Repository 32bit  Forum
Repository 64bit  Wiki

avviare wireshark non come root

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

avviare wireshark non come root

Messaggioda relay » ven feb 19, 2010 23:35

Ho da poco installato wireshark.Avviandolo da root, mi permette di scegliere l'interfaccie di rete mentre da user, posso avviarlo ma non scegliere l'interfaccia di rete e quindi utilizzarlo.Dato che per questioni di sicurezza e sconsigliato usare wireshark come root, volevo chiedere se qualcuno sa dirmi come gestirlo da user.
Grazie
relay
Linux 2.4
Linux 2.4
 
Messaggi: 291
Iscritto il: mar ago 28, 2007 15:36

Re: avviare wireshark non come root

Messaggioda relay » sab feb 20, 2010 0:27

P.S io proverei a eseguirlo come suid ma ho visto che alcun i articoli consigliano di creare il gruppo wireshark ecc...Cosa mi consigliate?
relay
Linux 2.4
Linux 2.4
 
Messaggi: 291
Iscritto il: mar ago 28, 2007 15:36

Re: avviare wireshark non come root

Messaggioda relay » sab feb 20, 2010 1:02

Mi riferisco a questo articolo:

Running Wireshark (or any other network capture/analyzer, for that matter) on Linux needs root privileges. Therefore, you have to have root privileges when starting Wireshark, else you can't capture data. Please note that you don't have to login as root when starting your computer, you can use su(1) or sudo( for that purpose. However, this remains unsecure as the dissectors, the parts of Wireshark which parse the captured data, run with root privileges as they did before. A much safer solution would be to su(1) to root, then use the bundled dumpcap to dump the data (for example, you can evoke dumpcap by using "dumpcap -w ./dumpfile", which will dump the packets to the file "dumpfile" in the current working directory. See "dumpcap -h" for details). You could also use tcpdump for this purpose. The advantage of this solution is, while dumpcap/tcpdump still run as root, you can run Wireshark as a ordinary user and load the data you captured previously, so effectively this is kinda "privilege separation by hand".

Anche se non ho ben capito acosa si riferisca laseconda opzione piu sicura consigliata da loro.
Grazie
relay
Linux 2.4
Linux 2.4
 
Messaggi: 291
Iscritto il: mar ago 28, 2007 15:36

Re: avviare wireshark non come root

Messaggioda danix » sab feb 20, 2010 9:14

Ti traduco velocemente l'articolo che hai postato:

Usare Wireshark (o qualunque altro network analyzer per questo scopo) su linux richiede i privilegi di root. Si necessità dei privilegi di root all'avvio di wireshark altrimenti non si può catturare dati. Da notare che non è necessario loggarsi nel sistema come root, si può usare su(1) o sudo ( in questo caso però è comunque rischioso in quanto le parti di wireshark che parsano i dati catturati, [i dissectors ndt] avranno comunque i privilegi di root) La soluzione più sicura è usare su(1) diventando root, quindi usare dumpcap fornito con wireshark (per esempio invocandolo come "dumpcap -w ./dumpfile" che farà il dump dei pacchetti sul file "dumpfile" nella directory corrente. Guardare "dumpcap -h" per dettagli). In alternativa si può usare tcpdump per questo scopo. Il vantaggio di questa soluzione è che mentre dumpcap/tcpdump avranno privilegi di root, si potrà usare wireshark come utente normale e caricare i dati catturati precedentemente, separando i privilegi "a mano".

Ho tradotto un po' di fretta, se non capisci qualcosa chiedi pure... ;)
Avatar utente
danix
Staff
Staff
 
Messaggi: 3280
Iscritto il: ven ott 27, 2006 18:32
Località: Siderno (RC)
Nome Cognome: Danilo M.
Slackware: 64 14.0
Kernel: 3.2.29
Desktop: fluxbox

Re: avviare wireshark non come root

Messaggioda relay » sab feb 20, 2010 13:50

Grazie Danix,il mio problema non è la difficolta nel leggerlo in inglese.Ma capire il senso del consiglio.Cioè per usare wireshark ti sconsigliano di utilizzarlo suiddandolo, per usare al posto suo un'altro programma analizzatore di rete come dumpcap.Che senso allora installare wireshark se poi per analizzare la rete consigliano di utilizzare un altro programma?Cioè mi sembra "trigoso".Considerando che utilizzando sudo e non lavorando in ambiti nsa o nasa mi sembra gia sicuro.
Grazie
relay
Linux 2.4
Linux 2.4
 
Messaggi: 291
Iscritto il: mar ago 28, 2007 15:36

Re: avviare wireshark non come root

Messaggioda danix » sab feb 20, 2010 18:29

parlo da totale inesperto, ma da quel che ho capito, il problema sta nel fatto che i dissector non devono avere i privilegi di root, quindi è legittimo che consiglino di fare il dump dei pacchetti da root con qualche programma come quello che ti danno loro o con tcpdump, e poi puoi divertirti ad analizzare il tutto da utente normale con wireshark...
Ti ripeto, questo è quello che ho capito leggendo il testo che hai copincollato, ma essendo totalmente ignorante in materia non conosco le motivazioni di una procedura del genere...

Mi dispiace non poterti aiutare di più...
Avatar utente
danix
Staff
Staff
 
Messaggi: 3280
Iscritto il: ven ott 27, 2006 18:32
Località: Siderno (RC)
Nome Cognome: Danilo M.
Slackware: 64 14.0
Kernel: 3.2.29
Desktop: fluxbox

Re: avviare wireshark non come root

Messaggioda relay » dom feb 21, 2010 2:43

Va bo grazie comunque!
relay
Linux 2.4
Linux 2.4
 
Messaggi: 291
Iscritto il: mar ago 28, 2007 15:36


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti