usbmon (wireshark, tshark) для обычного пользователя

9

У меня установлен libpcap с последней версией cvs. Обычные пользователи могут запускать Wireshark и tshark. В частности, они были добавлены в группу wireshark и могут захватывать с

1. eth0
2. br0
3. nflog (Linux netfilter log (NFLOG) interface)
4. nfqueue (Linux netfilter queue (NFQUEUE) interface)
5. any (Pseudo-device that captures on all interfaces)
6. lo

К сожалению, они не видят устройства usbmon, которые делает root:

1. eth0
2. br0
3. nflog (Linux netfilter log (NFLOG) interface)
4. nfqueue (Linux netfilter queue (NFQUEUE) interface)
5. usbmon1 (USB bus number 1)
6. usbmon2 (USB bus number 2)
7. usbmon3 (USB bus number 3)
8. usbmon4 (USB bus number 4)
9. usbmon5 (USB bus number 5)
10. usbmon6 (USB bus number 6)
11. usbmon7 (USB bus number 7)
12. any (Pseudo-device that captures on all interfaces)
13. lo

tshark -DОт имени root перечисляет все устройства usbmon. Однако обычный пользователь не может видеть устройства usbmon с wireshark или tshark.

Как сделать устройства usbmon доступными для пользователей группы wireshark?

d-куб
источник

Ответы:

6

Я решил эту проблему, создав группу пользователей, которая должна иметь возможность использовать usbmon, а затем позволить udev сменить владельца устройства. Так что просто создайте группу, добавьте своего пользователя в группу и поместите правило udev в "/etc/udev/rules.d":

addgroup usbmon
gpasswd -a $USER usbmon
echo 'SUBSYSTEM=="usbmon", GROUP="usbmon", MODE="640"' > /etc/udev/rules.d/99-usbmon.rules

И последнее, но не менее важное: либо перезагрузите компьютер, либо убедитесь, что пользователь действительно находится в группе, и активируйте udev или rmmodи modprobeснова.

YPID
источник
Сделал это роль Ansible: udev-usbmon
ypid
Спасибо. Я давно искал решение для udev.
FazJaxton
5

Я нашел ответ здесь .

Чтобы позволить пользователям wireshark (добавленным в группу wireshark) захватывать данные USB, необходимо изменить разрешения для usbmon:

chmod o=rw /dev/usbmon*

Другой ответ почти на тот же вопрос (с альтернативным ответом) находится здесь .

d-куб
источник
0

С wireshark.org :

Вам необходимо запустить Wireshark или TShark для учетной записи с достаточными привилегиями для захвата или предоставить учетной записи, под которой вы используете Wireshark или TShark, достаточные привилегии для захвата.

STDERR
источник
1
Учетная запись имеет достаточные привилегии для захвата - только не usbmon, видимо.
d-cubed