Comments 23
UFO landed and left these words here

Откройте для себя tshark, он делает в принце тоже самое что и его win брат (Wireshark)

так он консольный? т.е. надо логиниться непосредственно на сервер?
Не в тему. «нашев»?, кошмар какой-то… Да что же это такое? Ну неужели можно быть настолько «узким» специалистом?
Вышев из дома и не нашев смысла жизни Розенталь умер так и не пришев в сознание.
Думаю НАЙДЯ. Хотя, ИМХО, тут просто предложение довольно сложное. Проще его переформулировать.
Вы изобрели велосипед )
Я под винду брал враперы из пакета eve-ng немного правил их под свои нужны.

На линуксе алиас:
alias rshark='OIFS=$IFS;IFS=,;rshark=( $(zenity --forms --title="Remote Shark"  --text="tcpdump parameters" --separator="," --add-entry="host*" --add-entry="interface*" --add-entry="filter" --add-entry="extra options")); [[ -n ${rshark[0]} && -n ${rshark[1]} ]] && ssh root@${rshark[0]} ${rshark[3]} "/usr/sbin/tcpdump -U -i ${rshark[1]} -s 0 -w - ${rshark[2]}" | wireshark -k -i - ;IFS=$OIFS;'


Я не изобретал, а сказал, что немного подпилил существующее решение. В частности добавил авторизацию на сервер по ключам, отдельного пользователя (чтобы не логиниться под рутом, обычно отключаю эту возможность в ssh) и хождение через socks-прокси из-под Windows
Как же это все сложно по виндой. Сам когда-то реализовывал нечто похожее, но забросил, т.к. было нестабильно.
В linux это делается одной строкой.
Там просто алиас со свистелками. Можно так, например:
ssh user@server sudo tcpdump -i eth0 'net 192.168.1.0/24 and not port 22' -s 0 -w - | wireshark -k -i -

Для user на server должно быть разрешено запускать sudo tcpdump без пароля.
tcpdump не нужно запускать от рута, чтобы открыть сетевое устройство для перехвата трафика. Выдайте /usr/sbin/tcpdump разрешения CAP_NET_RAW и CAP_NET_ADMIN:

setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

И прав рута не нужно будет для запуска
Да, так еще лучше. И еще проще, чем под виндой.
И почему «все» думают, что linux — это сложно?.. :)
Это понятно. Как и с setuid программами, рекомендуется устанавливать файловые ограничения какой группе пользователей можно иметь доступ к исполнению такого файла. Просто в отличии от sudo программа получит более ограниченный набор прав.
Прошу прощения за нубство, но нельзя ли объяснить подробно, что значит эта фраза?
утягиваем закрытый к себе через scp/winscp

Должен ли закрытый ключ остаться на linux-хосте в папке ~/.ssh?
Куда именно нужно скопировать этот самый закрытый ключ во время утягивания?
Спасибо!
Второй вопрос отпал после внимательного прочтения — надо скопировать ключ на Windows-хост (в моём случае c:\temp, например) для последующей конверсии при помощи puttygen. Первый вопрос пока актуален.
Only those users with full accounts are able to leave comments. Log in, please.