
Hace poco con las revelaciones de Wikileaks: Vault 7, y en su primera parte, denominada “Year Zero“, con mas de 8000 archivos filtrados de la CIA, donde se desvela el fuerte espionaje electrónico propiciado por la Agencia Central de Inteligencia, me encontré con un documento en el cual a la CIA parece haberle tocado sufrir el típico error que salta cuando en Ubuntu ejecutas Wireshark sin ser usuario Root, que no se ve ninguna interfaz, pues para ayudar a solventar el dichoso problema, hay un fichero por ahí dentro de los 8000, con la siguiente información:
Crear un grupo para Wireshark
sudo groupadd wireshark
Añadir tu nombre de usuario al Grupo de Wireshark
sudo usermod -a -G wireshark YOUR_USERNAME
Cambiar el grupo del propietario del fichero dumpcap a Wireshark
sudo chgrp wireshark /usr/bin/dumpcap
Cambiar los permisos del archivo dumpcap para permitir la ejecución del grupo Wireshark
sudo chmod 750 /usr/bin/dumpcap
Otorgar ‘capabilities’ con setcap
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
Para explicar las ‘capabilities’, debemos comentar que anteriormente la estructura fundamental del Kernel, distinguía entre dos categorías de procesos: ‘privilegiados’ y ‘sin privilegios’ los procesos con privilegios eran los que se ejecutaban con el usuario Root y los procesos sin privilegios eran los ejecutados por los demás usuarios. A partir del Kernel 2.2 se dividen los privilegios asociados al superusuario (root) en varias unidades (capabilities), las cuales pueden ser activadas y desactivadas. En el comando anterior, podemos ver que con setcap establecemos dos de estas ‘capabilities’ para el archivo dumpcap, su significado es el siguiente:
- CAP_NET_ADMIN – Permite realizar operaciones relacionadas con la red (Activar modo promiscuo, modificar tablas de enrutamiento, modificar la configuración de una interfaz).
- CAP_NET_RAW – Permite el acceso en bruto a una interfaz.
Una vez hecho el cambio se verifica
sudo getcap /usr/bin/dumpcap STDOUT = /usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip
Probarlo, a ver si como a mi, os funciona correctamente.
La información fue obtenida del siguiente enlace: https://wikileaks.org/ciav7p1/cms/page_15728950.html