Préoccupation concernant l'exécution de WireShark en tant que root

8

J'ai démarré WireShark sur ma machine Ubuntu et découvert qu'il n'y avait aucune interface que je pouvais écouter. Je l'ai donc lancé en tant que root. Cela m'a donné accès à toutes les interfaces, mais m'a donné un avertissement:

Exécution de WireShark en tant qu'utilisateur 'root' dans le groupe 'root'. Cela pourrait être dangereux ...

Alors, est-ce dangereux? Sinon, comment écouter les interfaces?

Nathan Osman
la source

Réponses:

4

Wireshark approche rapidement deux millions de lignes de code . Vous ne devez pas les exécuter en tant que root pour les mêmes raisons que vous ne devez pas exécuter Firefox, OpenOffice, GIMP ou toute autre application de taille similaire en tant que root.

Sous Linux, vous n'avez pas besoin d'être root pour capturer des paquets. Vous avez juste besoin des privilèges CAP_NET_ADMIN et CAP_NET_RAW. Sur la plupart des distributions, cela est facile à mettre en place et à exécuter . Ubuntu ne le fait pas encore par défaut, mais nous l'espérons, à un moment donné dans le futur .

Gerald Combs
la source
3

selon http://wiki.wireshark.org/CaptureSetup/CapturePrivileges, vous ne devriez pas l'exécuter en tant que root.

Utilisez plutôt les privilèges root pour effectuer un vidage à l'aide de dumpcap ou tcpdump, puis analysez à l'aide de Wireshark.

Bryan
la source
Ah ... mais peut-il nuire à l'utilisation des privilèges root?
Nathan Osman
2
En général, oui / non. Mieux vaut ne pas utiliser root où vous pouvez vous en passer. Mais si ce n'est que votre machine à domicile et que vous n'allez pas faire tomber votre réseau / serveurs de bureau, éteignez-le. En ce qui concerne Wirehark, je pense que vous serez suffisamment en sécurité.
bryan
2
à moins que quelqu'un sur votre réseau ne crache des paquets spécialement conçus pour exploiter les bogues dans wirehark; puis, l'utiliser comme root est une mauvaise, une mauvaise nouvelle.
Charles Duffy
3

Wireshark a une longue histoire de bogues de sécurité dans les disecteurs (les plugins qui décrivent comment interpréter divers protocoles over-the-wire). Pour cette raison, il est plus sûr de réaliser vos captures avec un outil plus simple tel que tcpdump, puis d'utiliser WireShark pour les interpréter comme un utilisateur non privilégié.

Charles Duffy
la source
1

Cela dépend vraiment de ce qui se trouve sur votre machine. Utilisez-vous un ordinateur portable de rechange juste pour renifler? Exécutez ensuite en tant que root. Si vous avez des données importantes sur cette machine, exécutez tcpdump à partir du cli et utilisez wirehark pour analyser le trafic.

accélère les images
la source