tcpdump: out.pcap: การอนุญาตถูกปฏิเสธ


15
[root@localhost ~]# cat /etc/issue
Fedora release 17 (Beefy Miracle)
Kernel \r on an \m (\l)
[root@localhost ~]# uname -a
Linux localhost.localdomain 3.6.10-2.fc17.i686 #1 SMP Tue Dec 11 18:33:15 UTC 2012 i686 i686 i386 GNU/Linux
[root@localhost ~]# tcpdump -i p3p1 -n -w out.pcap -C 16
tcpdump: out.pcap: Permission denied

ทำไมฉันถึงได้รับข้อผิดพลาด?

ฉันควรทำอย่างไรดี?

คำตอบ:


21

ฉันลองบน Centos 5 ยังคงเหมือนเดิมแม้ในโฟลเดอร์ tmp หรือ root จากหน้า tcpdump man สิทธิ์จะลดลงเมื่อใช้กับตัวเลือก -Z (เปิดใช้งานโดยค่าเริ่มต้น) ก่อนที่จะเปิดไฟล์แรก เนื่องจากคุณระบุ "-C 1" การอนุญาตที่ถูกปฏิเสธเกิดขึ้นเนื่องจากขนาดไฟล์ถึง 1 แล้วและเมื่อสร้างไฟล์ใหม่มันจะทำให้เกิดข้อผิดพลาดในการอนุญาตที่ถูกปฏิเสธ ดังนั้นเพียงระบุผู้ใช้ -Z

# strace tcpdump -i eth0 -n -w out.pcap -C 1
fstat(4, {st_mode=S_IFREG|0644, st_size=903, ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aea31934000
lseek(4, 0, SEEK_CUR)                   = 0
read(4, "root:x:0:root\nbin:x:1:root,bin,d"..., 4096) = 903
read(4, "", 4096)                       = 0
close(4)                                = 0
munmap(0x2aea31934000, 4096)            = 0
setgroups(1, [77])                      = 0
setgid(77)                              = 0
setuid(77)                              = 0
setsockopt(3, SOL_SOCKET, SO_ATTACH_FILTER, "\1\0\0\0\0\0\0\0\310\357k\0\0\0\0\0", 16) = 0
fcntl(3, F_GETFL)                       = 0x2 (flags O_RDWR)
fcntl(3, F_SETFL, O_RDWR|O_NONBLOCK)    = 0

recvfrom(3, 0x7fff9563d35f, 1, 32, 0, 0) = -1 EAGAIN (Resource temporarily unavailable)
fcntl(3, F_SETFL, O_RDWR)               = 0
setsockopt(3, SOL_SOCKET, SO_ATTACH_FILTER, "\1\0\17\0\0\0\0\0P\327\233\7\0\0\0\0", 16) = 0
open("out.pcap", O_WRONLY|O_CREAT|O_TRUNC, 0666) = -1 EACCES (Permission denied)
write(2, "tcpdump: ", 9tcpdump: )                = 9
write(2, "out.pcap: Permission denied", 27out.pcap: Permission denied) = 27
write(2, "\n", 1
)                       = 1
exit_group(1)                           = ?

คุณสามารถเห็นผลลัพธ์ strace ด้านบน tcpdump ลดสิทธิ์ลงในผู้ใช้และกลุ่ม pcap (77)

# grep 77 /etc/group
pcap:x:77:
# grep 77 /etc/passwd
pcap:x:77:77::/var/arpwatch:/sbin/nologin

จากหน้า man tcpdump, -C

# man tcpdump
       -C     Before writing a raw packet to a savefile, check whether the file is currently larger than file_size and, if so,
              close the current savefile and open a new one.  Savefiles after the first savefile will have the name  specified
              with  the -w flag, with a number after it, starting at 1 and continuing upward.  The units of file_size are mil-
              lions of bytes (1,000,000 bytes, not 1,048,576 bytes).

              **Note that when used with -Z option (enabled by default), privileges are dropped before opening first savefile.**


# tcpdump --help
tcpdump version 3.9.4
libpcap version 0.9.4
Usage: tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]
                [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
                [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
                [ -W filecount ] [ -y datalinktype ] [ -Z user ]
                [ expression ]

ระบุผู้ใช้เฉพาะกับผู้ใช้ -Z

# tcpdump -i eth0 -n -w out.pcap -C 1 -Z root
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
35 packets captured
35 packets received by filter
0 packets dropped by kernel     

8

ลองเรียกใช้คำสั่งจาก/tmpหรือไดเรกทอรีอื่น ๆ ที่สามารถเขียนได้ของโลก ฉันจำได้ว่ามีปัญหาเกี่ยวกับ tcpdump ในไดเรกทอรีที่ไม่สามารถเขียนได้ในโลกฉันไม่มีเงื่อนงำทำไม - :)

         cd /tmp
         tcpdump -i p3p1 -n -w out.pcap -C 16 

5

tcpdump ของคุณกำลังลดระดับสิทธิ์ไปยังผู้ใช้ 'tcpdump' ตรวจสอบหน้าคน ("-Z tcpdump" เป็นค่าเริ่มต้นและผู้ใช้ tcpdump ไม่มีสิทธิ์ในการเขียนโฮมรูทของรูท) ดังที่ Daniel T. บอกคุณให้เรียกใช้การจับภาพของคุณในไดเรกทอรีที่เขียนได้ทั่วโลกเช่น / tmp หรืออย่างน้อยไดเรกทอรีที่คุณให้สิทธิ์การเขียน 'tcpdump' แก่ผู้ใช้หรือกลุ่ม


5

เมื่อฉันวิ่งเข้าไปในนี้Permission deniedปัญหามันจะกลายเป็นว่าผมใส่นามสกุลที่ไฟล์แทน.cap .pcapเมื่อ RichL ชี้ให้เห็นในความคิดเห็นโปรไฟล์ AppArmor บน Ubuntu /etc/apparmor.d/usr.sbin.tcpdumpทำให้เกิดสิ่งนี้

  # uname -a ; lsb_release -a
  Linux bidder-lb4 3.2.0-76-virtual #111-Ubuntu SMP Tue Jan 13 22:33:42 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
  No LSB modules are available.
  Distributor ID: Ubuntu
  Description:    Ubuntu 12.04.5 LTS
  Release:        12.04
  Codename:       precise

5
ปรากฎโปรไฟล์ AppArmor สำหรับ Ubuntu (/etc/apparmor.d/usr.sbin.tcpdump) อนุญาตให้ไบนารี tcpdump เขียนลงไฟล์ที่มีนามสกุล. pcap เท่านั้น AppArmor เปิดอยู่ตามค่าเริ่มต้นใน Ubuntu ซึ่งทำให้ฉันไม่พอใจ
รวย L

3

SELinux ทำงานหรือไม่ ตรวจสอบโดยการพิมพ์เทอร์มินัล:

/usr/sbin/getenforce

ถ้ามันบอกว่าEnforcingคุณสามารถลองปิดการใช้งาน SELinux และลอง tcpdump อีกครั้งเพื่อดูว่า SE หยุดทำงานหรือไม่


@Hauke ​​Laging จากเอาต์พุต bash ของเขาดูเหมือนว่าเขากำลังรันคำสั่งจาก dir บ้านของ root
mako_reactor

1

ข้อความแสดงข้อผิดพลาดไม่สมเหตุสมผลสำหรับฉัน แม้ว่า SELinux เป็นคำอธิบายที่เป็นไปได้ คุณอาจมองใกล้สิ่งที่เกิดขึ้นโดยเริ่ม tcpdump ผ่าน strace:

strace tcpdump -i p3p1 -n -w out.pcap -C 16

1

คุณควรเปลี่ยนโหมดของไดเรกทอรีที่คุณใช้งาน tcpdump

chmod 777

ตอนนี้รันคำสั่ง tcpdump -vv -i ใด ๆ -s0 -w file_name.pcap

มันควรจะทำงาน ... !!


1
สำหรับค่าบางอย่างของ 'งาน' ตอนนี้คุณมีไดเรกทอรีซึ่งรวมถึงการจับแพ็คเก็ตซึ่งอาจมีข้อมูลที่ละเอียดอ่อนเปิดเผยอยู่ภายในซึ่งทุกคนสามารถเข้าถึงโฮสต์ได้ "เฮ้หมอฉันมีรูปย่อ" ไม่ควรตอบด้วยการตัดแขนขาไม่ว่าปัญหารูปขนาดย่อจะสมบูรณ์เพียงใดก็ตาม
DopeGhoti
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.