我需要監控網路流量,EtherApe 似乎是一個不錯的圖形實用程式。但維基百科入口像這樣說:
Security: EtherApe requires root privileges to run. As such, there can be risks to the machine(s) running EtherApe when connected to the internet.
我不明白,我們需要連接到互聯網才能監控它,如果我們離線,我們根本不需要它,不是嗎?
如果存在安全風險,可能是什麼以及如何正確使用它?
答案1
安全風險在於,如果有人攻擊你並設法加殼,他們將擁有 root shell。不幸的是,很多事情都是這樣。
確實沒有一種方法可以明確地防止這種情況,但反向代理可能是一個很好的開始,並且可以跟上補丁。此外,為此使用沒有其他功能的專用伺服器或虛擬機,並將其與不需要存取的所有內容隔離(在 DMZ 中)。
答案2
它不需要以 root 身分運行,它只需要能夠執行一些超出通常使用者權限的網路相關任務。只需使用 linux 功能僅授予這些權限而不授予超級使用者權限:
sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/etherape
當然,允許用戶監控所有網路流量仍然存在輕微風險,但這就是您所要求的。