Eu tenho um usuário que está executando um mininet de chamada de pacote para simular redes na interface de loopback. Eles provavelmente precisarão usar o Wireshark para depurar as redes virtuais que criam. No entanto, temos uma política de rede rígida e a digitalização de pacotes na rede principal é proibida.
Existe alguma maneira de configurar o wireshark e restringi-lo para funcionar apenas com a interface de loopback?
Obrigado
Responder1
Parece que embora wiresharktenha a opção de selecionar a interface, permite substituí-la na interface gráfica.
Como tal, você pode dar sudoprivilégio para tcpdumpe ou tshark(wireshark em modo texto) para capturar pacotes e depois lê-los mais tarde com wireshark -r file.
Você tem a opção -i tcpdumpou tsharkchamá-la na linha de comando; você pode criar uma autorização sudo para tsharkou tcpdumpque permita que seu usuário a use apenas com -i interface; a interface principal de loopback geralmente está lono Linux
como em /etc/sudoers:
user ALL=NOPASSWD: /usr/sbin/tcpdump -i lo -s0 -w - --
O "--" é uma abreviação do argumento ´getopt` que analisa o padrão/chamada para parar argumentos para evitar que o usuário adicione mais interfaces do que aquela que está sendo permitida.
(Eu não defini um arquivo de captura propositalmente, para que o usuário redirecione o tráfego para um arquivo. Definir um arquivo de captura com um nome previsível como um usuário privilegiado a partir de uma rotina invocada por um usuário com menos privilégios tem implicações de segurança)
Eu lembraria que o usuário pode ver suas sudopermissões com
sudo -l
porque geralmente esses comandos precisam ser digitados literalmente, pois sudofuncionam sudo.