[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema
- To: riminilug-general@xxxxxxxxxxxx
- Subject: Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema
- From: Ivan Tarozzi <itarozzi@xxxxxxxxx>
- Date: Fri, 04 Jun 2010 22:50:39 +0200
- Authentication-results: dtc.neutrino1.xteklabs.com; dkim=fail (message has been altered) header.i=@gmail.com; dkim=fail (message has been altered) header.i=itarozzi@xxxxxxxxx
- Delivered-to: battarsa@xxxxxxxxxxxx
- Delivered-to: riminilug.it_riminilug_general@xxxxxxxxxxxxxxxxxxxxxxxxx
- Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=neutrino1.xteklabs.com; h= subject:from:to:in-reply-to:references:content-type:date :message-id:reply-to:mime-version:content-transfer-encoding; s= postfix; bh=3zkwaNwRHzL0jq6jK0UHKewVeaA=; b=TMjfszFw5YZAVrvrNFAt mLxlO/xcoKqFp2Drdl7Lse6LvkhqBuRhfXGNfqTcL0nx7mA8ixK3O2eRvzuHVxEm qQyxt6yMNZh5+sQow4D3KRUU5A1rYhHgLmC3cMrsIbih67BeLWEdFFruTwyOS6MR BguRF9Imp14gWs02X8KiIhM=
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:subject:from:to:in-reply-to :references:content-type:date:message-id:mime-version:x-mailer :content-transfer-encoding; bh=rUmLi2h6TQfga981NLPijdkTyMueg+yiF7+6RaKik0A=; b=mQHXdtbHN2U0qxyHLrxeUXw4rr1Baqv9syfKXyrBjdxClHtnqLTrjFuYmcRl4RFToO ChWPTPH/Stot8QQZfRw3hpRUkBSfd9rsQ33o9FVSmZ7o3qtTBOBOLHjvTs+cKHXJDVSH cPH0vb3keaWDIcTukxmvjn/bVgp310UodM7y0=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=subject:from:to:in-reply-to:references:content-type:date:message-id :mime-version:x-mailer:content-transfer-encoding; b=CGJGDymm75SvSW3DEvrcuugpTKEzJRr+Uo8TVIL4Anq75lvSJTqmnjOpo2ptQpv848 3tOx/kKeWZ1v8CvQF76li16CqAQO7XuD5K6Nz8ZNndC1Eve9wLT0F3Zty/85nimDa3C1 7/oSV9e+U9JgXyZDA0pcLpb4uKMd3voBNFJ1s=
- In-reply-to: <AANLkTil6yq4BUQ56jxZr3pQjyz_fPMbfliOwTOfhoy7A@mail.gmail.com>
- References: <1275480484.7582.18.camel@debian-it.homenet.it> <AANLkTil6yq4BUQ56jxZr3pQjyz_fPMbfliOwTOfhoy7A@mail.gmail.com>
- Reply-to: riminilug-general@xxxxxxxxxxxx
Il giorno gio, 03/06/2010 alle 23.36 +0200, Umberto Zappi ha scritto:
> Il 02 giugno 2010 14.08, Ivan Tarozzi <itarozzi@xxxxxxxxx> ha scritto:
> > In riferimento ai dubbi emersi nella serata di ieri volevo aggiornare la
> > ML su alcune prove fatte e riassumere un attimo quanto emerso, per
> > capire meglio come funziona il tutto. Come potrete vedere ci sono ancora
> > alcune cose che proprio non mi sono chiare: [...]
> >
> >
> > Amministrazione:
> > ----------------
>
> Vorrei fare una breve analisi sulle necessita' di conoscere o meno la
> password di root.
>
> caso 1) Il sistema da amministrare e' in gestione ad una unica persona
> (piccoli sistemi, personal computer usato come desktop, sistemi con un
> unico amministratore, ecc).
> Tipicamente l'amministratore del sistema e' colui che ha installato il
> sistema, quindi conosce perfettamente la password di root.
> Per poter accedere alle attivita' di amministrazione puo' essere usato
> indifferentemente il comando su o sudo
> Nel caso l'amministratore debba invocare da un utente non privilegiato
> piu' comandi di amministrazione, l'uso di sudo puo' risultare piu'
> pratico rispetto a su. Il motivo e' evidente se si considera che alla
> prima invocazione del comando sudo viene chiesta la propria password,
> dopodiche' viene memorizzato un timestamp (orario di accesso) valido
> per 15 minuti (valore di default, ma modificabile). Ad un successivo
> comando sudo effettuato entro il termine del timeout non viene
> richiesta ulteriormente la password e viene rinnovato il timestamp
> (vale a dire che e' possibile digitare un altro comando sudo entro il
> timeout di 15 minuti senza che venga nuovamente richiesta la propria
> password).
>
> caso 2) Il sistema da amministrare e' in gestione a piu' persone e non
> si vuole diffondere la password di root (sistemi di produzione).
> Per assurdo potrebbe essere che nessuno conosca la password di root,
> in quanto questa e' nota a "pezzi" a 2 o piu' amministratori. Per
> autenticarsi come root ognuno degli amministratori immette il proprio
> pezzo di password che conosce.
> In questo caso l'unico sistema possibile e' usare sudo.
> Con sudo e' possibile limitare l'uso di comandi solo a singoli
> amministratori o gruppi di persone.
> Per es: e' possibile limitare ad alcune persone il comando apt-get per
> effettuare solo le installazioni e ad altri la sola rimozione dei
> programmi.
> Inoltre il comando sudo permette, se programmato, di assumere anche
> solo l'identita' di alcuni utenti di sistema per eseguire specifici
> comandi
>
Direi che sono piuttosto concorde con la tua analisi. L'unica cosa che
non sapevo si potesse fare è permettere ad esempio la sola rimozione del
sw o la sola installazione (... davvero non saprei come poter fare - una
volta che do' il permesso di avviare synaptic, o usare apt-get, direi
che l'utente non ha limiti) forse attraverso qualche file cfg di apt?
studierò meglio :)
> Nota su sudo:
> sudo puo' venire configurato (per ciascun utente/gruppo) per
> richiedere la password oppure no.
> Il fatto di non richiedere la password non mi sembra una grande idea.
>
concordo
> [...]
> >
> > News
> > ----
> > A seguito di qualche ricerca e test ho visto che esiste il comando
> > gksu-properties che consente di selezionare il metodo di autenticazione
> > usato da gksu (quindi usato per l'autenticazione via GUI)
>
> In alternativa con l'editor di configurazione si puo' gestire il flag
> sudo-mode all'interno di /apps/gksu
> Se l'editor di configurazione non e' presente all'interno del menu'
> applicazioni/strumenti di sistema, basta andare in editazione del menu
> (tasto dx sulla barra del menu) e inserire il flag all'interno di
> applicazioni/strumenti di sistema.
> L'esecuzione di gksu-properties o dell'editor di configurazione deve
> essere fatta con l'account non privilegiato.
grazie delle precisazioni!