« Wireshark » : différence entre les versions
(→Configuration : Ajout du "setcap" officiel avec sa source dans le mot "ou".) |
(Ajout de la méthode du bit collant.) |
||
Ligne 42 : | Ligne 42 : | ||
{{Info|Les modifications prendront effets à la prochaines reconnexion de l'utilisateur.}} | {{Info|Les modifications prendront effets à la prochaines reconnexion de l'utilisateur.}} | ||
Vous constaterez que cette histoire de droits pour la capture des interfaces réseau est une vrai plaie qui revient régulièrement (ça ce remet par défaut tout seul au bout d'un moment et ça casse grave les couilles). Sachez qu'il est possible d'utiliser le bit collant sur le [https://wiki.wireshark.org/CaptureSetup/CapturePrivileges#Setting_network_privileges_for_dumpcap_if_your_kernel_and_file_system_don.27t_support_file_capabilities binaire dumpcap] afin de permettre son utilisation par un utilisateur standard sans avoir besoin de redémarrer: | |||
chmod u+s /usr/bin/dumpcap | |||
Ces droits dégagerons à la prochaine mise à jour mais au moins on peut utiliser le logiciel sans avoir à niquer le travail en cours en relançant la session (ce qui est déjà pas mal). Je n'ai rien de mieux en attendant une solution (mais qu'es qu'ils foutent les devs de cette merde ?!!). | |||
=Filtres= | =Filtres= |
Version du 14 avril 2019 à 19:26
Installation et configuration
Installation
apt install wireshark
Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie configuration qui suit.
Configuration
Par défaut, seul l'utilisateur root peut capturer les paquets. Nous allons utiliser une fonction de du noyau Linux afin de permettre à un utilisateur standard de le faire.
Création d'un groupe système dédié à la capture de trafic réseau
addgroup --system pcap
Ajout de notre utilisateur à ce groupe
adduser toto pcap
Modification des propriétés du programme dumpcap
Avant modifications :
ls -lh `which dumpcap` -rwxr-xr-x 1 root root 62K 4 mars 18:04 /usr/bin/dumpcap
Modifications :
chgrp pcap /usr/bin/dumpcap chmod 750 /usr/bin/dumpcap
Après modifications :
ls -lh /usr/bin/dumpcap -rwxr-x--- 1 root pcap 62K 4 mars 18:04 /usr/bin/dumpcap
Mémorisation de ces nouvelles propriétés par le gestionnaire de paquets Debian
dpkg-statoverride --add root pcap 750 /usr/bin/dumpcap dpkg-statoverride --list /usr/bin/dumpcap
Note : Toutes les mises à jour de paquets conserveront les changements de propriétés du programme en l'état.
Modification du contexte de travail pour le programme dumpcap
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
getcap /usr/bin/dumpcap /usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip
INFORMATION
Les modifications prendront effets à la prochaines reconnexion de l'utilisateur.Vous constaterez que cette histoire de droits pour la capture des interfaces réseau est une vrai plaie qui revient régulièrement (ça ce remet par défaut tout seul au bout d'un moment et ça casse grave les couilles). Sachez qu'il est possible d'utiliser le bit collant sur le binaire dumpcap afin de permettre son utilisation par un utilisateur standard sans avoir besoin de redémarrer:
chmod u+s /usr/bin/dumpcap
Ces droits dégagerons à la prochaine mise à jour mais au moins on peut utiliser le logiciel sans avoir à niquer le travail en cours en relançant la session (ce qui est déjà pas mal). Je n'ai rien de mieux en attendant une solution (mais qu'es qu'ils foutent les devs de cette merde ?!!).
Filtres
Les filtres se tapent dans la barre en haut du logiciel
N'afficher que le protocole http
http
Masquer le protocole http
!http
N'afficher que le protocole http et dns
http || dns
Note : On peut aussi mettre or.
Ne pas afficher le protocole http et dns
!http && !dns
Note : On peut aussi mettre and.
Filtrer une adresse IP
ip.src == 192.168.1.42