2 votes

pd12 avatar

Y a-t-il un problème sérieux avec l'activation du bit SUID sur tcpdump ?

Demandé el 12 de Octobre, 2012
Quand la question a-t-elle été
1153 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'exécute tcpdump sur une machine distante, et j'envoie la sortie à Wireshark sur ma machine locale par SSH. Pour ce faire, j'ai dû activer le bit SUID sur tcpdump.

Pour rappel, la machine distante est un Amazon EC2 exécutant "Amazon Linux AMI 2012.09". Sur cette image, il n'y a pas de mot de passe root, et il n'est pas possible de se connecter en tant que root. Vous ne pouvez pas utiliser sudo sans un TTY, et vous devez donc définir le SUID.

Quels sont les risques pratiques d'activer ce bit sur tcpdump ? Est-il nécessaire d'être paranoïaque ? Devrais-je le désactiver chaque fois que je ne capture pas ?

Demandé el 12 de Octobre, 2012 par pd12

Réponses

Trop de publicités?

3voto

Serge avatar
Serge Points 2665

Cela signifie que tous ceux qui ont Shell accès à cette machine peut utiliser tcpdump pour capturer le trafic. La paranoïa n'est pas une mauvaise chose quand on parle de sécurité. Vous pouvez éventuellement oublier que vous l'avez configuré suid et à un certain jour vous donnerez l'accès Shell à quelqu'un à qui vous ne pouvez pas faire pleinement confiance. Je crois que vous ne voulez pas cela. Je pense que vous devriez envisager d'utiliser sudo à exécuter tcpdump de votre compte. Il est possible de définir le sudo de ne pas demander un mot de passe pour un utilisateur spécifique et pour des commandes spécifiques.

Répondu el 12 de Octobre, 2012 par Serge (2665 Points )

1voto

Valor avatar
Valor Points 481

Sur la base de votre demande de commentaire, voici comment j'ai réussi à faire fonctionner le tcpdump à distance à travers sudo vers wireshark :

ssh user@host sudo tcpdump -s0 -w - | wireshark -k -i -

Notes : J'ai ajouté s0 pour capturer l'ensemble des paquets.

J'ai juste fait un script enveloppant qui exécute exactement cela mais vous devez seulement donner les informations d'identification ssh et un filtre optionnel pour tcpdump. Vous pouvez le télécharger à partir de ici

Répondu el 13 de Octobre, 2012 par Valor (481 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X