Quais recursos de segurança estão desabilitados quando inicio o wireshark?

O Wireshark não inicia nenhum serviço nem abre nenhuma porta, embora possa realizar atividades de rede se você tiver configurado para resolver endereços IP para nomes DNS.

Se você deseja evitar a execução do Wireshark como root, você pode usar o seguinte comando em um terminal:

sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap

Isso dá privilégios adicionais à ferramenta dumpcap , que é o back-end do Wireshark que realmente executa o sniffing de pacotes, de modo que todo o aplicativo Wireshark não precise ser executado com privilégios de root.

Mais informações sobre os privilégios do Wireshark no Linux estão disponíveis aqui .

Quando eu começo wireshark eu tenho um "dispositivo eth0 entrou em modo promíscuo". (correndo wireshark não-raiz) O Wireshark tem uma fraqueza: muito código. Um gentoo dev descreveu isso como um problema de segurança. executando o wireshark non-root: link Alternativa: execute um tcpdump aparado, ele vem com um perfil apparmor. Execute-o: tcpdump -n -i eth0 > tcpdump.txt gzip tcpdump.txt.