Ich habe einen Benutzer, der ein Paket namens Mininet ausführt, um Netzwerke auf der Loopback-Schnittstelle zu simulieren. Er wird wahrscheinlich Wireshark verwenden müssen, um diese virtuellen Netzwerke, die er erstellt, zu debuggen. Wir haben jedoch eine strenge Netzwerkrichtlinie und das Scannen von Paketen im Hauptnetzwerk ist verboten.
Gibt es eine Möglichkeit, Wireshark so zu konfigurieren, dass es nur mit der Loopback-Schnittstelle funktioniert?
Danke
Antwort1
Es scheint, dass zwar wiresharkeine Option zur Auswahl der Schnittstelle vorhanden ist, diese aber in der grafischen Schnittstelle überschrieben werden kann.
Sie können also und oder (Wireshark im Textmodus) sudodie Berechtigung erteilen, Pakete zu erfassen und diese dann später mit zu lesen .tcpdumptsharkwireshark -r file
Sie haben die Möglichkeit -i in tcpdumpoder tsharkes von der Kommandozeile aus aufzurufen; Sie können eine sudo-Autorisierung für tsharkoder erstellen tcpdump, die es Ihrem Benutzer erlaubt, es nur mit zu verwenden -i interface; die Haupt-Loopback-Schnittstelle ist in der Regel loin Linux
wie in in /etc/sudoers:
user ALL=NOPASSWD: /usr/sbin/tcpdump -i lo -s0 -w - --
Das „--“ ist eine Abkürzung des Argumentanalysestandards/-aufrufs „getopt“ für Stoppargumente, um zu verhindern, dass der Benutzer mehr Schnittstellen hinzufügt als erlaubt.
(Ich habe absichtlich keine Erfassungsdatei definiert, damit der Benutzer den Datenverkehr für eine Datei umleiten muss. Das Definieren einer Erfassungsdatei mit einem vorhersehbaren Namen als privilegierter Benutzer aus einer Routine, die von einem Benutzer mit niedrigeren Privilegien aufgerufen wird, hat Auswirkungen auf die Sicherheit.)
Ich möchte daran erinnern, dass der Benutzer seine Berechtigungen sehen kann sudomit
sudo -l
denn normalerweise müssen solche Befehle wortwörtlich eingetippt werden, damit sie sudofunktionieren sudo.