担心以 root 身份运行 Wireshark

担心以 root 身份运行 Wireshark

我已开始Wireshark在我的 Ubuntu 机器上,发现没有可以监听的接口。所以我以 root 身份启动它。这使我可以访问所有接口,但出现了一个警告:

以“root”组内的用户“root”身份运行 Wireshark。这可能很危险...

那么,这危险吗?否则,我如何监听接口?

答案1

Wireshark 正在快速接近两百万行代码. 您不应以 root 身份运行它们,原因与您不应以 root 身份运行 Firefox、OpenOffice、GIMP 或任何其他类似大小的应用程序相同。

在 Linux 上,您不需要 root 权限即可捕获数据包。您只需要 CAP_NET_ADMIN 和 CAP_NET_RAW 权限。在大多数发行版中,这是易于启动和运行Ubuntu 尚未默认执行此操作,但希望它会在未来的某个时刻

答案2

根据Wireshark 官方维基您不应该以 root 身份运行它。

Wireshark 已实现权限分离,这意味着 Wireshark GUI(或 tshark CLI)可以作为普通用户运行,而 dumpcap 捕获实用程序则以 root 身份运行。这可以通过安装 dumpcap setuid root 来实现。此解决方案的优点是,虽然 dumpcap 以 root 身份运行,但 Wireshark 的绝大部分代码都以普通用户身份运行(这样造成的损害就小得多)。

相反,使用 root 权限来转储dumpcaptcpdump然后使用 Wireshark 进行分析。

答案3

Wireshark 的解析器(描述如何解释各种网络协议的插件)长期以来一直存在安全漏洞。因此,使用 tcpdump 等更简单的工具执行捕获,然后使用 wireshark 以非特权用户身份对其进行解释,这样更安全。

相关内容