6 999
contributi
S3v (discussione | contributi) |
S3v (discussione | contributi) |
||
Riga 39: | Riga 39: | ||
;Aggiungere il proprio utente al gruppo sudo | ;Aggiungere il proprio utente al gruppo sudo | ||
:Altro errore è aggiungere il proprio utente al gruppo sudo:<pre># adduser nome_utente sudo</pre>ed effettuare un logout/login.<br/><br/>Poiché in <code>/etc/sudoers</code> esiste la riga:<pre>%sudo ALL = (ALL):ALL</pre>l'effetto è permettere agli utenti del gruppo sudo di eseguire qualsiasi comando (ultimo ALL) da qualsiasi host (primo ALL) e con qualsiasi credenziale (ALL tra parentesi).<br/>Si otterrà effettivamente il funzionamento di sudo, ma a che prezzo?<br/>L'utente può eseguire qualunque comando semplicemente inserendo la propria password. Quindi:* cade la distinzione tra utente normale e amministratore * si permette a chiunque conosca la password, di eseguire tutti i comandi di sistema<br/>La conclusione è ovvia: state utilizzando Debian come se fosse Win95. Se qualcuno viene in possesso della vostra password utente, potrà fare qualunque cosa senza nemmeno doversi affannare a cercare la password di root.<br/>In pratica siete come dei direttori di banca che, nel portachiavi, portano in giro una chiave che apre sia la porta di ingresso alla banca che la cassaforte. | :Altro errore è aggiungere il proprio utente al gruppo sudo:<pre># adduser nome_utente sudo</pre>ed effettuare un logout/login.<br/><br/>Poiché in <code>/etc/sudoers</code> esiste la riga:<pre>%sudo ALL = (ALL):ALL</pre>l'effetto è permettere agli utenti del gruppo sudo di eseguire qualsiasi comando (ultimo ALL) da qualsiasi host (primo ALL) e con qualsiasi credenziale (ALL tra parentesi).<br/>Si otterrà effettivamente il funzionamento di sudo, ma a che prezzo?<br/>L'utente può eseguire qualunque comando semplicemente inserendo la propria password. Quindi:* cade la distinzione tra utente normale e amministratore * si permette a chiunque conosca la password, di eseguire tutti i comandi di sistema<br/>La conclusione è ovvia: state utilizzando Debian come se fosse Win95. Se qualcuno viene in possesso della vostra password utente, potrà fare qualunque cosa senza nemmeno doversi affannare a cercare la password di root.<br/>In pratica siete come dei direttori di banca che, nel portachiavi, portano in giro una chiave che apre sia la porta di ingresso alla banca che la cassaforte. | ||
;Rimuovere l'autenticazione | |||
:La rimozione dell'autenticazione (vedere l'opzione "authenticate") è, di per sé, un'operazione generalmente da evitare in quanto, senza ulteriori configurazioni, elimina la richiesta di inserimento password per un utente che, attraverso <code>sudo</code>, esegue un comando (o più comandi). Inoltre è foriera di sicuri errori di configurazione quando il file <code>/etc/sudoers</code> contiene numerose linee.<br/>In congiunzione con uno dei due errori descritti in precedenza, però, questa operazione assume i caratteri del cataclisma: chiunque può eseguire comandi di sistema attraverso sudo, da qualunque parte del mondo si trovi e senza nessuna password da immettere. L'unica limitazione sarà l'accesso (fisico o remoto) al vostro host. | |||
;Modifiche frequenti ai file | ;Modifiche frequenti ai file |
contributi