Tengo un usuario que está ejecutando un paquete llamado mininet para simular redes en la interfaz loopback. Probablemente necesitarán utilizar Wireshark para depurar estas redes virtuales que crean. Sin embargo, tenemos una política de red estricta y está prohibido escanear paquetes en la red principal.
¿Hay alguna manera de configurar Wireshark y restringirlo para que funcione solo con la interfaz loopback?
Gracias
Respuesta1
Parece que si bien wiresharktiene una opción para seleccionar la interfaz, permite anularla en la interfaz gráfica.
Como tal, puede otorgar sudoprivilegios a tcpdumpy o tshark(Wireshark en modo texto) para capturar paquetes y luego leerlos más tarde con wireshark -r file.
Tiene la opción -i tcpdumpo tsharkllamarlo desde la línea de comando; puedes crear una autorización sudo para tsharko tcpdumpque le permita a tu usuario usarlo solo con -i interface; La interfaz principal de bucle invertido suele estar loen Linux.
como en en /etc/sudoers:
user ALL=NOPASSWD: /usr/sbin/tcpdump -i lo -s0 -w - --
El "--" es una abreviatura del estándar de análisis de argumentos ´getopt`/llamada para detener argumentos para evitar que el usuario agregue más interfaces de las que se le permiten.
(No he definido un archivo de captura a propósito, para que el usuario redirija el tráfico de un archivo. Definir un archivo de captura con un nombre predecible como un usuario privilegiado a partir de una rutina invocada por un usuario con privilegios inferiores tiene implicaciones de seguridad)
Recuerdo que el usuario puede ver sus sudopermisos con
sudo -l
porque normalmente estos comandos deben escribirse palabra por palabra tal como están sudopara que sudofuncionen.