Estou tentando capturar tráfego de dentro de um namespace de rede e visualizá-lo no Wireshark no host como um usuário sem privilégios. Para fazer isso, estou executando tcpdumpdentro do namespace de rede de destino e gravando a captura em um pipe nomeado /tmp/fifoque pode ser acessado pelo host.
Quando tento visualizar esse tráfego no Wireshark no host executando wireshark -k -i /tmp/fifo, recebo a mensagem de erro:
Couldn't run dumpcap in child process: Permission denied
A execução ls -l /bin/dumpcapgera as permissões -rwxr-xr-- 1 root wireshark, o que explica por que dumpcapnão pode ser executada pelo usuário que não está no wiresharkgrupo.
Como o usuário está efetivamente apenas lendo bytes de um pipe, não são necessários privilégios ou capacidades de root. Eu poderia adicionar o usuário ao wiresharkgrupo, mas o dumpcapbinário tem capacidades que eu preferiria não conceder. Alternativamente, eu poderia remover capacidades dumpcape torná-lo executável por todos, o que, em um breve teste, funciona, mas pode apresentar dumpcapfalhas inesperadas, já que foi projetado para ser executado com essas capacidades.
Existe uma maneira mais direta de atingir meu objetivo?