Configurare SUDO per gestire le attività degli amministratori: differenze tra le versioni

timeout delle credenziali di accesso
(timeout delle credenziali di accesso)
Riga 16: Riga 16:


Si noti che per un sistema con un singolo utente, che è il caso per la maggior parte degli utenti desktop, i benefici di ottenere [[privilegi di amministratore]] con <code>sudo</code> sono inesistenti rispetto all'uso di <code>su</code>, se si permette di eseguire una shell come [[root]]. Sarebbe invece necessario studiare il file di configurazione e personalizzarlo in modo opportuno, restringendone l'uso il più possibile, cercando il giusto compromesso tra sicurezza e comodità d'uso.
Si noti che per un sistema con un singolo utente, che è il caso per la maggior parte degli utenti desktop, i benefici di ottenere [[privilegi di amministratore]] con <code>sudo</code> sono inesistenti rispetto all'uso di <code>su</code>, se si permette di eseguire una shell come [[root]]. Sarebbe invece necessario studiare il file di configurazione e personalizzarlo in modo opportuno, restringendone l'uso il più possibile, cercando il giusto compromesso tra sicurezza e comodità d'uso.
Per contro <code>sudo</code> di default permette l'esecuzione di comandi successivi senza ulteriore richiesta di password, se entro 15 minuti dall'ultima richiesta.


== Installazione ==
== Installazione ==
Riga 110: Riga 112:
# modificare la configurazione di sudo
# modificare la configurazione di sudo
SUPERUSERS ALL = ALL, !NSHELLS, !NSU, !NVISUDO
SUPERUSERS ALL = ALL, !NSHELLS, !NSU, !NVISUDO
</pre>
</pre>


{{Warningbox | Le restrizioni operate con '''!''' non sono '''MAI''' realmente efficaci contro malintenzionati se si permette l'uso di ''ALL'', vista la difficoltà di immaginare a priori tutti i comandi possibilit. Al limite comunicano che i SUPERUSERS non dovrebbero eseguire tali comandi o equivalenti con lo stesso effetto.
{{Warningbox | Le restrizioni operate con '''!''' non sono '''MAI''' realmente efficaci contro malintenzionati se si permette l'uso di ''ALL'', vista la difficoltà di immaginare a priori tutti i comandi possibilit. Al limite comunicano che i SUPERUSERS non dovrebbero eseguire tali comandi o equivalenti con lo stesso effetto.
Riga 133: Riga 133:
[sudo] password for utente1:
[sudo] password for utente1:
</pre>
</pre>
Nel caso si ricevesse la risposta:
 
Si ricordi che, di default, ogni successivo comando '''non''' richiederà nuovamente la password, finché non saranno passati 15 minuti dall'ultima richiesta. Si possono invalidare le credenziali memorizzate, comportando la richiesta di password per i comandi successivi, eseguendo manualmente:
<pre>$ sudo -k</pre>
e si possono personalizzare i minuti di timeout, modificando con <code>visudo</code> il file di configurazione per aggiungere in cima al file:
<pre>Defaults timestamp_timeout=MINUTI</pre>
 
Nel caso dopo l'esecuzione di un comando con <code>sudo</code> si ricevesse la risposta:
<pre>
<pre>
Spiacente, all'utente utente1 non è consentito eseguire '/usr/bin/comando' come root su localhost
Spiacente, all'utente utente1 non è consentito eseguire '/usr/bin/comando' come root su localhost
</pre>
</pre>
significa che sono stati impostati in maniera incorretta i privilegi sudo dell'utente.
significa che l'utente non ha i permessi, in base al file di configurazione creato, di eseguire tale comando.


== File di log ==
== File di log ==
Riga 149: Riga 155:
| Verificata_da =
| Verificata_da =
: [[Utente:Stemby|Stemby]]
: [[Utente:Stemby|Stemby]]
: [[Utente:HAL 9000|HAL 9000]] 13:22, 1 set 2014 (CEST)
: [[Utente:HAL 9000|HAL 9000]] 20:19, 1 set 2014 (CEST)
| Estesa_da =
| Estesa_da =
: [[Utente:Stemby|Stemby]]
: [[Utente:Stemby|Stemby]]
3 581

contributi