Озабоченность по поводу выполнения WireShark как корень
Я запустил WireShark на своей машине Ubuntu и обнаружил, что не было никаких интерфейсов, которые я мог слушать. Таким образом, я запустил его как корень. Это предоставило мне доступ ко всем интерфейсам, но дало мне предупреждение:
Выполнение WireShark как пользователь 'базируется' в группе 'корень'. Это могло быть опасно...
Так, действительно ли это опасно? Иначе, как я могу слушать интерфейсы?
4 ответа
Wireshark быстро обращается к двум миллионам строк кода. Вы не должны выполнять их, как поддерживают те же причины, что Вы не должны запускать Firefox, OpenOffice, GIMP или любое другое так же измеренное приложение как корень.
На Linux Вы не должны быть корнем для получения пакетов. Вам просто нужны CAP_NET_ADMIN и полномочия CAP_NET_RAW. На большинстве дистрибутивов это легко разбудить и выполнение. Ubuntu по умолчанию еще не делает этого, но она, надо надеяться, будет в какой-то момент в будущем.
согласно http://wiki.wireshark.org/CaptureSetup/CapturePrivileges Вы не должны выполнять его как корень.
Вместо этого используйте полномочия пользователя root вывести использование dumpcap или tcpdump и затем проанализировать использование wireshark.
Wireshark имеет долгую историю ошибок безопасности в диссекторах (плагины, которые описывают, как интерпретировать различные сверхпроводные протоколы). По этой причине более безопасно выполнить Ваши получения с более простым инструментом, такие как tcpdump, затем использовать wireshark для интерпретации их как непривилегированного пользователя.
Это зависит от того, что находится на Вашей машине действительно. Вы используете запасной ноутбук только для сниффинга? Затем выполненный как корень. Если Вы имеете важные данные по той машине затем выполненный tcpdump от cli и используете wireshark для анализа трафика.