Zeek集群在pcap_error: socket:操作不允许(pcap_activate)中失败

Question

我试图在3 Ubuntu18.04 LTS主机上设置Zeek集群(v.3.2.0-dev.271)，但没有效果--运行zeek deploy命令失败，输出如下：

fatal error: problem with interface ens3 (pcap_error: socket: Operation not permitted (pcap_activate))

我遵循了正式文件 (充其量是相当通用的)，并在zeek节点之间设置了无密码SSH身份验证。

我还先发制人地在所有主机上创建了/usr/local/zeek路径，并授予zeek用户对该目录的完全权限。文件上写着The Zeek user must be able to either create this directory or, where it already exists, must have write permission inside this directory on all hosts.

文档还说on the worker nodes this user must have access to the target network interface in promiscuous mode.

我的zeek用户是所有3个节点上的sudoer和netdev组的成员。然而，集群部署失败。显然，当zeekctl建立到工人的SSH连接时，它无法获得网络接口并设置上限。

最后，通过遵循这文章，我成功地运行了集群--但是它要求您将整个集群设置为根，如果可能的话，我想避免这种情况。

所以我的问题是，是否有明显的证据表明我错过了什么？据我所知，这个设置应该工作，否则我不知道如何在它应该在工作人员上运行的每个SSH命令前面强制zeekctl运行'sudo‘，或者如何满足这个要求。

如有任何指导将不胜感激，谢谢！

Answer 1

所以，万一其他人在同样的问题上绊倒了-我弄清楚了发生了什么。我用可抗简化了集群部署(在任务级别使用了“变得”指令)，并且在运行负责发出zeekctl deploy命令的处理程序时没有提升。一旦我这样做了，Zeek集群部署就成功了。

Answer 2

对于独立的设置，我也遇到了同样的错误。在谷歌上发现了这个问题。更多的谷歌错误给我带来了几个博客，其中一个评论中提到了同样的错误。作者提到使用setcap授予二进制文件权限：

$sudo setcap cap_net_raw,cap_net_admin=eip /usr/local/zeek/bin/zeek

$sudo setcap cap_net_raw,cap_net_admin=eip /usr/local/zeek/bin/zeekctl

在运行它们之后，我的zeek实例现在正在成功运行。

来源：https://www.ericooi.com/zeekurity-zen-part-i-how-to-install-zeek-on-centos-8/#comment-1586