我可以限制Wireshark只使用特定的接口吗？

Question

我有一个用户，他正在运行一个包，调用mininet来模拟回环界面上的网络。他们可能需要使用Wireshark来调试他们创建的虚拟网络。但是，我们有严格的网络策略，禁止在主网络上扫描数据包。

有任何方法可以配置wireshark并限制它只使用回送接口吗？

谢谢

Answer 1

虽然wireshark有选择接口的选项，但它允许在图形界面中重写它。

因此，您可以为sudo赋予tcpdump和或tshark (文本模式wireshark)捕获数据包的权限，然后使用wireshark -r file读取它们。

您可以在tcpdump或tshark中选择从命令行调用它；您可以创建对tshark或tcpdump的sudo授权，允许用户只在-i interface中使用；在Linux中，主回送接口通常是lo。

如在/etc/sudoers中：

user ALL=NOPASSWD: /usr/sbin/tcpdump -i lo -s0  -w - --

"--“是”getopt`“参数解析标准/停止参数调用的缩写，以防止用户添加比它所允许的界面更多的界面。

(我没有在目的上定义捕获文件，因此用户可以重定向文件的流量。从从低特权用户调用的例程中将具有可预测名称的捕获文件定义为特权用户具有安全性)

我记得用户可以看到他们的sudo权限

sudo -l

因为通常这样的命令必须像在sudo中那样逐字输入，这样sudo才能工作。