Obawa przed uruchomieniem WireShark jako root

8

Uruchomiłem WireShark na moim komputerze Ubuntu i odkryłem, że nie ma interfejsów, których mógłbym słuchać. Więc uruchomiłem go jako root. To dało mi dostęp do wszystkich interfejsów, ale ostrzeżenie:

Uruchamianie WireShark jako użytkownika „root” w grupie „root”. To może być niebezpieczne ...

Czy to jest niebezpieczne? W przeciwnym razie, jak mogę słuchać interfejsów?

Nathan Osman
źródło

Odpowiedzi:

4

Wireshark szybko zbliża się do dwóch milionów linii kodu . Nie powinieneś uruchamiać ich jako root z tych samych powodów, dla których nie powinieneś uruchamiać Firefoksa, OpenOffice, GIMP ani innych podobnych aplikacji jak root.

W systemie Linux nie musisz być rootem, aby przechwytywać pakiety. Potrzebujesz tylko uprawnień CAP_NET_ADMIN i CAP_NET_RAW. W większości dystrybucji jest to łatwe do uruchomienia . Ubuntu nie robi tego domyślnie, ale mam nadzieję, że w pewnym momencie w przyszłości .

Gerald Combs
źródło
3

zgodnie z http://wiki.wireshark.org/CaptureSetup/CapturePrivileges nie należy uruchamiać go jako root.

Zamiast tego użyj uprawnień roota, aby zrzucić za pomocą zrzutu lub tcpdumpa, a następnie przeanalizować za pomocą wireshark.

bryan
źródło
Ach ... ale czy może zaszkodzić korzystanie z uprawnień roota?
Nathan Osman,
2
Ogólnie tak / nie. Lepiej nie używać roota, gdzie można się bez niego obejść. Ale jeśli to tylko Twoja domowa maszyna i nie zamierzasz obniżać sieci / serwerów biurowych, strzelaj. Jeśli chodzi o wireshark, myślę, że będziesz wystarczająco bezpieczny.
bryan
2
chyba że ktoś w twojej sieci wyrzuca pakiety specjalnie spreparowane w celu wykorzystania błędów w wireshark; następnie używanie go jako root jest złe, złe wieści.
Charles Duffy
3

Wireshark ma długą historię błędów bezpieczeństwa w odłącznikach (wtyczki, które opisują, jak interpretować różne protokoły over-the-wire). Z tego powodu bezpieczniej jest przechwytywać za pomocą prostszego narzędzia, takiego jak tcpdump, a następnie użyć wireshark, aby zinterpretować je jako nieuprzywilejowanego użytkownika.

Charles Duffy
źródło
1

To zależy od tego, co jest naprawdę na twoim komputerze. Czy używasz zapasowego laptopa tylko do wąchania? Następnie uruchom jako root. Jeśli masz ważne dane na tym komputerze, uruchom tcpdump z cli i użyj wireshark do analizy ruchu.

przyspiesza obrazy
źródło