviato: sab 20 feb 2010, 9:14
da danix
Ti traduco velocemente l'articolo che hai postato:
Usare Wireshark (o qualunque altro network analyzer per questo scopo) su linux richiede i privilegi di root. Si necessità dei privilegi di root all'avvio di wireshark altrimenti non si può catturare dati. Da notare che non è necessario loggarsi nel sistema come root, si può usare su(1) o sudo ( in questo caso però è comunque rischioso in quanto le parti di wireshark che parsano i dati catturati,
avranno comunque i privilegi di root) La soluzione più sicura è usare su(1) diventando root, quindi usare dumpcap fornito con wireshark (per esempio invocandolo come "dumpcap -w ./dumpfile" che farà il dump dei pacchetti sul file "dumpfile" nella directory corrente. Guardare "dumpcap -h" per dettagli). In alternativa si può usare tcpdump per questo scopo. Il vantaggio di questa soluzione è che mentre dumpcap/tcpdump avranno privilegi di root, si potrà usare wireshark come utente normale e caricare i dati catturati precedentemente, separando i privilegi "a mano".
Ho tradotto un po' di fretta, se non capisci qualcosa chiedi pure... 
Re: avviare wireshark non come root
Inviato: sab 20 feb 2010, 13:50
da relay
Grazie Danix,il mio problema non è la difficolta nel leggerlo in inglese.Ma capire il senso del consiglio.Cioè per usare wireshark ti sconsigliano di utilizzarlo suiddandolo, per usare al posto suo un'altro programma analizzatore di rete come dumpcap.Che senso allora installare wireshark se poi per analizzare la rete consigliano di utilizzare un altro programma?Cioè mi sembra "trigoso".Considerando che utilizzando sudo e non lavorando in ambiti nsa o nasa mi sembra gia sicuro.
Grazie
Re: avviare wireshark non come root
Inviato: sab 20 feb 2010, 18:29
da danix
parlo da totale inesperto, ma da quel che ho capito, il problema sta nel fatto che i dissector non devono avere i privilegi di root, quindi è legittimo che consiglino di fare il dump dei pacchetti da root con qualche programma come quello che ti danno loro o con tcpdump, e poi puoi divertirti ad analizzare il tutto da utente normale con wireshark...
Ti ripeto, questo è quello che ho capito leggendo il testo che hai copincollato, ma essendo totalmente ignorante in materia non conosco le motivazioni di una procedura del genere...
Mi dispiace non poterti aiutare di più...
Re: avviare wireshark non come root
Inviato: dom 21 feb 2010, 2:43
da relay
Va bo grazie comunque!