3 581
contributi
Guida a Sudo: differenze tra le versioni
commentate alcune parti, da riesaminare in seguito
(rimozione "Guida da adottare", vedere task di revisione Wiki #59) |
(commentate alcune parti, da riesaminare in seguito) |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili|Jessie}} | {{Versioni compatibili|Jessie}} | ||
== Prima di iniziare == | == Prima di iniziare == | ||
<!-- | |||
* SEZIONE COMMENTATA | |||
=== Caveat === | === Caveat === | ||
La stragrande maggioranza degli utenti che utilizza sudo lo fa in maniera sbagliata e, tipicamente, è composta da utenti provenienti da una famosa distribuzione derivata che si affacciano per la prima volta a Debian.<br/> | La stragrande maggioranza degli utenti che utilizza sudo lo fa in maniera sbagliata e, tipicamente, è composta da utenti provenienti da una famosa distribuzione derivata che si affacciano per la prima volta a Debian.<br/> | ||
| Riga 17: | Riga 19: | ||
* non si ha la percezione di sé nei confronti della macchina | * non si ha la percezione di sé nei confronti della macchina | ||
Tutto questo, per un utente Debian, è inaccettabile. | Tutto questo, per un utente Debian, è inaccettabile. | ||
--> | |||
=== Mi serve sudo? === | === Mi serve sudo? === | ||
Dopo questa premessa, torniamo a sudo per rispondere alla domanda: "Mi serve sudo?"<br/> | <!-- Dopo questa premessa, torniamo a sudo per rispondere alla domanda: "Mi serve sudo?"<br/> --> | ||
La risposta è, come sempre, "dipende". | La risposta è, come sempre, "dipende". | ||
| Riga 33: | Riga 36: | ||
=== Errori comuni === | === Errori comuni === | ||
Un breve elenco di operazioni da evitare nell'uso e configurazione di sudo. | Un breve elenco di operazioni da evitare nell'uso e configurazione di sudo. | ||
<!-- | |||
* SEZIONE COMMENTATA * | |||
;'''ALL = ALL''' | ;'''ALL = ALL''' | ||
:Il primo errore consiste nell'inserire la riga:<pre>utente ALL = ALL</pre>oppure la riga:<pre>utente ALL = (ALL) ALL</pre>In questo modo si dà il permesso a ''utente'' di fare qualunque cosa previo inserimento della propria password.<br/>Ma perché ricorrere a tale soluzione quando si può essere ugualmente distruttivi con... | :Il primo errore consiste nell'inserire la riga:<pre>utente ALL = ALL</pre>oppure la riga:<pre>utente ALL = (ALL) ALL</pre>In questo modo si dà il permesso a ''utente'' di fare qualunque cosa previo inserimento della propria password.<br/>Ma perché ricorrere a tale soluzione quando si può essere ugualmente distruttivi con... | ||
;Aggiungere il proprio utente al gruppo sudo | ;Aggiungere il proprio utente al gruppo sudo | ||
:Altro errore è aggiungere il proprio utente al gruppo sudo:<pre># adduser nome_utente sudo</pre>ed effettuare un logout/login.<br/><br/>Poiché in <code>/etc/sudoers</code> esiste la riga:<pre>%sudo ALL = (ALL):ALL</pre>l'effetto è permettere agli utenti del gruppo sudo di eseguire qualsiasi comando (ultimo ALL) da qualsiasi host (primo ALL) e con qualsiasi credenziale (ALL tra parentesi) | :Altro errore è aggiungere il proprio utente al gruppo sudo:<pre># adduser nome_utente sudo</pre>ed effettuare un logout/login.<br/><br/>Poiché in <code>/etc/sudoers</code> esiste la riga:<pre>%sudo ALL = (ALL):ALL</pre>l'effetto è permettere agli utenti del gruppo sudo di eseguire qualsiasi comando (ultimo ALL) da qualsiasi host (primo ALL) e con qualsiasi credenziale (ALL tra parentesi)<br/>Si otterrà effettivamente il funzionamento di sudo, ma a che prezzo?<br/>L'utente può eseguire qualunque comando semplicemente inserendo la propria password. Quindi:* cade la distinzione tra utente normale e amministratore * si permette a chiunque conosca la password, di eseguire tutti i comandi di sistema<br/>La conclusione è ovvia: state utilizzando Debian come se fosse Win95. Se qualcuno viene in possesso della vostra password utente, potrà fare qualunque cosa senza nemmeno doversi affannare a cercare la password di root.<br/>In pratica siete come dei direttori di banca che, nel portachiavi, portano in giro una chiave che apre sia la porta di ingresso alla banca che la cassaforte. | ||
--> | |||
;Rimuovere l'autenticazione | ;Rimuovere l'autenticazione | ||
| Riga 168: | Riga 173: | ||
</pre> | </pre> | ||
'''Direttiva #includedir (TODO #include)'''<br/> | '''Direttiva #includedir <!--(TODO #include)-->'''<br/> | ||
<pre>#includedir /etc/sudoers.d</pre> | <pre>#includedir /etc/sudoers.d</pre> | ||
Quest'ultima sezione indica la directory in cui leggere eventuali e ulteriori file di configurazione di sudo. Andrebbe lasciata in fondo al file ed, eventualmente, modificata specificando altra directory se si hanno esigenze particolari. | Quest'ultima sezione indica la directory in cui leggere eventuali e ulteriori file di configurazione di sudo. Andrebbe lasciata in fondo al file ed, eventualmente, modificata specificando altra directory se si hanno esigenze particolari. | ||
| Riga 397: | Riga 402: | ||
in quanto il tag che crea l'impostazione sovrascrive l'impostazione creata dal tag duale. In questo, quindi, avrà effetto solo l'impostazione creata dal tag della coppia che viene scritto per ultimo. | in quanto il tag che crea l'impostazione sovrascrive l'impostazione creata dal tag duale. In questo, quindi, avrà effetto solo l'impostazione creata dal tag della coppia che viene scritto per ultimo. | ||
(TODO: permessi utente/gruppo comando) | <!--(TODO: permessi utente/gruppo comando)--> | ||
== Opzioni == | == Opzioni == | ||
| Riga 430: | Riga 435: | ||
</pre> | </pre> | ||
'''passprompt (TODO: andata a capo)'''<br/> | '''passprompt<!--(TODO: andata a capo)-->'''<br/> | ||
Permette di definire il prompt che verrà visualizzato alla richiesta password. Di default questo valore è impostato a: | Permette di definire il prompt che verrà visualizzato alla richiesta password. Di default questo valore è impostato a: | ||
<pre>[sudo] password for %p: </pre> | <pre>[sudo] password for %p: </pre> | ||
| Riga 475: | Riga 480: | ||
<pre># zless /var/log/sudo-io/00/00/01/ttyin</pre> | <pre># zless /var/log/sudo-io/00/00/01/ttyin</pre> | ||
'''log_output (TODO:CAMBIARE LA DATA)'''<br/> | '''log_output<!--(TODO:CAMBIARE LA DATA)-->'''<br/> | ||
Tutti i messaggi visualizzati a schermo in una sessione sudo saranno loggati nella directory <code>/var/log/sudo-io/</code>, anche questi in base al TSID.<br/> | Tutti i messaggi visualizzati a schermo in una sessione sudo saranno loggati nella directory <code>/var/log/sudo-io/</code>, anche questi in base al TSID.<br/> | ||
Questa opzione è disabilitata di default. Per abilitarla: | Questa opzione è disabilitata di default. Per abilitarla: | ||
| Riga 549: | Riga 554: | ||
'''pwfeedback'''<br/> | '''pwfeedback'''<br/> | ||
Attiva il feedback per ogni tasto premuto durante l'inserimento della password. Tipicamente un asterisco. (TODO: come è impostato?) | Attiva il feedback per ogni tasto premuto durante l'inserimento della password. Tipicamente un asterisco.<!--(TODO: come è impostato?)--> | ||
<pre>[sudo] password for pippo: *******</pre> | <pre>[sudo] password for pippo: *******</pre> | ||
Per impostare questa opzione: | Per impostare questa opzione: | ||
| Riga 600: | Riga 605: | ||
È il soggetto dell'email che verrà inviata in base ai criteri impostati. Di default è: | È il soggetto dell'email che verrà inviata in base ai criteri impostati. Di default è: | ||
<pre>* * * SECURITY information for %h * * *</pre> | <pre>* * * SECURITY information for %h * * *</pre> | ||
(TODO: gli escpape %) | <!--(TODO: gli escpape %)--> | ||
'''mailto'''<br/> | '''mailto'''<br/> | ||
L'indirizzo di posta a cui verrà inviata l'email. Racchiudere tra doppie virgolette se contiene il carattere @ . Di default l'email viene inviata a root. | L'indirizzo di posta a cui verrà inviata l'email. Racchiudere tra doppie virgolette se contiene il carattere @ . Di default l'email viene inviata a root. | ||
(TODO: posta locale) | <!--(TODO: posta locale)--> | ||
'''mailfrom'''<br/> | '''mailfrom'''<br/> | ||
L'indirizzo da cui verrà inviata l'email. Di default è l'indirizzo dell'utente che esegue sudo. | L'indirizzo da cui verrà inviata l'email. Di default è l'indirizzo dell'utente che esegue sudo. | ||
(TODO) | <!--(TODO)--> | ||
'''mailerpath'''<br/> | '''mailerpath'''<br/> | ||