[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema

To: riminilug-general@xxxxxxxxxxxx
Subject: Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema
From: Umberto Zappi <uzappi@xxxxxxxxx>
Date: Tue, 8 Jun 2010 00:03:41 +0200
Authentication-results: dtc.neutrino1.xteklabs.com; dkim=pass header.i=@gmail.com; dkim=pass header.i=uzappi@xxxxxxxxx
Delivered-to: battarsa@xxxxxxxxxxxx
Delivered-to: riminilug.it_riminilug_general@xxxxxxxxxxxxxxxxxxxxxxxxx
Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=neutrino1.xteklabs.com; h= reply-to:mime-version:in-reply-to:references:date:message-id :subject:from:to:content-type:content-transfer-encoding; s= postfix; bh=+Qr5k8pG/1UvwPXC34Ks+7C+avo=; b=oFNjcioaGG4kzuNKWQfS pWoFGNkZV+SVInKo+GMHW91j8pSyjSapBuoDYeOu6yFSuThEmHttNiDIqviNFrME bdUe+BFaK8Y1sfS4hL/GGP2BTOCg/QpWTeiq0X9s3Lq2xTAbLo3hkUkwknChFoj7 v8nEhk+PUMYXbb8eZgMklp4=
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:received:in-reply-to :references:date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=Eb1Vo9JEuDUYf9TCH2U2pXQBcneKpDtAagkdC9dKIw0=; b=IQMRWOQN5FcaDCTVKrQT7VwqUEuLVDt93sD/MeO2W5Av0bPd4Uw7eaEXTlCCLRHcza rhwxKUkqv7YwQSXGcC9mk1ONDPj7NJTovWjH6PWU9yFBubSTX1LaNqql/R6vDhRpZb+w DAH1YCKd6hbrHmJFup+rRdFy+ej4Bd2oFvp+o=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=AyffjFDXq+peDd4YdpCslsHME8DhIjqc+fyFuMXGoxZJjzstYF9WIhjYWhJHKE7Djz 9OmZ2vvFpRLOziWJhKIVrfRLekvRm3b4u6jbjH1hFby8GOAUIs/dAlgqyAwNaaNpQRwF /HgfpDhsTglSrY220PfLx/B9X2o64uCHtwLYU=
In-reply-to: <1275684639.2706.5.camel@debian-it.homenet.it>
References: <1275480484.7582.18.camel@debian-it.homenet.it> <AANLkTil6yq4BUQ56jxZr3pQjyz_fPMbfliOwTOfhoy7A@mail.gmail.com> <1275684639.2706.5.camel@debian-it.homenet.it>
Reply-to: riminilug-general@xxxxxxxxxxxx

Il 04 giugno 2010 22.50, Ivan Tarozzi <itarozzi@xxxxxxxxx> ha scritto:
> Il giorno gio, 03/06/2010 alle 23.36 +0200, Umberto Zappi ha scritto:
>> Il 02 giugno 2010 14.08, Ivan Tarozzi <itarozzi@xxxxxxxxx> ha scritto:
>> > In riferimento ai dubbi emersi nella serata di ieri volevo aggiornare la
>> > ML su alcune prove fatte e riassumere un attimo quanto emerso, per
>> > capire meglio come funziona il tutto. Come potrete vedere ci sono ancora
>> > alcune cose che proprio non mi sono chiare: [...]
>> >
>> Con sudo e' possibile limitare l'uso di comandi solo a singoli
>> amministratori o gruppi di persone.
>> Per es: e' possibile limitare ad alcune persone il comando apt-get per
>> effettuare solo le installazioni e ad altri la sola rimozione dei
>> programmi.
>> Inoltre il comando sudo permette, se programmato, di assumere anche
>> solo l'identita' di alcuni utenti di sistema per eseguire specifici
>> comandi
>>
>
> Direi che sono piuttosto concorde con la tua analisi. L'unica cosa che
> non sapevo si potesse fare è permettere ad esempio la sola rimozione del
> sw o la sola installazione (... davvero non saprei come poter fare - una
> volta che do' il permesso di avviare synaptic, o usare apt-get, direi
> che l'utente non ha limiti) forse attraverso qualche file cfg di apt?
> studierò meglio :)

Con synaptic non saprei come limitare la sola installazione o la sola
rimozione di programmi.
Diverso e' il caso di comandi a linea di comando.
Si puo' configurare sudo per autorizzare uno o piu' utenti o uno o
piu' gruppi ad eseguire solo determinati comandi e opzionalmente solo
con determinati argomenti.
Cosi' per esempio, e' possibile autorizzare di effettuare per alcuni
utenti solo
    apt-get install ...
o
    apt-get -s install ...

Per questo si puo' configurare sudo piu' o meno cosi':

User_Alias  INSTALLER = riminilug, user1, user2

Cmnd_Alias APTGETINST = /usr/bin/apt-get -s install * ,
/usr/bin/apt-get install *

INSTALLER   ALL = (root) APTGETINST


In questo esempio ho definito un alias INSTALLER a cui corrisponde una
lista ipotetica di 3 utenti
Ho anche definito un altro alias con una lista di comandi permessi.
Avendo specificato gli argomenti, i comandi possono solo essere
eseguiti comprendendo questi argomenti. Il carattere * indica che
possono seguire altri argomenti oltre a quelli indicati.
L'ultima riga indica chi e cosa puo' fare.
In particolare e' indicato che la lista degli utenti definita come
INSTALLER puo' eseguire da tutti i computer dove e' presente questo
file di configurazione (ALL - ma per il ns. caso e' superfluo fare
delle limitazioni) la lista di comandi indicati in APTGETINST,
assumendo solo l'identita' di root (root)

Qualsiasi utente puo' eseguire il comando sudo -l (L minuscola) per
verificare l'elenco dei comandi consentiti.

Ciao
-- 
Umberto

>
>>  [...]

References:
- [RiminiLUG-General] Debian, gksu e amministrazione del sistema
  - From: Ivan Tarozzi
- Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema
  - From: Umberto Zappi
- Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema
  - From: Ivan Tarozzi

Prev by Date: Re: [RiminiLUG-General] processi init
Next by Date: [RiminiLUG-General] Ubuntu guida a connessione Internet Key
Previous by thread: Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema
Next by thread: [RiminiLUG-General] Debian e driver nvidia proprietari
Index(es):
- Date
- Thread