3 581
contributi
Configurare SUDO per gestire le attività degli amministratori: differenze tra le versioni
Configurare SUDO per gestire le attività degli amministratori (visualizza wikitesto)
Versione delle 19:26, 31 ago 2014
, 31 ago 2014→Configurazione: aggiunto warning e link
Wtf (discussione | contributi) m (→File di log) |
(→Configurazione: aggiunto warning e link) |
||
| Riga 22: | Riga 22: | ||
== Configurazione == | == Configurazione == | ||
Il file di configurazione di ''sudo'' | Il file di configurazione di '''sudo''' (<code>/etc/sudoers</code>) è già preconfigurato per permettere un utente di eseguire ogni comando come amministratore, se appartiene al gruppo <code>sudo</code>. | ||
Per aggiungere un utente, per esempio ''pippo'' a questo gruppo: | |||
<pre> | |||
# adduser pippo sudo | |||
</pre> | |||
È necessario un logout e un nuovo login per risultare iscritti al gruppo. | |||
Eventualmente, per modificare il file di configurazione, è consigliato usare il comando <code>visudo</code>, che effettua anche un controllo sulla sintassi utilizzata. | |||
=== Disabilitare root === | |||
Se si intende utilizzare soltanto <code>sudo</code> per tutti i comandi, si consiglia di disabilitare l'utente [[root]], così da disporre di un unico modo per diventare amministratori. Per disabilitare l'utente [[root]] digitare il seguente comando: | |||
<pre> | |||
$ sudo passwd --lock root | |||
</pre> | |||
Ora è possibile ottenere i [[privilegi di amministratore]] soltanto utilizzando <code>sudo</code>, scrivendolo prima del comando da eseguire come amministratore. | |||
Per riattivare [[root]], permettendone sia il login che l'utilizzo di <code>su</code>, dare invece il seguente comando: | |||
<pre> | |||
$ sudo passwd --unlock root | |||
</pre> | |||
=== Esempio di configurazione === | === Esempio di configurazione === | ||
| Riga 78: | Riga 92: | ||
</pre> | </pre> | ||
{{Warningbox | Le restrizioni operate con '''!''' non sono '''MAI''' realmente efficaci contro malintenzionati se si permette l'uso di ''ALL'', vista la difficoltà di immaginare a priori tutti i comandi possibilit. Al limite comunicano che i SUPERUSERS non dovrebbero eseguire tali comandi o equivalenti con lo stesso effetto. | |||
Infatti le restrizioni sono facilmente aggirabili modificando direttamente <code>/etc/sudoers</code> con un editor qualsiasi e, se anche questi venissero ristretti, sarebbe sempre possibile fare copie di una shell con altri nomi e perfino creare nuovi eseguibili che modifichino file con [[privilegi di amministratore]]. | |||
L'unico modo per restringere le attività che un utente può eseguire come amministratore è limitarlo a una lista predeterminata di eseguibili, valutando singolarmente che non siano sfruttabili anche per altre azioni, come per esempio eseguire una shell o alterare il sistema in modo arbitrario.}} | |||
== Esempio di sessione ''sudo'' == | == Esempio di sessione ''sudo'' == | ||