Parece que, embora wireshark tenha uma opção para selecionar a interface, ela permite substituí-la na interface gráfica.
Assim, você pode conceder privilégio sudo para tcpdump e ou tshark (modo de texto wireshark) para capturar pacotes e depois lê-los mais tarde com wireshark -r file .
Você tem a opção -i em tcpdump ou tshark de chamá-lo na linha de comando; você pode criar uma autorização sudo para tshark ou tcpdump , que permite ao usuário usá-lo somente com -i interface ; a principal interface de loopback é geralmente lo no Linux
como em /etc/sudoers :
user ALL=NOPASSWD: /usr/sbin/tcpdump -i lo -s0 -w - --
O "-" é uma abreviação do argumento ´´getopt´´ que analisa o padrão / chamada para parar os argumentos para impedir que o usuário inclua mais interfaces do que aquela que está sendo permitida.
(Eu não defini um arquivo de captura de propósito, para que o usuário redirecione o tráfego para um arquivo. Definir um arquivo de captura com um nome previsível como um usuário privilegiado de uma rotina chamada de usuário com privilégios inferiores tem implicações de segurança)
Eu lembro que o usuário pode ver as sudo de permissões com
sudo -l
porque geralmente esses comandos precisam ser digitados na íntegra, pois eles estão em sudo para que o sudo funcione.