Preocupação com a execução do WireShark como root

8

Eu comecei WireShark na minha máquina Ubuntu e descobri que não havia interfaces que eu pudesse ouvir. Então eu lancei como root. Isso me deu acesso a todas as interfaces, mas me deu um aviso:

Running WireShark as user 'root' in group 'root'. This could be dangerous...

Então, é perigoso? Caso contrário, como posso ouvir as interfaces?

    
por Nathan Osman 09.05.2010 / 07:12

4 respostas

4

O Wireshark está se aproximando rapidamente de dois milhões de linhas de código . Você não deve executá-los como root pelas mesmas razões pelas quais você não deve executar o Firefox, o OpenOffice, o GIMP ou qualquer outro aplicativo de tamanho semelhante como root.

No Linux, você não precisa ser root para capturar pacotes. Você só precisa dos privilégios CAP_NET_ADMIN e CAP_NET_RAW. Na maioria das distribuições, isso é fácil de ser instalado e funcionando . O Ubuntu ainda não faz isso por padrão, mas esperamos que em algum momento no futuro .

    
por 10.05.2010 / 18:53
3

de acordo com o link , você não deve executá-lo como root.

Em vez disso, use os privilégios de root para fazer o dump usando o dumpcap ou o tcpdump e, em seguida, analise usando o wireshark.

    
por 09.05.2010 / 07:26
3

O Wireshark tem um longo histórico de bugs de segurança nos disectors (os plugins que descrevem como interpretar vários protocolos over-the-wire). Por esse motivo, é mais seguro executar suas capturas com uma ferramenta mais simples, como o tcpdump, e usar o wireshark para interpretá-las como um usuário sem privilégios.

    
por 09.05.2010 / 10:17
1

Depende do que realmente está na sua máquina. Você usa um laptop extra apenas para farejar? Em seguida, execute como root. Se você tiver dados importantes sobre essa máquina, execute o tcpdump a partir do cli e use wireshark para analisar o tráfego.

    
por 10.05.2010 / 19:29