Wireshark

Wireshark gebruik ik zo nu en dan om mijn routerlogs te bekijken ivm de firewall van de router ,ik moet zeggen een heel mooi programa.
Het enige probleem is hij werkt alleen als root dat is wat ik begrepen heb niet goed:(.
Ik kom hier en daar wel wat tegen over dat Wireshark ook als user te gebruiken zou zijn maar op google zijn de uitleggen hier over niet te snappen voor mijn beperkte Linux kennis.
Ben ook bezig met syslog programas uit te proberen die ik in Yast onder software heb gedownload maar het lijkt dat die ook allemaal een root permissie nodig hebben.
Wat ik wel heb begrepen dat het mogelijk moet zijn om net als de opensuse firewall log onder var/log te lezen is ook zoiets te doen moet zijn met je router log.
Maar ik moet zeggen na heel wat googlen en proberen ik hier eigenlijk niet uitkom.
En ik hoop dat er wel meer gebruikers zijn die hun router log willen zien op de opensuse pc.En dit dus al voor elkaar hebben.:slight_smile:

Ha Pieter,

Dit is er één waar ik ook 's wat mee zou moeten. SSH geeft me al volledige toegang tot netwerken, routers van klanten, vrienden, maar ik weet dat wireshark daar een goed stuk gereedschap voor is. Zal nu meteen 's installeren. Als 't goed is weet jij al wat meer van de werking, ik zou zeggen dat we dan samen een heel eind moeten komen.

Hoi Knurpht

Als 't goed is weet jij al wat meer van de werking
Ik zou wel willen maar mijn probleem is dus dat ik ,wireshark alleen als root kan gebruiken.:
En wat ik overal lees is dat door de lange code wireshark dus behoorlijk onveilig is om te gebruiken als root.
Dus ik durf nu dus eigenlijk Wireshark niet meer te gebruiken.:(Ik kom wel tegen dat het ook als user is te gebruiken maar dat is best wel ingewikkeld.Daar kom ik dus niet uit.

google translation…

Hi
Het is alleen dumpcap die draait als root …

Maak een speciale groep via YaST en voeg jezelf aan, bijvoorbeeld vast te leggen

dan


chgrp capture /usr/bin/ dumpcap
setcap cap_net_raw, cap_net_admin+eip /usr/bin/dumpcap
/ CODE]


referenties;
http://wiki.wireshark.org/CaptureSetup/CapturePrivileges
http://anonsvn.wireshark.org/wireshark/trunk/doc/README.packaging

Translate maakt er niet echt iets leesbaars van, maar zo komen we er wel. Het gaat om de permissies van /usr/bin/dumpcap, die staan nu op root:root 755.

Dit zou je moeten doen:

  • Yast - Gebruikers en groepen - Groepen - voeg een groep " capture " toe, maar jezelf daar lid van
  • Verander het groepseigendom van /usr/bin/dumpcap naar capture:
chgrp capture /usr/bin/dumpcap

Let op, in het commando van Malcolm staat een spatie tussen /usr/bin en dumpcap, die hoort er niet. Voor uitleg van het daarop volgende commando ontbreekt mij de achtergrond kennis, maar ik zie daar zo geen dingen die fout zouden kunnen zijn. Voer dat dus ook uit

set cap_net_raw,cap_net_admin+eip /usr/bin/dumpcap

Om je eigen permissies (lid geworden van een nieuwe groep) te activeren is het het slimst om opnieuw op te starten en in te loggen.

Na deze wijzigingen vroeg wireshark via menu me nog eens om het root password. Geannuleerd omdat ik niet via root toegang iets wilde forceren. Daarna wireshark vanuit een terminal opgestart, en nu laat wireshark me keurig de interfaces zien, en als ik Start klik krijg ik te zien wat er allemaal gebeurt op de gekozen interface. Lijkt me goed. Daarna nog eens geprobeerd om het programma te starten vanuit het menu, en dat lukt nu ook probleemloos.

Ik ben er eens rustig voor gaan zitten om het eens te lezen.Oke ik maak aan de groep : capture.als ik dit doe moet ik ook een wachtwoord invullen.
Mijn vraag is is dit een nieuw wachtwoord of mijn user wachtwoord of mijn root wachtwoord.:\Ik denk ik zal het eerst maar eens vragen voor ik er een rommeltje van maak.

Voor de groep hoef je geen wachtwoord in te vullen. Je geeft de naam " capture " op, en vinkt jezelf aan als lid van de groep. Da’s alles. Als je je systeem herstart, en dan inlogt, hoor je nu ook bij de groep capture.

De andere 2 commando’s zetten wat rechten/permissies voor het programma dumpcap. Dat is daarna door jou te gebruiken als gebruiker, in plaats van alleen als root

Volgens mij heb ik alles uitgevoerd zoals je zij,maar het lukt me dus niet ik krijg niet de interfaces te zien:(.

Hi
Run as root;


chgrp users /usr/bin/dumpcap

Werkte e.e.a. gisteren als gebruiker, dan was dat eenmalig. Vandaag werkt wireshark opeens alleen nog maar als root. Heb even geprobeerd of Malcolm’s optie hier verandering in aanbrengt, maar nee.

Maar, niet getreurd. Heb de wireshark pagina’s maar eens doorzocht op permissies, en daar was-ie wel: het setuid bit voor dumpcap moet gezet worden, als je wireshark als gewone gebruiker wilt draaien:

su -c 'chgrp users /usr/bin/dumpcap && chmod 4755 /usr/bin/dumpcap'

De " su -c " zorgt ervoor dat wat tussen de enkele quotes staat als root uitgevoerd wordt, het commando bestaat uit 2 stukjes die na elkaar worden uitgevoerd. Het eerste stukje maakt dumpcap doen behoren tot de groep users, waarvan jezelf ook lid bent. Om er dan toch voor te zorgen dat dumpcap naar de netwerkinterfaces gaat met rootpermissies, is het tweede commando nodig. Dat zorgt ervoor dat dumpcap ongeacht de rechten van de gebruiker / applicatie die dumpcap aanroept toch met root rechten uitgevoerd wordt. En dan werkt e.e.a. bij mij prima. Ga nu nog even testen of dat na een reboot nog steeds zo is (heb wel veel heen en weer zitten klooien)

Werkte e.e.a. gisteren als gebruiker, dan was dat eenmalig
:)Ook die van Malcolm gedaan en dat werkt ook hier niet.

Na uitvoeren van genoemd samengesteld commando, werkt e.e.a. bij mij prima, met dien verstande dat ik bijna alles vanuit een terminalvenster opstart (oude gewoonte) en er in de door het pakket toegevoegde menu-item xdgsu gebruikt wordt om het programma te starten. Da’s verkeerd.
Klik met rechts op de groene kicker knop, klik “Programma’s bewerken”, ga naar Systeem - Monitor - klik Wireshark aan, en verander de commando regel in

/usr/bin/wireshark %f

Als je nu het programma start vanuit het menu, wordt je niet meer om het rootpassword gevraagd, draait het programma met gewone gebruikersrechten, en heeft dumpcap toch de rechten om de netwerk interfaces af te tasten.

:):)Bedankt voor de hulp hij werkt nu,begreep er niets van hoe het bij jou wel werkte en bij mij niet. Nu kan ik buiten sneeuw gaan ruimen:).
En later met een gerust hart met Wireshark aan de gang.
Was het nu alleen die laatste coderegel die het hem deed of waren die andere ook nodig.

Het heeft bij mij even geduurd tot het kwartje viel, moet dan terug naar mijn " oude UNIX tijd ". Er spelen twee dingen; waarom de keuzes gemaakt zijn zoals ze gemaakt zijn, kan ik niet zeggen, maar het lijkt erop dat de openSUSE packagers er de voorkeur aan geven om wireshark met hogere permissies te laten draaien. In je eigen lokale netwerk zal dat niet zoveel kwaad kunnen, maar de wireshark site geeft aan dat het niet aan te raden is.

  1. De menu entry laat wireshark via xdgsu ( vergelijk met kdesu, gnomesu ) opstarten, ergo met superuser permissies voor de gebruiker.
  2. Als je dat niet wilt, en wireshark als gewone gebruiker start, heeft dumpcap niet de rechten om de netwerk interfaces af te luisteren.

De commando’s passen de rechten van/voor dumpcap aan, de menuwijziging zorgt ervoor dat er niet meer om superuser toegang gevraagd wordt.