[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema
- To: riminilug-general@xxxxxxxxxxxx
- Subject: Re: [RiminiLUG-General] Debian, gksu e amministrazione del sistema
- From: Umberto Zappi <uzappi@xxxxxxxxxxxx>
- Date: Thu, 3 Jun 2010 23:36:53 +0200
- Authentication-results: dtc.neutrino1.xteklabs.com; dkim=pass header.i=@gmail.com; dkim=pass header.i=uzappi@xxxxxxxxx
- Delivered-to: battarsa@xxxxxxxxxxxx
- Delivered-to: riminilug.it_riminilug_general@xxxxxxxxxxxxxxxxxxxxxxxxx
- Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=neutrino1.xteklabs.com; h= reply-to:mime-version:sender:in-reply-to:references:date :message-id:subject:from:to:content-type: content-transfer-encoding; s=postfix; bh=vS0BrW5gRvu2RDDuuhW/Ukt FCqc=; b=XmKmE2aOWPECRoB0IqLb6nVRCwHr2FgIj1/BD1Tl3IhbZtIeQXdlW+e ARhg1YelgLfiFpLfIS416ezT3TGvvMwgdvw3VUki6AtoQHXys+8QKrMTn5NiOguj vDmCFJe5Fg9f4BvyfYXU4wHvPIYxum4V8yPg+KBtkOlQiiIzWIvI=
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:sender:received :in-reply-to:references:date:x-google-sender-auth:message-id:subject :from:to:content-type:content-transfer-encoding; bh=K5OCB02wbE4gYqeXLCB/41G9gmWJpyaN5b6ZPyqxt08=; b=AKswX3XOMiALeQn0AOpiMU0z8hNIkCpWgDdQ/dxhkTu8nMSxlNNJNCnxnpGB4YPFts adNaPDwWN44oGWZLbDML2KWxcffK7GyFUEEqtapFsPNGT7r8/OGTwbYOtDG5jqybr40x oxSmr7DIXNy1EoxMoD4ixe0qnuxm2rqH+P2U0=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:sender:in-reply-to:references:date :x-google-sender-auth:message-id:subject:from:to:content-type :content-transfer-encoding; b=cTtg1tYF8z0SbbftmWfnkokWR9tPO7tmNo7OE9QqpuwiUUCodZzx8HPqcuv84d7aI9 rYnxF+GonHEp1iUthWlR1j8lpK5l+fbrZNfr5wLjj2gvoeiJJcNmzxpY3RgmsFzAAV3H virnqY2QRnxs+04ZKEaJYnq57l+q0vZ1RDRjs=
- In-reply-to: <1275480484.7582.18.camel@debian-it.homenet.it>
- References: <1275480484.7582.18.camel@debian-it.homenet.it>
- Reply-to: riminilug-general@xxxxxxxxxxxx
- Sender: uzappi@xxxxxxxxx
Il 02 giugno 2010 14.08, Ivan Tarozzi <itarozzi@xxxxxxxxx> ha scritto:
> In riferimento ai dubbi emersi nella serata di ieri volevo aggiornare la
> ML su alcune prove fatte e riassumere un attimo quanto emerso, per
> capire meglio come funziona il tutto. Come potrete vedere ci sono ancora
> alcune cose che proprio non mi sono chiare: [...]
>
>
> Amministrazione:
> ----------------
Vorrei fare una breve analisi sulle necessita' di conoscere o meno la
password di root.
caso 1) Il sistema da amministrare e' in gestione ad una unica persona
(piccoli sistemi, personal computer usato come desktop, sistemi con un
unico amministratore, ecc).
Tipicamente l'amministratore del sistema e' colui che ha installato il
sistema, quindi conosce perfettamente la password di root.
Per poter accedere alle attivita' di amministrazione puo' essere usato
indifferentemente il comando su o sudo
Nel caso l'amministratore debba invocare da un utente non privilegiato
piu' comandi di amministrazione, l'uso di sudo puo' risultare piu'
pratico rispetto a su. Il motivo e' evidente se si considera che alla
prima invocazione del comando sudo viene chiesta la propria password,
dopodiche' viene memorizzato un timestamp (orario di accesso) valido
per 15 minuti (valore di default, ma modificabile). Ad un successivo
comando sudo effettuato entro il termine del timeout non viene
richiesta ulteriormente la password e viene rinnovato il timestamp
(vale a dire che e' possibile digitare un altro comando sudo entro il
timeout di 15 minuti senza che venga nuovamente richiesta la propria
password).
caso 2) Il sistema da amministrare e' in gestione a piu' persone e non
si vuole diffondere la password di root (sistemi di produzione).
Per assurdo potrebbe essere che nessuno conosca la password di root,
in quanto questa e' nota a "pezzi" a 2 o piu' amministratori. Per
autenticarsi come root ognuno degli amministratori immette il proprio
pezzo di password che conosce.
In questo caso l'unico sistema possibile e' usare sudo.
Con sudo e' possibile limitare l'uso di comandi solo a singoli
amministratori o gruppi di persone.
Per es: e' possibile limitare ad alcune persone il comando apt-get per
effettuare solo le installazioni e ad altri la sola rimozione dei
programmi.
Inoltre il comando sudo permette, se programmato, di assumere anche
solo l'identita' di alcuni utenti di sistema per eseguire specifici
comandi
Nota su sudo:
sudo puo' venire configurato (per ciascun utente/gruppo) per
richiedere la password oppure no.
Il fatto di non richiedere la password non mi sembra una grande idea.
> Per poter eseguire da console i comandi attraverso sudo (utile anche per
> i neofiti se si vogliono seguire passo-passo alcune guide scritte per
> Ubuntu) è necessario inserire manualmente il proprio utente all'interno
> del gruppo sudo (tramite comando da console o interfaccia grafica). per
> farlo occorre naturalmente conoscere la password di root, definita in
> fase di installazione.
Si, root configura sudo (file /etc/sudoers con visudo), definisce
l'uente che deve avere accesso amministrativo al sistema e lo
inserisce nel gruppo sudo o altro gruppo.
>
> [...]
>
> News
> ----
> A seguito di qualche ricerca e test ho visto che esiste il comando
> gksu-properties che consente di selezionare il metodo di autenticazione
> usato da gksu (quindi usato per l'autenticazione via GUI)
In alternativa con l'editor di configurazione si puo' gestire il flag
sudo-mode all'interno di /apps/gksu
Se l'editor di configurazione non e' presente all'interno del menu'
applicazioni/strumenti di sistema, basta andare in editazione del menu
(tasto dx sulla barra del menu) e inserire il flag all'interno di
applicazioni/strumenti di sistema.
L'esecuzione di gksu-properties o dell'editor di configurazione deve
essere fatta con l'account non privilegiato.
>
> [...]
>
--
Umberto Zappi