Início / computer / Perguntas / 1894053
Accepted
viv55
Asked: 2025-04-25 21:05:07 +0800 CST

Como capturar do pipe como um usuário sem privilégios com o Wireshark?

  • 772

Estou tentando capturar tráfego de dentro de um namespace de rede e visualizá-lo no Wireshark no host como um usuário sem privilégios. Para fazer isso, estou executando tcpdumpdentro do namespace de rede de destino e gravando a captura em um pipe nomeado /tmp/fifoque pode ser acessado pelo host.

Quando tento visualizar esse tráfego no Wireshark no host executando wireshark -k -i /tmp/fifo, recebo a mensagem de erro:

Couldn't run dumpcap in child process: Permission denied

A execução ls -l /bin/dumpcapgera as permissões -rwxr-xr-- 1 root wireshark, o que explica por que dumpcapnão pode ser executada pelo usuário que não está no wiresharkgrupo.

Como o usuário está efetivamente apenas lendo bytes de um pipe, não são necessários privilégios ou capacidades de root. Eu poderia adicionar o usuário ao wiresharkgrupo, mas o dumpcapbinário tem capacidades que eu preferiria não conceder. Alternativamente, eu poderia remover capacidades dumpcape torná-lo executável por todos, o que, em um breve teste, funciona, mas pode apresentar dumpcapfalhas inesperadas, já que foi projetado para ser executado com essas capacidades.

Existe uma maneira mais direta de atingir meu objetivo?

linux

1 respostas

  1. Best Answer

    Resposta atualizada:

    O Wireshark procura dumpcapno mesmo local que o wiresharkbinário ( 1 , 2 ).

    1. Copie os dois executáveis ​​para um diretório diferente:

      cp /bin/wireshark /bin/dumpcap ~/tmp

      O binário dumpcap agora é seu e executável.

    2. Execute o Wireshark a partir desse diretório:

      ~/tmp/wireshark -k -i ...

    Resposta anterior (quando pensei que o /usr/bin/dumpcapcaminho estava codificado em tempo de compilação):

    Se o seu sistema tiver namespaces de usuários sem privilégios disponíveis ( unshare --user), você pode sobrepor o /bin/dumpcap com um que tenha permissões diferentes.

    1. Faça uma cópia de sua propriedade:

      cp /bin/dumpcap ~/tmp/dumpcap

    2. Insira um namespace de usuário, no qual você pode ter recursos de root – e que também lhe dá privilégios para criar um namespace de montagem ao mesmo tempo:

      unshare --user [--map-current-user] --keep-caps --mount --propagation=private

      Isso --keep-capspermite que você invoque diretamente mountdentro do namespace, pois não será possível fazer sudonada (/bin/sudo pertence à raiz "externa", que você não tem permissão para mapear no namespace).

    3. Dentro do shell do namespace, monte sua cópia do dumpcap no caminho esperado pelo Wireshark e execute o Wireshark de dentro do mesmo shell:

      mount --bind ~/tmp/dumpcap /bin/dumpcap

wireshark -k -i ...
    • 4

relate perguntas