Precedente :: Successivo |
Autore |
Messaggio |
cheyenne Semidio
Registrato: 29/10/07 22:48 Messaggi: 232
|
Inviato: 02 Feb 2008 23:57 Oggetto: richiesta password |
|
|
come si fa a toglierla? è una vera scocciatura
|
|
Top |
|
|
MK66 Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24 Messaggi: 8616 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 03 Feb 2008 00:07 Oggetto: |
|
|
Quale? Quella che digiti all'ingresso e che ti viene richiesta ogni volta che devi eseguire compiti che richiedono privilegi amministrativi?
Perchè vuoi toglierla? In fondo è lì per sicurezza... |
|
Top |
|
|
cheyenne Semidio
Registrato: 29/10/07 22:48 Messaggi: 232
|
Inviato: 03 Feb 2008 00:16 Oggetto: |
|
|
MK66 ha scritto: | Quale? Quella che digiti all'ingresso e che ti viene richiesta ogni volta che devi eseguire compiti che richiedono privilegi amministrativi? |
yes
MK66 ha scritto: |
Perchè vuoi toglierla? In fondo è lì per sicurezza... |
ah beh! la sicurezza innanzitutto
|
|
Top |
|
|
MK66 Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24 Messaggi: 8616 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 03 Feb 2008 00:25 Oggetto: |
|
|
A parte le battute, mi sembra di ricordare che c'è un metodo per levarla all'ingresso (ma devo andarlo a cercare) mentre per lo svolgimento degli incarichi come superutente, non credo nemmeno sia fattibile oltre che realmente pericoloso: lavorare come superutente senza password è qualcosa di contrario alla filosofia Linux... (già in Linux molti ce l'hanno con Ubuntu che, non utilizzando la distinzione fisica tra utente normale e superutente con account e password separate, viene considerato poco sicuro... ) |
|
Top |
|
|
cheyenne Semidio
Registrato: 29/10/07 22:48 Messaggi: 232
|
Inviato: 03 Feb 2008 00:52 Oggetto: |
|
|
MK66 ha scritto: | A parte le battute, mi sembra di ricordare che c'è un metodo per levarla all'ingresso |
non è serata sto forando su tutto
all'ingresso non ho password , mi viene richiesta ad ogni operazione, vabbè no problem |
|
Top |
|
|
MK66 Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24 Messaggi: 8616 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 03 Feb 2008 14:18 Oggetto: |
|
|
Premetto (ripeto) che non è affatto sicuro, comunque... se proprio vuoi eliminare la richiesta di password quando devi eseguire un comando come superutente, c'è anche quella possibilità, contemplata nella guida di Ubuntu.
In definitiva, devi modificare alcuni parametri del file di configurazione, secondo quanto riportato qui di seguito (la sezione che ti interessa è verso il fondo):
(attenzione comunque a quello che fai, perchè in questo caso intervieni nel cuore del sistema e, se non stai attenta, rischi di dover per forza reinstallare tutto)
Citazione: | Configurazione
È possibile modificare la configurazione di sudo con il seguente comando:
Il file di configurazione /etc/sudoers è composto da tre sezioni:
* impostazione degli alias;
* impostazione delle opzioni di default;
* impostazione delle autorizzazioni.
Impostazione degli alias
In questa sezione vengono definiti degli alias in modo da potersi riferire, successivamente, in modo più semplice alle informazioni per la configurazione dei privilegi utente.
Le istruzioni di definizione degli alias seguono la forma:
tipo_alias NOME_ALIAS = voce1, voce2, voce3 ... voceX
Dove «tipo_alias» può essere:
* «User_Alias»: per definire l'alias per un elenco di utenti;
* «Cmnd_Alias»: per definire l'alias per un elenco di comandi;
* «Host_Alias»: per definire l'alias per un elenco di host.
Quelli che seguono sono degli esempi:
* User_Alias AMMINISTRATORI = utente1, utente2, utente3
Definisce un gruppo di utenti a cui si potrà far riferimento con la dicitura «AMMINISTRATORI».
* Cmnd_Alias UTILITY = /sbin/comando1, /usr/bin/comando2, etc..
Definisce un gruppo di comandi.
* Host_Alias MACCHINE = macchina1, macchina2, macchina3
Definisce un gruppo di host.
Impostazione delle opzioni predefinite
È possibile configurare il comportamento standard di sudo impostando una serie di parametri con la parola chiave «Defaults».
Ci sono decine di parametri configurabili con Defaults, i principali sono i seguenti:
* «mail_always»: invia una mail all'utente configurato con l'opzione mailto per ogni comando eseguito con sudo;
* «mail_badpass»: invia una mail quando un utente inserisce una password sbagliata;
* «mail_no_user»: invia una mail quando l'utente corrente non è tra quelli definiti in /etc/sudoers;
* «rootpw»: indica a sudo di richiedere la password di root invece della password utente per l'autenticazione;
* «targetpw»: indica a sudo di richiedere la password di dell'utente target invece della password utente per l'autenticazione;
* «passwd_timeout»: imposta il tempo in minuti dopo il quale sudo dimentica la password inserita dall'utente;
* «timestamp_timeout»: imposta il tempo in minuti dopo il quale verrà richiesta nuovamente la password. Se impostato a 0 ad ogni comando verrà richiesta la password;
* «mailsub»: imposta l'oggetto delle mail inviate; il messaggio di default è il seguente:
*** SECURITY information for %h ***
È possibile usare il parametro «%h» come nome host;
* «mailto»: imposta l'indirizzo email dell'utente al quale inoltrare le mail di segnalazione;
* «logfile»: imposta il file di log per il logging delle operazioni.
Impostazione delle autorizzazioni
I comandi per l'impostazione dei privilegi definiscono quali utenti possono utilizzare quali comandi, da quali host e in che modo.
La forma generale è la seguente:
elenco_utenti elenco_host = (user_target) elenco_comandi
* «elenco_utenti»: può essere un utente, un alias definito in precedenza o anche un gruppo di sistema definito in /etc/group precedendo il nome del gruppo con il simbolo percentuale «%». Possono essere inserite varie voci, separando ciascuna con una virgola «,»;
* «elenco_host»: i nomi delle macchine da cui è consentito utilizzare sudo. Si può usare anche un alias definito per gli host. Possono essere inserite varie voci, separando ciascuna con una virgola «,». Con «ALL» si consente l'uso di sudo da qualsiasi host;
* «(user_target)»: è un parametro opzionale con cui si dice a sudo di eseguire i comandi come utente user_target invece che root;
* «elenco_comandi»: l'elenco dei comandi a cui si da autorizzazione; si può usare anche un alias definito per i comandi. Possono essere inserite varie voci, separando ciascuna con una virgola «,». Con «ALL» si consente l'esecuzione di qualsiasi comando. Inoltre, si può anche inserire il nome di una directory, terminando il percorso con uno slash «/» per indicare tutti i comandi contenuti in quella directory;
Con la parola chiave «NOPASSWD» è possibile può indicare a sudo che per i comandi definiti successivamente non è richiesto l'inserimento della password. Inoltre, si può negare l'esecuzione di un comando, o un gruppo di comandi, inserendo prima di «elenco_comandi» un punto esclamativo «!». Questa modalità è comunque sconsigliata in quanto è sempre possibile aggirare la negazione rinominando il comando.
Quelli che seguono sono degli esempi:
* pippo ALL = (ALL) ALL
Assegna all'utente pippo qualsiasi privilegio.
* AMMINISTRATORI ALL = UTILITY
Assegna agli utenti raggruppati in «AMMINISTRATORI» i privilegi per eseguire i comandi raggruppati in «UTILITY» da qualunque host.
* utente1,utente2 macchina1 = (utente2) NOPASSWD: /directory1/comando1, /directory2/, !/directory2/comando2
Consente a utente1 e utente2, se collegati sulla macchina1, di eseguire senza inserire la password il comando1 ed i comandi contenuti in /directory2, escludendo /directory2/comando2 all'utente utente2. |
|
|
Top |
|
|
cheyenne Semidio
Registrato: 29/10/07 22:48 Messaggi: 232
|
Inviato: 04 Feb 2008 12:00 Oggetto: |
|
|
MK66 ha scritto: |
(attenzione comunque a quello che fai, perchè in questo caso intervieni nel cuore del sistema e, se non stai attenta, rischi di dover per forza reinstallare tutto)[/b]
|
magari questa procedura sarà utile ad altri utenti, a me è sufficiente l'alert che mi hai dato |
|
Top |
|
|
anabasi Amministratore
Registrato: 21/10/05 00:58 Messaggi: 14533 Residenza: Tra Alpi e Tanaro
|
Inviato: 07 Feb 2008 07:58 Oggetto: |
|
|
Aggiungo una domanda che va...in direzione opposta
Per avere una maggior sicurezza, è consigliabile abbreviare il numero di minuti di validità della password digitata dando il "sudo"? (Cioè, il numero di minuti durante i quali non è più necessario digitare la pw perché il sistema la ricorda?)
Come valore di default, quanti minuti sono?
Voi come l'avete impostato? |
|
Top |
|
|
MK66 Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24 Messaggi: 8616 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 07 Feb 2008 21:38 Oggetto: |
|
|
anabasi ha scritto: | Aggiungo una domanda che va...in direzione opposta
Per avere una maggior sicurezza, è consigliabile abbreviare il numero di minuti di validità della password digitata dando il "sudo"? (Cioè, il numero di minuti durante i quali non è più necessario digitare la pw perché il sistema la ricorda?)
Come valore di default, quanti minuti sono?
Voi come l'avete impostato? |
Mi pare che il default sia 5 minuti, personalmente non ho modificato nulla.
Sicuramente, abbassare il tempo di mantenimento della password riduce il pericolo di accessi malevoli, ma quando ridigiti la password, un eventuale losco figuro o losco programma presente avrebbe comunque via libera...
A mio parere conviene di più impostare bene il firewall ed eventualmente verificare ogni tanto chi è presente in sede (da terminale basta che digiti w e ti dice chi sta usando il computer in quel momento... noterai che il tuo utente viene riportato 2 volte: infatti viene segnato che lavori con la sessione grafica xserver e che stai usando il terminale per il w, normalmente non ci dovrebbero essere altri utenti... a meno di utenti di servizio, per esempio una stampa o una elaborazione in corso...) |
|
Top |
|
|
anabasi Amministratore
Registrato: 21/10/05 00:58 Messaggi: 14533 Residenza: Tra Alpi e Tanaro
|
Inviato: 08 Feb 2008 18:39 Oggetto: |
|
|
MK66 ha scritto: | A mio parere conviene di più impostare bene il firewall [...] |
Giusto.
Ho seguito alla lettera le istruzioni del Wiki, abilitando per il traffico in uscita soltanto le porte indicate nelle tabelle "Navigazione web" e "Posta elettronica" e lasciando disabilitato il traffico in entrata. Credi che siano necessarie altre impostazioni?
MK66 ha scritto: | [...] ed eventualmente verificare ogni tanto chi è presente in sede (da terminale basta che digiti w e ti dice chi sta usando il computer in quel momento... |
Questo è un bell'accorgimento, di cui non immaginavo nemmeno l'esistenza
Se hai qualche altro asso nella manica, diccelo! Qualche controllo che per abitudine fai, o qualche accorgimento dettato dall'esperienza... |
|
Top |
|
|
MK66 Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24 Messaggi: 8616 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 08 Feb 2008 21:07 Oggetto: |
|
|
anabasi ha scritto: | MK66 ha scritto: | A mio parere conviene di più impostare bene il firewall [...] |
Giusto.
Ho seguito alla lettera le istruzioni del Wiki, abilitando per il traffico in uscita soltanto le porte indicate nelle tabelle "Navigazione web" e "Posta elettronica" e lasciando disabilitato il traffico in entrata. Credi che siano necessarie altre impostazioni? |
Non mi sembra...
anabasi ha scritto: | MK66 ha scritto: | [...] ed eventualmente verificare ogni tanto chi è presente in sede (da terminale basta che digiti w e ti dice chi sta usando il computer in quel momento... |
Questo è un bell'accorgimento, di cui non immaginavo nemmeno l'esistenza
Se hai qualche altro asso nella manica, diccelo! Qualche controllo che per abitudine fai, o qualche accorgimento dettato dall'esperienza... |
A parte questo controllo (quando capita che me ne ricordo), ogni tanto faccio una scansione con chkrootkit... non mi viene in mente altro al momento... |
|
Top |
|
|
|