2 votes

pd12 avatar

Y a-t-il un problème sérieux avec le réglage du bit SUID sur tcpdump?

Demandé el 12 de Octobre, 2012
Quand la question a-t-elle été
1155 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je lance tcpdump sur une machine distante et redirige la sortie vers Wireshark sur ma machine locale via SSH. Pour ce faire, j'ai dû définir le bit SUID sur tcpdump.

Pour information, la machine distante est une Amazon EC2 exécutant "Amazon Linux AMI 2012.09". Sur cette image, il n'y a pas de mot de passe root et il n'est pas possible de se connecter en tant que root. Vous ne pouvez pas utiliser sudo sans un TTY, il est donc nécessaire de définir le SUID.

Quels sont les risques pratiques de définir ce bit sur tcpdump? Y a-t-il une nécessité d'être paranoïaque? Dois-je le désactiver chaque fois que je ne suis pas en train de capturer?

Demandé el 12 de Octobre, 2012 par pd12

Réponses

Trop de publicités?

3voto

Serge avatar
Serge Points 2665

Cela signifie que toute personne ayant un accès shell à cette machine peut utiliser tcpdump pour capturer le trafic. La paranoïa n'est pas une mauvaise chose lorsque l'on parle de sécurité. Vous pourriez éventuellement oublier que vous l'avez configuré en suid et un jour, vous donnerez l'accès shell à quelqu'un en qui vous ne pouvez pas faire entièrement confiance. Je pense que vous ne voulez pas cela. Je pense que vous devriez envisager d'utiliser sudo pour exécuter tcpdump depuis votre compte. Il est possible de configurer sudo pour ne pas demander de mot de passe pour un utilisateur spécifique et pour des commandes spécifiques.

Répondu el 12 de Octobre, 2012 par Serge (2665 Points )

1voto

Valor avatar
Valor Points 481

Sur la base de votre demande de commentaire, voici comment je l'ai fait pour faire passer le tcpdump distant via sudo à wireshark :

ssh utilisateur@hôte sudo tcpdump -s0 -w - | wireshark -k -i -

Remarques : J'ai ajouté s0 pour capturer l'ensemble des paquets.

J'ai juste créé un script wrapper qui exécute exactement cela mais vous avez seulement besoin de fournir les informations d'identification ssh et éventuellement un filtre optionnel pour tcpdump. Vous pouvez le télécharger ici

Répondu el 13 de Octobre, 2012 par Valor (481 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X