« Wireshark » : différence entre les versions

De Wiki doc

(→‎Configuration : Ajout du "setcap" officiel avec sa source dans le mot "ou".)
(Ajout de la méthode du bit collant.)
Ligne 42 : Ligne 42 :


{{Info|Les modifications prendront effets à la prochaines reconnexion de l'utilisateur.}}
{{Info|Les modifications prendront effets à la prochaines reconnexion de l'utilisateur.}}
Vous constaterez que cette histoire de droits pour la capture des interfaces réseau est une vrai plaie qui revient régulièrement (ça ce remet par défaut tout seul au bout d'un moment et ça casse grave les couilles). Sachez qu'il est possible d'utiliser le bit collant sur le [https://wiki.wireshark.org/CaptureSetup/CapturePrivileges#Setting_network_privileges_for_dumpcap_if_your_kernel_and_file_system_don.27t_support_file_capabilities binaire dumpcap] afin de permettre son utilisation par un utilisateur standard sans avoir besoin de redémarrer:
chmod u+s /usr/bin/dumpcap
Ces droits dégagerons à la prochaine mise à jour mais au moins on peut utiliser le logiciel sans avoir à niquer le travail en cours en relançant la session (ce qui est déjà pas mal). Je n'ai rien de mieux en attendant une solution (mais qu'es qu'ils foutent les devs de cette merde ?!!).


=Filtres=
=Filtres=

Version du 14 avril 2019 à 19:26

Installation et configuration

Installation

apt install wireshark

Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie configuration qui suit.

Configuration

Par défaut, seul l'utilisateur root peut capturer les paquets. Nous allons utiliser une fonction de du noyau Linux afin de permettre à un utilisateur standard de le faire.

Création d'un groupe système dédié à la capture de trafic réseau

addgroup --system pcap

Ajout de notre utilisateur à ce groupe

adduser toto pcap

Modification des propriétés du programme dumpcap

Avant modifications :

ls -lh `which dumpcap`
-rwxr-xr-x 1 root root 62K 4 mars 18:04 /usr/bin/dumpcap

Modifications :

chgrp pcap /usr/bin/dumpcap
chmod 750 /usr/bin/dumpcap

Après modifications :

ls -lh /usr/bin/dumpcap
-rwxr-x--- 1 root pcap 62K 4 mars 18:04 /usr/bin/dumpcap

Mémorisation de ces nouvelles propriétés par le gestionnaire de paquets Debian

dpkg-statoverride --add root pcap 750 /usr/bin/dumpcap
dpkg-statoverride --list /usr/bin/dumpcap

Note : Toutes les mises à jour de paquets conserveront les changements de propriétés du programme en l'état.

Modification du contexte de travail pour le programme dumpcap

setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

ou

setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

INFORMATION

Les modifications prendront effets à la prochaines reconnexion de l'utilisateur.

Vous constaterez que cette histoire de droits pour la capture des interfaces réseau est une vrai plaie qui revient régulièrement (ça ce remet par défaut tout seul au bout d'un moment et ça casse grave les couilles). Sachez qu'il est possible d'utiliser le bit collant sur le binaire dumpcap afin de permettre son utilisation par un utilisateur standard sans avoir besoin de redémarrer:

chmod u+s /usr/bin/dumpcap

Ces droits dégagerons à la prochaine mise à jour mais au moins on peut utiliser le logiciel sans avoir à niquer le travail en cours en relançant la session (ce qui est déjà pas mal). Je n'ai rien de mieux en attendant une solution (mais qu'es qu'ils foutent les devs de cette merde ?!!).

Filtres

Les filtres se tapent dans la barre en haut du logiciel

N'afficher que le protocole http

http

Masquer le protocole http

!http

N'afficher que le protocole http et dns

http || dns

Note : On peut aussi mettre or.

Ne pas afficher le protocole http et dns

!http && !dns

Note : On peut aussi mettre and.

Filtrer une adresse IP

ip.src == 192.168.1.42

Source