Hallo ubuntuusers.de-Gemeinde!

Ich habe mich gerade vorhin hier angemeldet, um bei den Wireshark Wiki-Artikel eine wichtige Ergänzung zu machen. Es geht darum wie es ohne Root-Rechte möglich ist, Netzwerkverkehr mitzuschneiden.

Falls ich etwas übersehen- oder gar was falsch gemacht haben sollte, dann steinigt mich bitte nicht gleich.

Eventuell findet sich auch ein Jaunty oder Hardy Nutzer, der den beschriebenen Weg unter diesen beiden Releases testet?

Auf jeden Fall bitte ich darum, dass die Änderungen, die ich gemacht habe mal durchgesehen werden und zu verbessern, falls es nötig sein sollte.

Hi!

Willkommen im Forum, und besten Dank für die Verbesserung! Sieht gut aus, Syntax stimmt - schreib doch öfter was (ein Bindestrich zwischen admin und Gruppe fehlt, aber das ist meckern auf hohem Niveau )

so long
hank

Danke für die schnelle Antwort! Freut mich, wenn soweit alles passt! Ja, der Bindestrich, dieser Hund.... nie ist er da, wo man ihn braucht. Wenn es die Zeit zulässt, dann werde ich gerne öfters im Wiki arbeiten!

Es geht darum wie es ohne Root-Rechte möglich ist, Netzwerkverkehr mitzuschneiden.

Ich habe mir das mal angesehen

Nun benötigt Wireshark zum mitschneiden des Netzwerkverkehrs keine Root-Privilegien mehr. Der Benutzer muss lediglich der admin-Gruppe ^[4] angehören.

Das hört sich gut an, aber kann es sein, das es unter Ubuntu 8.04 noch nicht funktioniert? Die Grundbedingung gilt bei mir jedenfalls schon seit SuSE 8.01 und Ubuntu 4.10 als erfüllt aber seit Hard funktioniert Wireshark nur mit gksu richtig (ich sehe sonst keine Interfaces).

Systeminformation:

dakuan@blue:~$ cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=8.04
DISTRIB_CODENAME=hardy
DISTRIB_DESCRIPTION="Ubuntu 8.04.4 LTS"
dakuan@blue:~$ id
uid=1002(dakuan) gid=1002(dakuan) Gruppen=4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),105(scanner),107(fuse),115(admin),1002(dakuan)
dakuan@blue:~$ 

Der Basar funktioniert auch mit Maverick!

Tom

Zumindest bei mir (Ubuntu 10.04.2 LTS) funktioniert das Mitschneiden von Netzwerkverkehr gut, wenn man es wie beschrieben ohne Root-Rechte startet. Allerdings kann ich dann kein USB-Traffic mehr mitlesen. Liegt das an meiner Konfiguration? Wenn nicht, wäre es meiner Meinung nach eine Erwähnung im Artikel Wert, das man ohne Root-Rechte kein USB-Traffic mitlesen kann.

Moin,

im Artikel wird ja erst beschrieben, dass man Wireshark nicht mit Root-Rechten starten soll. Allerdings steht später unter Mitschneiden in der Tabelle

/!\ Hinweis: Da Wireshark mit Root-Rechten läuft, gehört diese Datei dann natürlich auch Root und kann mit normalen Benutzerrechten nicht gelesen werden. sudo chown hilft.

Das scheint mir inkonsistent, da ich von dem Programm aber keine Ahnung hab, sehe ich davon ab den Artikel ohne Rückmeldung zu editieren.

Hallo,

liest sich so, als wäre der "nicht mit sudo starten" Teil neuer als der Teil zum Mitschneiden...

Da ich Wireshark aber auch nicht nutzte kann ich auch nicht sagen, was jetzt wirklich richtig ist...

Gruß, noisefloor

Die aktuelle Version von Wireshark kenne ich jetzt nicht. Die alte Version mit "starten als User" und "starten als root" fand ich aber OK, denn es gibt da 2 grundsätzliche Probleme.

• Man benötigt Root Rechte, um die Netzwerkkarte dazu bewegen zu können alles mitzulesen.

• In einem Muliuser Netzwerk darf ein normaler User natürlich nicht den E-Mail Verkehr seines Nachbarn mitlesen können.

• Andererseits kann es sein, das er vom Administrator aufgefordert wird, bei einem bestimmten Problem SEINEN Verkehr mitzuschneiden und die Ergebnisdatei dem Administrator zwecks Auswertung zuzuschicken. Wenn das so nicht möglich ist, muss der Admin mit seinen Messgeräten anrücken (Fahrkosten) falls er die Daten nicht an irgendeinem Switch abgreifen kann.

Das sind eigentlich widersprüchliche Anforderungen an so ein Programm.

Als ich noch arbeiten durfte, hatte ich mich zuerst gewundert, dass die Arbeitskollegen, denen ich vorübergehend zugeteilt wurde, zwar Wireshark (Windows Version!) installiert hatten, aber im Gegensatz zu mir keine Administratorrechte hatten. Der Sinn wurde aber schnell klar, als ich bemerkte, das die Administratoren der Kundenfirmen den Projekbetreuern, die natürlich keinen Zugriff auf die Kundennetze hatten, die Protokolldateien der Problemfälle zugeschickt hatten. Hier war Wireshark also nur zum Lesen der zugeschickten Dateien installiert. Man muss sowas immer als Gesamtkonzept sehen, wo nicht alle Aufgaben und Möglichkeiten in einer Hand liegen.

Ich hatte damit ja auch schon etwas Ärger und finde, das dass auch entsprechend kommuniziert werden sollte, wobei ich jetzt nicht weiss ob das in die Zuständigkeit der Wireshark Macher fällt oder daran wie es in Ubuntu implementiert ist (auf meinen Debian Rechnern habe ich es noch nicht eingesetzt).

Huhu!

Im Artikel steht folgendes:

1

sudo chgrp admin /usr/bin/dumpcap

Führt man dies aus, erscheint eine Fehlermeldung:

1
2

flo@x201:~$ sudo chgrp admin /usr/bin/dumpcap
chgrp: ungültige Gruppe: „admin“

Schaut man sich die Gruppen an, sieht man, dass es mit Precise keine Gruppe admin (mehr) gibt:

1
2

flo@x201:~$ id
uid=1000(flo) gid=1000(flo) Gruppen=1000(flo),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),123(sambashare)

bzw

1
2

flo@x201:~$ groups
flo adm cdrom sudo dip plugdev lpadmin sambashare

Passt man den im Artikel verwendeten Befehl an, klappt es:

1

flo@x201:~$ sudo chgrp adm /usr/bin/dumpcap

Kann das mal jemand mit Natty und Oneiric testen, da diese Artikel noch nicht in der Versionierung angegeben sind.

Liebe Grüße,

Flo