Guida a Sudo: differenze tra le versioni

commentate alcune parti, da riesaminare in seguito
(rimozione "Guida da adottare", vedere task di revisione Wiki #59)
(commentate alcune parti, da riesaminare in seguito)
Riga 1: Riga 1:
{{Versioni compatibili|Jessie}}
{{Versioni compatibili|Jessie}}
== Prima di iniziare ==
== Prima di iniziare ==
<!--
* SEZIONE COMMENTATA
=== Caveat ===
=== Caveat ===
La stragrande maggioranza degli utenti che utilizza sudo lo fa in maniera sbagliata e, tipicamente, è composta da utenti provenienti da una famosa distribuzione derivata che si affacciano per la prima volta a Debian.<br/>
La stragrande maggioranza degli utenti che utilizza sudo lo fa in maniera sbagliata e, tipicamente, è composta da utenti provenienti da una famosa distribuzione derivata che si affacciano per la prima volta a Debian.<br/>
Riga 17: Riga 19:
* non si ha la percezione di sé nei confronti della macchina
* non si ha la percezione di sé nei confronti della macchina
Tutto questo, per un utente Debian, è inaccettabile.
Tutto questo, per un utente Debian, è inaccettabile.
-->


=== Mi serve sudo? ===
=== Mi serve sudo? ===
Dopo questa premessa, torniamo a sudo per rispondere alla domanda: "Mi serve sudo?"<br/>
<!-- Dopo questa premessa, torniamo a sudo per rispondere alla domanda: "Mi serve sudo?"<br/> -->
La risposta è, come sempre, "dipende".
La risposta è, come sempre, "dipende".


Riga 33: Riga 36:
=== Errori comuni ===
=== Errori comuni ===
Un breve elenco di operazioni da evitare nell'uso e configurazione di sudo.
Un breve elenco di operazioni da evitare nell'uso e configurazione di sudo.
 
<!--
* SEZIONE COMMENTATA *
;'''ALL = ALL'''
;'''ALL = ALL'''
:Il primo errore consiste nell'inserire la riga:<pre>utente ALL = ALL</pre>oppure la riga:<pre>utente ALL = (ALL) ALL</pre>In questo modo si dà il permesso a ''utente'' di fare qualunque cosa previo inserimento della propria password.<br/>Ma perché ricorrere a tale soluzione quando si può essere ugualmente distruttivi con...
:Il primo errore consiste nell'inserire la riga:<pre>utente ALL = ALL</pre>oppure la riga:<pre>utente ALL = (ALL) ALL</pre>In questo modo si dà il permesso a ''utente'' di fare qualunque cosa previo inserimento della propria password.<br/>Ma perché ricorrere a tale soluzione quando si può essere ugualmente distruttivi con...


;Aggiungere il proprio utente al gruppo sudo
;Aggiungere il proprio utente al gruppo sudo
:Altro errore è aggiungere il proprio utente al gruppo sudo:<pre># adduser nome_utente sudo</pre>ed effettuare un logout/login.<br/><br/>Poiché in <code>/etc/sudoers</code> esiste la riga:<pre>%sudo ALL = (ALL):ALL</pre>l'effetto è permettere agli utenti del gruppo sudo di eseguire qualsiasi comando (ultimo ALL) da qualsiasi host (primo ALL) e con qualsiasi credenziale (ALL tra parentesi).<br/>Si otterrà effettivamente il funzionamento di sudo, ma a che prezzo?<br/>L'utente può eseguire qualunque comando semplicemente inserendo la propria password. Quindi:* cade la distinzione tra utente normale e amministratore * si permette a chiunque conosca la password, di eseguire tutti i comandi di sistema<br/>La conclusione è ovvia: state utilizzando Debian come se fosse Win95. Se qualcuno viene in possesso della vostra password utente, potrà fare qualunque cosa senza nemmeno doversi affannare a cercare la password di root.<br/>In pratica siete come dei direttori di banca che, nel portachiavi, portano in giro una chiave che apre sia la porta di ingresso alla banca che la cassaforte.
:Altro errore è aggiungere il proprio utente al gruppo sudo:<pre># adduser nome_utente sudo</pre>ed effettuare un logout/login.<br/><br/>Poiché in <code>/etc/sudoers</code> esiste la riga:<pre>%sudo ALL = (ALL):ALL</pre>l'effetto è permettere agli utenti del gruppo sudo di eseguire qualsiasi comando (ultimo ALL) da qualsiasi host (primo ALL) e con qualsiasi credenziale (ALL tra parentesi)<br/>Si otterrà effettivamente il funzionamento di sudo, ma a che prezzo?<br/>L'utente può eseguire qualunque comando semplicemente inserendo la propria password. Quindi:* cade la distinzione tra utente normale e amministratore * si permette a chiunque conosca la password, di eseguire tutti i comandi di sistema<br/>La conclusione è ovvia: state utilizzando Debian come se fosse Win95. Se qualcuno viene in possesso della vostra password utente, potrà fare qualunque cosa senza nemmeno doversi affannare a cercare la password di root.<br/>In pratica siete come dei direttori di banca che, nel portachiavi, portano in giro una chiave che apre sia la porta di ingresso alla banca che la cassaforte.
-->


;Rimuovere l'autenticazione
;Rimuovere l'autenticazione
Riga 168: Riga 173:
</pre>
</pre>


'''Direttiva #includedir (TODO #include)'''<br/>
'''Direttiva #includedir <!--(TODO #include)-->'''<br/>
<pre>#includedir /etc/sudoers.d</pre>
<pre>#includedir /etc/sudoers.d</pre>
Quest'ultima sezione indica la directory in cui leggere eventuali e ulteriori file di configurazione di sudo. Andrebbe lasciata in fondo al file ed, eventualmente, modificata specificando altra directory se si hanno esigenze particolari.
Quest'ultima sezione indica la directory in cui leggere eventuali e ulteriori file di configurazione di sudo. Andrebbe lasciata in fondo al file ed, eventualmente, modificata specificando altra directory se si hanno esigenze particolari.
Riga 397: Riga 402:
in quanto il tag che crea l'impostazione sovrascrive l'impostazione creata dal tag duale. In questo, quindi, avrà effetto solo l'impostazione creata dal tag della coppia che viene scritto per ultimo.
in quanto il tag che crea l'impostazione sovrascrive l'impostazione creata dal tag duale. In questo, quindi, avrà effetto solo l'impostazione creata dal tag della coppia che viene scritto per ultimo.
   
   
(TODO: permessi utente/gruppo comando)
<!--(TODO: permessi utente/gruppo comando)-->


== Opzioni ==
== Opzioni ==
Riga 430: Riga 435:
</pre>
</pre>


'''passprompt (TODO: andata a capo)'''<br/>
'''passprompt<!--(TODO: andata a capo)-->'''<br/>
Permette di definire il prompt che verrà visualizzato alla richiesta password. Di default questo valore è impostato a:
Permette di definire il prompt che verrà visualizzato alla richiesta password. Di default questo valore è impostato a:
<pre>[sudo] password for %p: </pre>
<pre>[sudo] password for %p: </pre>
Riga 475: Riga 480:
<pre># zless /var/log/sudo-io/00/00/01/ttyin</pre>
<pre># zless /var/log/sudo-io/00/00/01/ttyin</pre>


'''log_output (TODO:CAMBIARE LA DATA)'''<br/>
'''log_output<!--(TODO:CAMBIARE LA DATA)-->'''<br/>
Tutti i messaggi visualizzati a schermo in una sessione sudo saranno loggati nella directory <code>/var/log/sudo-io/</code>, anche questi in base al TSID.<br/>
Tutti i messaggi visualizzati a schermo in una sessione sudo saranno loggati nella directory <code>/var/log/sudo-io/</code>, anche questi in base al TSID.<br/>
Questa opzione è disabilitata di default. Per abilitarla:
Questa opzione è disabilitata di default. Per abilitarla:
Riga 549: Riga 554:


'''pwfeedback'''<br/>
'''pwfeedback'''<br/>
Attiva il feedback per ogni tasto premuto durante l'inserimento della password. Tipicamente un asterisco. (TODO: come è impostato?)
Attiva il feedback per ogni tasto premuto durante l'inserimento della password. Tipicamente un asterisco.<!--(TODO: come è impostato?)-->
<pre>[sudo] password for pippo: *******</pre>
<pre>[sudo] password for pippo: *******</pre>
Per impostare questa opzione:
Per impostare questa opzione:
Riga 600: Riga 605:
È il soggetto dell'email che verrà inviata in base ai criteri impostati. Di default è:
È il soggetto dell'email che verrà inviata in base ai criteri impostati. Di default è:
<pre>* * * SECURITY information for %h * * *</pre>
<pre>* * * SECURITY information for %h * * *</pre>
(TODO: gli escpape %)
<!--(TODO: gli escpape %)-->


'''mailto'''<br/>
'''mailto'''<br/>
L'indirizzo di posta a cui verrà inviata l'email. Racchiudere tra doppie virgolette se contiene il carattere @ . Di default l'email viene inviata a root.
L'indirizzo di posta a cui verrà inviata l'email. Racchiudere tra doppie virgolette se contiene il carattere @ . Di default l'email viene inviata a root.
(TODO: posta locale)
<!--(TODO: posta locale)-->


'''mailfrom'''<br/>
'''mailfrom'''<br/>
L'indirizzo da cui verrà inviata l'email. Di default è l'indirizzo dell'utente che esegue sudo.
L'indirizzo da cui verrà inviata l'email. Di default è l'indirizzo dell'utente che esegue sudo.
(TODO)
<!--(TODO)-->


'''mailerpath'''<br/>
'''mailerpath'''<br/>
3 581

contributi