설치 후와이어샤크내 사용자를 다음에 추가해야 합니다.라인샤크그룹은 루트 액세스 없이 패킷을 캡처할 수 있습니다.
AFAIK Wireshark는 다음을 사용합니다.libpcap도서관 자체가 사용됨네트워크 링크 프로토콜커널 인프라에서 패킷을 가져옵니다. Netlink에는 루트 액세스가 필요한 RAW 소켓 구축도 필요합니다.
내 가설은 다음과 같습니다.
- 누구나라인샤크그룹에는 그룹(및 그룹의 모든 사용자)이 루트 또는 sudoer가 아니더라도 패킷을 캡처할 수 있도록 허용하는 특별한 권한이 있습니다.
- 아니면 더 간단합니다. Wireshark는 현재 루트가 아닌 사용자가라인샤크그룹이 그렇다면 비슷한 방식으로 권한을 에스컬레이션할 수 있습니다.설정값.
하지만 두 번째 가정은 잘못된 것입니다. 왜냐하면 Wireshark는 그렇지 않기 때문입니다.설정값허용하다.
그렇다면 각 사용자를 어떻게 만드는가?라인샤크그룹이 루트 액세스 없이 패킷을 캡처할 수 있습니까? 또는 좀 더 일반적인 형태로 말하면: 보충 그룹은 어떻게 그러한 접근 권한을 얻습니까?
미리 감사드립니다.
답변1
두 옵션 모두 dumpcap패킷 캡처를 담당하고 적절한 기능을 갖춘 에 의해 권한이 전달되지 않습니다.
$ sudo getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip
소유자와 그룹이 소유 root:wireshark하고 실행할 수 있으므로 wireshark해당 그룹의 사용자만 사용할 수 있습니다.
바라보다/usr/share/wireshark/README.Debian.gz시스템에 대해 자세히 알아보세요.