_ [Linux] パケットキャプチャwiresharkをroot権限で実行すべきでない理由

Blogとかに書かれているwiresharkの実行例を見ていると、「rootでログインして実行」「sudoでwiresharkを実行」とか書かれていることが多いのでメモ。調査した環境はUbuntu 8.04 LTS。

□ パケットキャプチャwiresharkをroot権限で実行すべきでない理由
  
wiresharkをインストールしてsudoなどでroot権限で実行すると、下記のように
「rootユーザまたはグループで実行するのは危険な状態になる可能性があります」
という内容のダイアログが出てきます。
読まずにOK押しちゃっている人も多いでしょうが..。
  

  
かといって、Linuxでは一般ユーザの権限でwiresharkを実行した場合
メニューからCapture → Interfacesを選択しても、下記のように
ネットワークデバイスが見えず、パケットキャプチャできません。
  

(標準エラー出力には「dumpcap: There are no interfaces on which
a capture can be done」と出力されます。)
  
下記のURLに書かれているように、このメッセージは "セキュリティ上
wireshark自体をroot権限で動作させるのは、攻撃を受けた際に危険に
なる可能性がある" ため表示されています。
  
実際にwiresharkにはいくつかの脆弱性が見つかっており、そのたびに
修正が行われています。
  
The wireshark Wiki - Administrator/root account not required!
http://wiki.wireshark.org/Security#head-ac69042aeeb98cdaed2ec2ff1bd2c983fa03cffd
Wireshark - Security Advisories
http://www.wireshark.org/security/
--------------------------------------------------------------
【日本語訳】管理者/root権限は必要ありません！
  
多くのWiresharkユーザは、Wiresharkを動作させるのに管理者/root権限が
必要だと思っています。
  
rootアカウントを使用することは、攻撃を受けた際により危険になるので
良い考えではありません。攻撃が成功した場合は、すぐにシステム全体を
コントロールされるようになり、完全に信頼できない状態になってしまいます。
  
そもそも、Wiresharkの多くの関数は(非常に限られた)ユーザアカウントで
利用できるようになっています。特に、プロトコル解析部分には
多くのセキュリティ関係のバグが見つかっており、rootアカウントは
必要ありません。
  
唯一キャプチャを行う(のとキャプチャインタフェース情報を収集する)
のにrootアカウントが必要かもしれませんが、それでさえ常に"迂回して"
利用することができます。
やり方の詳細はCaptureSetup/CapturePrivilegesを参照してください。
--------------------------------------------------------------
  
  
□ wiresharkのよりセキュアな利用法
wiresharkをよりセキュアに利用する方法については以下に書いてあります。
  
The wireshark Wiki - Platform-Specific information about capture privileges
http://wiki.wireshark.org/CaptureSetup/CapturePrivileges
The wireshark Wiki - Development/Privilege Separation
http://wiki.wireshark.org/Development/PrivilegeSeparation

_ □ Debian/UbuntuでWiresharkを利用する方法メモ

$ sudo dpkg-reconfigure wireshark-common (ダイアログ表示されるので、「はい」を選び非特権ユーザでパケットキャプチャできるようにする) /usr/bin/dumpcapコマンドはwiresharkグループに属しており 実行するユーザもwiresharkグループに追加する必要があります。 $ sudo gpasswd -a (一般ユーザ名) wireshark ログアウトまたは再起動後に、wirehsarkを起動するとLAN/Wifiインタフェース等が 表示され、キャプチャできるようになります。

_ [Linux] wiresharkが日本語化されていない理由

wiresharkを起動した際に、日本語になっていないので翻訳しようと思ったのですが、翻訳されない理由を本家のWikiで見つけたのでそのメモ。

wiresharkのWikiには、Wiresharkが翻訳されない理由が書いてあります。
http://wiki.wireshark.org/Development/Translations
  
かいつまんで、いい加減に翻訳してみると...
----------------------------------------------------------------
* wiresharkはオープンソースなんで、やりたきゃ翻訳しても構いません。
  けど、下記の文章を読んでからにしてください。
* WiresharkそのものはGUI表示/解析結果出力/ドキュメント/Webなど
  現在は英語のみであり、RFCなどのプロトコルは英語ベースの情報です。
* 翻訳して一番メリットがあるのは解析結果出力だけど、600個もあって
  それぞれ翻訳文字列が大量にあるんで、不可能かもしれません。
* 中途半端な翻訳になるのは見苦しくないかい?
* ユーザガイドやGUIは翻訳できるけど、肝心なメッセージ出力が
  翻訳されてないままの状態だったら役に立つの?
* Wiresharkの開発コミュニティは小さいので、プログラムのメンテナンスや
  質問に答えるだけで精一杯で、翻訳に回す余力はありません。
* 結果として、全ての解析結果出力を翻訳するのは事実上不可能ですね。
  他の部分を翻訳してもあまり意味がないかもしれないし、Wiresharkの
  翻訳をするより、もっとほかのことに時間を使った方が良くないかい?
----------------------------------------------------------------
  
とまあ、英語圏のヒトの放漫さがちらりと見え隠れするものの
人的リソースが不足しているのと、中途半端に翻訳されていても
意味ないでしょ、という点についてまあ理解はできます。
やりたきゃ、やりたいヒトがプロジェクトに参加して
力を発揮すればいいわけだし。
  
ネットワーク関連用語は英語そのままのものも多いので
Wiresharkは本気で使って使いこなせるようになるのが良いでしょう。
プロトコルやパケット構造についてのネットワークの知識も必要ですが
wiresharkについて書かれた日本語の専門書も、入門書を含めて
5-6冊は出ていますので、それを参考にすると良いと思います。
  
...まあもし、Internet Protocol=インターネットプロトコルとか
Hypertext Transfer Protocol=ハイパーテキスト転送プロトコルとかのように
日本語で翻訳されても、IPとHTTPのことだってすぐに分からないですよね..。

4897976782 4897977967