Faceva notare Cristian sul suo blog, che le impostazioni di default di sudo in Ubuntu sono un po’ troppo ballerine.
Per come è concepito il sistema, con l’utilizzo di sudo e della password utente (NON quella di root), è possibile fare tutto. Comodo da un lato, ma effettivamente poco sicuro.
Per sistemi desktop casalinghi con un solo utente utilizzatore, le precauzioni che di seguito saranno consigliate possono evitarsi. Per sistemi dove la multiutenza è base normale di utilizzo (uso ubuntu sul pc di casa e condiviso il tutto con la famiglia) allora (IMHO) è meglio premunirsi da spiacevoli inconvenienti…
ATTENZIONE:
Questa guida è rivolta ad un utenza smaliziata (non dico esperta perchè io non mi ci sento). Se non amate l’uso del terminale e se usate il vostro sistema in ambito casalingo (film, audio, giochi e internet) evitate di effettuare le modifiche riportate. Il vostro sistema funzionerà comunque bene.
Come riportato nella wiki sopra linkata, in Ubuntu l’utente root è disabilitato per default (per la verità da me è sempre stato abilitato e non l’ho mai fatto manualmente, booooooohhh?). Abilitiamolo assegnandogli una password che sia diversa dalla nostra password utente:
Ci sarà richiesto l’inserimento, prima della nostra password utente, dopo della nuova password di root (da ripetere due volte).
Fatto questo configuriamo sudo in maniera efficiente (o almeno secondo me lo è, poi de gustibus…).
#digita la nuova password di root
visudo /etc/sudoers
#visualizzeremo il file di configurazione di sudo
# /etc/sudoers
#
# This file MUST be edited with the ‘visudo’ command as root.
#
# See the man page for details on how to write a sudoers file.
# Host alias specification
# User alias specification
# Cmnd alias specification
# Defaults
Defaults !lecture,tty_tickets,!fqdn
# User privilege specification
root ALL=(ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
E’ proprio /etc/sudoers che dobbiamo modificare (con viduso) per fare in modo che:
- Ad una richiesta sudo si debba rispondere digitando la password di root, invece che la password utente.
- Ad una richiesta password da gdm (in visuale) si debba rispondere sempre con la password di root.
- La password venga richiesta sempre. Anche dopo pochi secondi.
Modifichiamo la riga Defaults come segue.
Fatto questo configuriamo sudo in maniera efficiente (o almeno secondo me lo è, poi de gustibus…).
Defaults !lecture,tty_tickets,!fqdn,rootpw,timestamp_timeout=0
Con CTRL+O salviamo le modifiche, con CTRL+X usiamo dall’editor. Da questo momento l’utilizzo di sudo sarà possibile solo con la digitazione della password di root e questa verrà chiesta sempre.
Ribadisco che un uso casalingo del sistema, non compromette le cose pur lasciando in default le impostazioni di ubuntu. Ma se pensate di installare nei vostri uffici la distro, allora la cosa si renderebbe necessaria (IMHO).
PS: queste indicazioni dovrebbero essere valide per tutte le distro. Essendo sudo un pacchetto NON esclusivo di Ubuntu. Però non so con esattezza come è impostato in default dagli altri.
Bella guida, e ti ringrazio per la segnalazione (anche se il trackback tarda ad arrivare).
Personalmente utilizzo Fedora Core ed ho un certo senso di schifo per Ubuntu 🙂 ma non manchero’ di applicare queste tue nozioni alla mia distro, perche’ in effetti un sudo ben configurato può semplificare la vita di tutti i giorni.
Certo, su una Ubuntu/Kubuntu/tutte quelle che finiscono per *buntu, sudo e’ decisamente pericoloso, eh 😉
Io ho provato ad inviarti il trackback, ma me lo rifiuta…
This is a blog,but IT is mine..
hai scordato il soggetto della frase!!
ps grazie mille..ho scaricato emule con facilità con il tuo aiuto
Ma… Trattandosi di un sistema multiutenza, perché semplicemente non creare più utenti inserendo nel gruppo admin solo quelli che effettivamente possono usare il sudo?
Magari uno lancia il sistema di default con un utente fuori dal gruppo admin, quindi per operazioni che richiedono il sudo, basta loggarsi come utente admin…..
Infatti. Il problema (che poi problema non è) è dato dal fatto che tutti gli utenti del gruppo admin possono in default usare sudo per qualsiasi cosa sia necessario root.
Basta registrare utenti non admin per risolvere il problema.
Il forcing dell’uso della password di root è una restrizione maggiore. Ne più ne meno sicura forse. Però in questo modo si evita che esistano più password con poteri di root (ne momento in cui nel sistema siano registrati più admin).
Alla fine non c’è giusto o sbagliato. Dipende dalle esigenze degli utilizzatori e dall’ambito di applicazione.
[ubuntu] – libc6 e applicazioni java
Se dopo un aggiornamento delle libc6 le vostre applicazioni java fanno le bizze (leggi: non funzionano più ) sappiate che solitamente è necessario modificare gli eseguibili di tali programmi attraverso qualche comando bash.
Nello specifico […]