« Wireshark » : différence entre les versions

De Wiki doc

(Ajout de la méthode du bit collant.)
(→‎Configuration : Actualisation de la section pour coller à Debian 11 (et épuration des explications))
 
Ligne 5 : Ligne 5 :
''Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie '''configuration''' qui suit.
''Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie '''configuration''' qui suit.
==Configuration==
==Configuration==
Par défaut, seul l'utilisateur root peut capturer les paquets. Nous allons utiliser une fonction de du noyau Linux afin de permettre à un utilisateur standard de le faire.
Par défaut, seul l'utilisateur ''root'' peut capturer les paquets (et ceux malgré le choix proposé à l'installation). Il convient alors d'utiliser la [https://forums.debian.net/viewtopic.php?p=370753 série d'actions] suivantes pour permettre son usage par un utilisateur standard (''root'' ne pouvant exécuter d'applications graphiques sous ''Gnome Wayland''...).


'''Création d'un groupe système dédié à la capture de trafic réseau'''
<syntaxhighlight lang="bash">
addgroup --system pcap
# Création du groupe "wireshark"
'''Ajout de notre utilisateur à ce groupe'''
groupadd wireshark
adduser toto pcap
# Ajout de l'utilisateur "yohan" à ce groupe
'''Modification des propriétés du programme dumpcap'''
usermod -a -G wireshark yohan
# Application de la modification à la session en cours (en pratique ne sert à rien)
newgrp wireshark
# Changement de groupe propriétaire pour le binaire de capture de paquets
chgrp wireshark /usr/bin/dumpcap
# Application des bons droits pour celui-ci
chmod 750 /usr/bin/dumpcap
# Ajout de capacités Linux permettant à un utilisateur standard de capturer des paquets
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
# Affichage des capacités Linux attribuées au binaire
getcap /usr/bin/dumpcap
# Pérennisation des droits dans dpkg pour persistance après une mise à jour de dumpcap
dpkg-statoverride --add root wireshark 750 /usr/bin/dumpcap
# Affichage des paramètres dpkg configurés
dpkg-statoverride --list /usr/bin/dumpcap
</syntaxhighlight>


Avant modifications :
{{info|Il est obligatoire de redémarrer le système pour que cela fonctionne (ça ne devait pas être suffisamment chiant...).}}
ls -lh `which dumpcap`
''-rwxr-xr-x 1 root root 62K 4 mars 18:04 /usr/bin/dumpcap''
 
Modifications :
chgrp pcap /usr/bin/dumpcap
chmod 750 /usr/bin/dumpcap
 
Après modifications :
ls -lh /usr/bin/dumpcap
''-rwxr-x--- 1 root pcap 62K 4 mars 18:04 /usr/bin/dumpcap''
 
'''Mémorisation de ces nouvelles propriétés par le gestionnaire de paquets Debian'''
dpkg-statoverride --add root pcap 750 /usr/bin/dumpcap
dpkg-statoverride --list /usr/bin/dumpcap
 
''Note : Toutes les mises à jour de paquets conserveront les changements de propriétés du programme en l'état.''
 
'''Modification du contexte de travail pour le programme ''dumpcap'' '''
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
 
[https://wiki.wireshark.org/CaptureSetup/CapturePrivileges ou]
 
setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
 
getcap /usr/bin/dumpcap
''/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip''
 
{{Info|Les modifications prendront effets à la prochaines reconnexion de l'utilisateur.}}
 
Vous constaterez que cette histoire de droits pour la capture des interfaces réseau est une vrai plaie qui revient régulièrement (ça ce remet par défaut tout seul au bout d'un moment et ça casse grave les couilles). Sachez qu'il est possible d'utiliser le bit collant sur le [https://wiki.wireshark.org/CaptureSetup/CapturePrivileges#Setting_network_privileges_for_dumpcap_if_your_kernel_and_file_system_don.27t_support_file_capabilities binaire dumpcap] afin de permettre son utilisation par un utilisateur standard sans avoir besoin de redémarrer:
chmod u+s /usr/bin/dumpcap
 
Ces droits dégagerons à la prochaine mise à jour mais au moins on peut utiliser le logiciel sans avoir à niquer le travail en cours en relançant la session (ce qui est déjà pas mal). Je n'ai rien de mieux en attendant une solution (mais qu'es qu'ils foutent les devs de cette merde ?!!).


=Filtres=
=Filtres=

Dernière version du 25 juin 2022 à 16:57

Installation et configuration

Installation

apt install wireshark

Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie configuration qui suit.

Configuration

Par défaut, seul l'utilisateur root peut capturer les paquets (et ceux malgré le choix proposé à l'installation). Il convient alors d'utiliser la série d'actions suivantes pour permettre son usage par un utilisateur standard (root ne pouvant exécuter d'applications graphiques sous Gnome Wayland...). 

# Création du groupe "wireshark"
groupadd wireshark
# Ajout de l'utilisateur "yohan" à ce groupe
usermod -a -G wireshark yohan
# Application de la modification à la session en cours (en pratique ne sert à rien)
newgrp wireshark
# Changement de groupe propriétaire pour le binaire de capture de paquets
chgrp wireshark /usr/bin/dumpcap
# Application des bons droits pour celui-ci
chmod 750 /usr/bin/dumpcap
# Ajout de capacités Linux permettant à un utilisateur standard de capturer des paquets
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
# Affichage des capacités Linux attribuées au binaire
getcap /usr/bin/dumpcap
# Pérennisation des droits dans dpkg pour persistance après une mise à jour de dumpcap
dpkg-statoverride --add root wireshark 750 /usr/bin/dumpcap
# Affichage des paramètres dpkg configurés
dpkg-statoverride --list /usr/bin/dumpcap

INFORMATION

Il est obligatoire de redémarrer le système pour que cela fonctionne (ça ne devait pas être suffisamment chiant...).

Filtres

Les filtres se tapent dans la barre en haut du logiciel

N'afficher que le protocole http 

http

Masquer le protocole http 

!http

N'afficher que le protocole http et dns 

http || dns

Note : On peut aussi mettre or.

Ne pas afficher le protocole http et dns 

!http && !dns

Note : On peut aussi mettre and.

Filtrer une adresse IP 

ip.src == 192.168.1.42

Source

Récupérée de « https://doc.ycharbi.fr/index.php?title=Wireshark&oldid=1373 »