Мне нужно отслеживать сетевой трафик, и EtherApe, кажется, хорошая графическая утилита. Но Википедиявходговорит что-то вроде этого:
Security: EtherApe requires root privileges to run. As such, there can be risks to the machine(s) running EtherApe when connected to the internet.
Я не понимаю, нам нужно быть подключенными к Интернету, чтобы следить за ним. Он нам вообще не нужен, если мы не в сети, не так ли?
Если существует угроза безопасности, то какая она может быть и как ее правильно использовать?
решение1
Риск безопасности заключается в том, что если кто-то вас взломает и сможет сделать shell, у него будет root shell. К сожалению, это касается довольно многих вещей.
На самом деле нет способа окончательно защититься от этого, но обратный прокси может быть хорошим началом, а также отслеживанием патчей. Кроме того, используйте для этого выделенный сервер или виртуальную машину, у которой нет других функций, и держите ее в брандмауэре (в DMZ) от всего, к чему ей не нужен доступ.
решение2
Ему не нужно работать как root, ему просто нужно иметь возможность выполнять некоторые сетевые задачи, которые выходят за рамки обычных пользовательских разрешений. Просто используйте возможности linux, чтобы предоставить только эти разрешения, не предоставляя прав суперпользователя:
sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/etherape
Конечно, все равно есть небольшой риск разрешить пользователям отслеживать весь сетевой трафик, но ведь именно об этом вы и просите.