Ghi nhật ký bộ lọc gói [hiện có tcpdump trong nền là root]

Tôi đang chạy OS X Mavericks và sử dụng tường lửa "bộ lọc gói". Tuy nhiên, dường như "pflogd" không có sẵn.

Tôi thấy rằng bạn có thể tạo một giao diện có tên pflog0 và sau đó sử dụng tcpdump để xem các gói mà pf đã bỏ. Tuy nhiên, tôi muốn có một tệp nhật ký.

Giải pháp của tôi là tạo ra một trình khởi chạy và tạo giao diện này khi khởi động, khởi chạy tcpdump (với quyền root) và đăng nhập mọi thứ vào /var/pf.log; nó hoạt động hoàn hảo.

Tuy nhiên tôi hơi lo ngại về việc tcpdump chạy cả ngày ở chế độ root trong nền, tôi có nên không?

Cảm ơn bạn

Tôi không biết OS X Mavericks nhưng tôi đã thử nó trên OS X Mountain (không phải lúc khởi động):

Chỉnh sửa tập tin /etc/sudoers

Thêm vào như sau để ngăn hỏi mật khẩu:

youruser ALL=(ALL) NOPASSWD: /usr/sbin/tcpdump

Bắt đầu tcpdump trong nền và đăng nhập để chụp tệp (điểm chính ở đây là & Điều đó làm cho lệnh chạy trong nền):

sudo tcpdump -i pflog0 -s 0 -B 524288 -w ~/Desktop/myfile.pcap &

Để ngăn chặn tcpdump, giết nó bằng cách lấy id tiến trình của nó:

ps -ef
sudo kill pid

Để mở tệp chụp:

tcpdump -s 0 -n -e -x -vvv -r ~/Desktop/myfile.pcap

Tôi thấy rằng tcpdump không yêu cầu sudo khi nghe trên giao diện (không có tùy chọn đặc biệt), tôi nghĩ rằng nó đã ...

Dù sao, tôi chỉ có thể tạo giao diện với tập lệnh trong / Library / LaunchDaemons và khởi chạy tcpdump với tập lệnh khác trong ~ / Library / LaunchAgents và cho phép đăng nhập. Tất cả đều hoạt động tốt :)