Forum Debian Users Gang

prosze · 2014-12-26 18:48:01

Witam!

Chciałem umożliwić zwykłemu użytkownikowi uchruchamianie programu wymagającego uprawnień roota. Takim prgamem jest wireshark. Skorzystałem więc ze wskazówek umieszczonych na tej stonie http://wiki.wireshark.org/CaptureSetup/CapturePrivileges. Cytat z powyższej strony

Kod:

Other Linux based systems or other installation methods

Other Linux distributions may require that you give dumpcap sufficient privileges by hand.

Setting network privileges for dumpcap if your kernel and file system support file capabilities

1. Ensure that you have installed the necessary tools, such as the setcap command.

2. setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/sbin/dumpcap (NOTE: Replace /usr/sbin with /usr/bin in case you receive an error that indicates that dumpcap isn't in /usr/sbin)

3. Start Wireshark as non-root and ensure you see the list of interfaces and can do live capture.

Setting network privileges for dumpcap if your kernel and file system don't support file capabilities

In this case, you will need to make dumpcap set-UID to root.

1. chown root /usr/sbin/dumpcap (NOTE: Replace /usr/sbin with /usr/bin in this command and the next command in case you receive an error that indicates that dumpcap isn't in /usr/sbin)

2. chmod u+s /usr/bin/dumpcap

Limiting capture permission to only one group

After having set dumpcap's network privileges:

1. Create user "wireshark" in group "wireshark".

2. chgrp wireshark /usr/sbin/dumpcap

3. chmod o-rx /usr/sbin/dumpcap

5. Ensure Wireshark works only from root and from a user in the "wireshark" group

Zrobilem to co widać poniżej

Kod:

pic@debian:~$ su
Hasło: 
root@debian:/home/pic# chown root /usr/bin/dumpcap
root@debian:/home/pic# chmod u+s /usr/bin/dumpcap
root@debian:/home/pic# adduser wireshark
Dodawanie użytkownika "wireshark"...
Dodawanie nowej grupy "wireshark" (1001)...
Dodawanie nowego użytkownika "wireshark" (1001) w grupie "wireshark"...
Tworzenie katalogu domowego "/home/wireshark"...
Kopiowanie plików z "/etc/skel" ...
Proszę podać nowe hasło UNIX: 
Proszę ponownie podać hasło UNIX: 
passwd: hasło zostało zmienione
Zmieniam informację o użytkowniku wireshark
Wpisz nową wartość lub wciśnij ENTER by przyjąć wartość domyślną
    Imię i nazwisko []: 
    Numer pokoju []: 
    Telefon do pracy []: 
    Telefon domowy []: 
    Inne []: 
Czy informacja jest poprawna? [T/n] 
root@debian:/home/pic# chgrp wireshark /usr/bin/dumpcap
root@debian:/home/pic# chmod o-rx /usr/bin/dumpcap
root@debian:/home/pic# adduser wireshark root
Dodawanie użytkownika "wireshark" do grupy "root"...
Dodaję nowego użytkownika wireshark do grupy root
Gotowe.
root@debian:/home/pic# adduser pic wireshark
Dodawanie użytkownika "pic" do grupy "wireshark"...
Dodaję nowego użytkownika pic do grupy wireshark
Gotowe.
root@debian:/home/pic#

Po tych czynnościach nadal nie mogę urchuchamiać wireshark z konta zwykłego użytkownika. Oczywiście z konta root wszystko działa ok.

uzytkownikubunt · 2014-12-26 18:52:23

1372

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:05:30)

prosze · 2014-12-26 23:04:48

Jak wklepałem Twoje polecenia to działa ok. Nie wiem dlaczego, ale u mnie dumpcap jest w bin, a nie w sbin.

Kod:

chown root /usr/bin/dumpcap
chgrp wireshark /usr/bin/dumpcap
chmod u+rwx /usr/bin/dumpcap
chmod u+s /usr/bin/dumpcap
chmod g+rx /usr/bin/dumpcap
chmod o-rx /usr/bin/dumpcap

Dziękuje za pomoc.

Dodane

Tylko teraz jest inny problem, ponieważ po usunięciu użytkownika z grupy wireshark nadal posiada on prawo do uruchamiania tego programu. Założenie natomiast było takie, że po usunięciu użytkownika z grupy wireshark traci on ten przywilej.

Ostatnio edytowany przez prosze (2014-12-26 23:38:51)

Forum Debian Users Gang

Ogłoszenie

#1 2014-12-26 18:48:01

prosze - Użytkownik

Uruchamianie programu jako root

Kod:

Kod:

#2 2014-12-26 18:52:23

uzytkownikubunt - Zbanowany

Re: Uruchamianie programu jako root

#3 2014-12-26 23:04:48

prosze - Użytkownik

Re: Uruchamianie programu jako root

Kod:

Stopka forum