Eu tenho libpcap configurado com a versão mais recente do cvs. Usuários regulares podem executar o Wireshark e o tshark. Especificamente, eles foram adicionados ao grupo wireshark e podem capturar de
1. eth0
2. br0
3. nflog (Linux netfilter log (NFLOG) interface)
4. nfqueue (Linux netfilter queue (NFQUEUE) interface)
5. any (Pseudo-device that captures on all interfaces)
6. lo
Infelizmente, eles não veem os dispositivos usbmon que o root faz:
1. eth0
2. br0
3. nflog (Linux netfilter log (NFLOG) interface)
4. nfqueue (Linux netfilter queue (NFQUEUE) interface)
5. usbmon1 (USB bus number 1)
6. usbmon2 (USB bus number 2)
7. usbmon3 (USB bus number 3)
8. usbmon4 (USB bus number 4)
9. usbmon5 (USB bus number 5)
10. usbmon6 (USB bus number 6)
11. usbmon7 (USB bus number 7)
12. any (Pseudo-device that captures on all interfaces)
13. lo
Como root, tshark -D lista todos os dispositivos usbmon. No entanto, o usuário comum não pode ver os dispositivos usbmon com wireshark ou tshark.
Como posso disponibilizar os dispositivos usbmon para usuários do grupo wireshark?
Eu resolvi isso criando um grupo para os usuários que deveria poder usar usbmon e depois deixar o udev alterar a propriedade do dispositivo. Então, basta criar um grupo, adicionar seu usuário ao grupo e colocar uma regra do udev em "/etc/udev/rules.d":
addgroup usbmon
gpasswd -a $USER usbmon
echo 'SUBSYSTEM=="usbmon", GROUP="usbmon", MODE="640"' > /etc/udev/rules.d/99-usbmon.rules
E por último, mas não menos importante, reinicie ou certifique-se de que o usuário realmente esteja no grupo e acione o udev ou rmmod e modprobe novamente.
Em wireshark.org :
You need to run Wireshark or TShark on an account with sufficient privileges to capture, or need to give the account on which you're running Wireshark or TShark sufficient privileges to capture.
Tags wireshark