|
Ehemalige
Anmeldungsdatum: Beiträge: 2595 Wohnort: Schweiz |
Lieber noisefloor Ich muss Dir nach etwas Recherche Recht geben. Wenn ein Paket in keiner auch nur halbwegs "normalen" Installation fehlt, ist die vorliegende Form besser. Andere Formulierungen, die ich im Kopf hatte, bezogen sich auf Fälle, wo ein Paket in bestimmten Versionen von Ubuntu fehlt (mit Version kann ein bestimmtes *ubuntu oder ein bestimmtes Release gemeint sein). Das kommt hier aber offenbar nicht vor. Deshalb sein lassen. Nichts für ungut. Lg X. |
||||
|
Anmeldungsdatum: Beiträge: 3741 |
Hallo,
dazu mal eine Verständnisfrage: Das Mitschneiden von Traffic sollte aus meiner Sicht nicht Hinz und Kunz können dürfen, dass schließt die Bearbeitung von Captures mit ein. Bei Anwendung von -Z wird das Capture mit User-Rechten anstelle von root Rechten versehen. Klar kann man das dann nachher einfacherer auswerten, aber soll das wirklich jeder? In /usr oder /etc fummelt ja auch nicht jeder rum. Den Nebenschauplatz Datenschutz lass ich mal außen vor ☺ |
||||
|
Anmeldungsdatum: Beiträge: 803 Wohnort: Hannover |
1.¶
Ein kleiner Hinweis meinerseits: Die "Anwendung von -Z" gelingt zunächst einmal ausschließlich mit Root-Rechten und NICHT mit User-Rechten. Daraus folgt logischerweise, dass hinter dem "-Z" möglichst ein dem Benutzer "root" genehmer eingeschränkter Benutzer stehen sollte. Und außerdem hat "root" ja immer noch den zusätzlichen Zugriff auf das Capture (neben dem ihm genehmen eingeschränkten Benutzer). Im Zweifelsfalle kann er doch das Capture gleich nach dessen Erstellung wieder mit Root-Rechten versehen! 2.¶In Anlehnung an diesen Post im Wiki-Forum Netzwerk-Monitoring schlage ich hiermit vor, im Abschnitt Links genauso wie bei Wireshark einen Link auf Netzwerk-Monitoring zu setzen! |
||||
|
Anmeldungsdatum: Beiträge: 3741 |
Ist das wirklich so? sudo tcpdump -Z $USER -K -p -w test sudo tcpdump -K -p -w test2 ausgeführt. Anschließend: ls -hal test* ergibt: -rw-r--r-- 1 ich ich 84K Dez 23 07:10 test -rw-r--r-- 1 root root 1,4M Dez 23 07:11 test2 Lesen kann die Datei dann zwar root, aber an den Eigenschaften kann er nichts ändern. M.E. ist die Begründung, die du anführst, nicht logisch. Letztlich geht das imho darum, dass tcpdump halt mit superuser Rechten aufgerufen werden muss, um alles mitschneiden zu können. Die eigentliche Auswertung soll dann wiederum nur durch ausgewählte Benutzer möglich sein. Das geht dann auch ohne sudo: tcpdump -ttttnnr test tcpdump -ttttnnr test2 Ich sehe da ehrlich gesagt keinen Sicherheitsgewinn: Man kann damit also das durch die Ausführung mit Root-Rechten [1] bzw. das gesetzte Setuid-Bit einhergehende Sicherheitsrisiko senken. Vorschlag: [...] angegebenen Benutzers geändert. Den gerade angemeldeten [...]. Die Änderung der Zugriffsrechte unmittelbar beim Capture kann sinnvoll sein, wenn die Auswertung durch einen gesonderten Personenkreis durchgeführt wird. |
||||
|
Anmeldungsdatum: Beiträge: 803 Wohnort: Hannover |
Bitte was? Mit chmod und chown kann er sehr wohl alles ändern!
Richtig, außer es geht halt automatisch via Setuid-Bit. Aber auch dabei könnte man das Flag Oder etwa nicht?
Wieso? Oder durch Root höchstselbst.
Bei mir zeigt er dann an: Command 'tcpdump' is available in '/usr/sbin/tcpdump' The command could not be located because '/usr/sbin' is not included in the PATH environment variable. This is most likely caused by the lack of administrative priviledges associated with your user account. tcpdump: command not found Es kommt also darauf an, ob '/usr/sbin' in der Umgebungsvariable PATH ist oder nicht.
Natürlich kann man das! Hast Du etwa nicht den in Sonderrechte enthaltenen Warn-Kasten gelesen: Achtung!Vor allem das "Set-UID-Recht" sollte nur mit äußerster Vorsicht angewandt werden! Besonders gefährlich ist es, das SUID-Bit bei Dateien zu setzen, die Besitz von Entsprechend und vor allem gilt das natürlich für die direkte Ausführung als Root bzw. sudo. Durch das Setzen des Flags
Ehrlich gesagt kann ich daraus nicht "schlau" werden! |
||||
|
Anmeldungsdatum: Beiträge: 3741 |
Ich schreibs noch mal klarer:
Das geht ja dann eben nicht mehr, da nur der Benutzer Rechte zum ändern hat.
Ich hab's jetzt mal anders nachgestellt und kann dich jetzt verstehen, wenngleich die Erklärung aus meiner Sicht verwirrend ist.
Letztlich werden 2 Prozesse - über den sudo Umweg - gestartet. Der sudo Prozess hat u.a. folgende Eigenschaften: Uid: 0 0 0 0 Gid: 1000 1000 1000 1000 Der tcpdump Prozess hat u.a. folgende Eigenschaften: Uid: 0 0 0 0 Gid: 0 0 0 0 Das gleiche mit -Z $USER:
Der sudo Prozess hat u.a. folgende Eigenschaften: Uid: 0 0 0 0 Gid: 1000 1000 1000 1000 Der tcpdump Prozess hat u.a. folgende Eigenschaften: Uid: 1000 1000 1000 1000 Gid: 1000 1000 1000 1000 Daher wird tcpdump ohne root gestartet, wobei das Ausnutzungspotenzial aus meiner Sicht gering ist und das auch nur für den Weg über sudo geht. Bei: sudo chmod u+s /usr/sbin/tcpdump tcpdump -i eth0 port 21 -w te3 tcpdump -Z $USER -i eth0 port 21 -w te4 ist es völlig unerheblich, da bei beiden Fällen die gleiche uid und gid genutzt wird. Von daher passen die Aussagen:
und
m.E. nicht. |
||||
|
Anmeldungsdatum: Beiträge: 803 Wohnort: Hannover |
Gut: Wenn Du's besser weißt, dann ändere bitte selber den Artikel, und zwar nach Deinem Gutdünken!!! |
||||
|
Anmeldungsdatum: Beiträge: 3741 |
Ich dachte das ist eine Diskussion zum Artikel, schadet doch nichts, drüber zu reden, oder doch? 😕 Ich warte mal noch ein Feedback ab, dann kann man den Artikel immer noch mal anpassen. |
||||
|
Anmeldungsdatum: Beiträge: 29567 |
Hallo, Tipp: wenn generelle Fragen zur Nutzung von tcpdump und dessen Optionen sind am _aller_besten einen Thread im passenden Supportforum starten - da Lesen in der Regel mehr Wissende mit als hier im Wikiforum - und DANN das neue gewonnene Wissen in den Wikiartikel einfließen lassen. Gruß, noisefloor |
||||
Anmeldungsdatum: Beiträge: Zähle... Wohnort: Aachen |
In der Manpage von Ubuntu 17.10 steht für die Option -s ein Standard wert von 262144 hier ist dokumentiert 65535. Das müsste mal jemand Prüfen und ggf. korrigieren. |
