Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Sudo e poteri d'amministrazione troppo elevati Opzioni
usag
Inviato: Friday, August 23, 2013 11:40:35 PM
Rank: AiutAmico

Iscritto dal : 7/7/2007
Posts: 220
Salve,
non mi piace molto la politica di permessi concessi agli utenti adottata da Ubuntu che con un semplice 'sudo' dia pieni poteri di amministrazione a utenti che invece dovrebbero limitarsi a non combinare danni. Per questo mi piace molto la politica delle altre distribuzioni, prima fra tutte Debian che scinde realmente l'utente root dall'utente normale; infatti ho provveduto ad abilitare l'utente root anche sulla mia Ubuntu. ora, siccome io ho Ubuntu condiviso in questo periodo con altra gente (familiari, ma pur sempre persone che non sono il sottoscritto), mi piacerebbe che non avessero pieni poteri di amministrazione semplicemente conoscendo la password di accesso al sistema. anche perché appunto conoscendo quella, una volta dentro, con 'sudo' sono liberi di fare qualsiasi cosa; e questo non deve accadere.
Allora sono andato nel file /etc/sudoers e ho commentato la riga relativa all'admin e quella subito sotto, relativa ai membri del gruppo:

Code:
%admin ALL=(ALL) ALL
%sudo  ALL=(ALL:ALL) ALL


Il risultato è che non potevo accedere neanche alle partizioni cifrate, in quanto non me le faceva montare neanche con la password di root.
Tuttavia applicazioni come Synaptic o il Gestore dischi, Gparted etc. venivano avviate con la semplice password sudo (che poi è anche quella di accesso al sistema), come sempre.
Ora ho di nuovo riportato il file in questione come era originariamente e praticamente tutto è tornato come prima.
Questo è il file /etc/sudoers com'era prima e come l'ho riportato dopo il 'patatrack':
Code:
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults    env_reset
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults    timestamp_timeout=0

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo    ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d

Praticamente io volevo fare in modo che soltanto io fossi l'utente root, mentre gli altri utenti avessero poteri limitati (navigare, posta, stampa, montaggio volumi e spegnimento macchina), ma non poter accedere ad applicazioni importanti, come appunto quelle nominate poc'anzi.
So, dopo aver girato su Internet, che il file da modificare è questo, ma non vien spiegato in alcun modo come.
Grazie in anticipo per eventuali risposte.
Sponsor
Inviato: Friday, August 23, 2013 11:40:35 PM

 
sioux
Inviato: Saturday, August 24, 2013 1:00:02 AM
Rank: AiutAmico

Iscritto dal : 1/5/2008
Posts: 2,335
Ma non ti conviene cambiare la tua Pass sulla sessione Admin e chiedere agli altri utilizzatori di usare la Sessione Ospite, sessione appositamente prevista per limitare gli accessi troppo indiscreti?
usag
Inviato: Saturday, August 24, 2013 11:27:59 AM
Rank: AiutAmico

Iscritto dal : 7/7/2007
Posts: 220
Ciao Sioux,


Commenta:
Ma non ti conviene cambiare la tua Pass sulla sessione Admin e chiedere agli altri utilizzatori di usare la Sessione Ospite, sessione appositamente prevista per limitare gli accessi troppo indiscreti?


Mi ero dimenticato di dire che avevo pensato a questo, però c'è un limite; siccome nella sessione attuale ho praticamente 'stravolto' Ubuntu, rendendolo una perfetta copia in stile Mac (non solo per via dell'estetica, ma anche per la praticità d'uso, anche per gli altri utenti), se creo una sessione ospite, mi viene riproposto il tema classico di Ubuntu, con Unity e tutto quanto e questo, oltre ad essere antiestetico, manderebbe in crisi gli utilizzatori ospiti che di Linux non sanno neanche l'esistenza (pensa che sono convinti di lavorare con un Mac Whistle ).
È per questo che volevo 'operare' all'interno della sezione Admin.
Grazie.
sioux
Inviato: Saturday, August 24, 2013 12:36:55 PM
Rank: AiutAmico

Iscritto dal : 1/5/2008
Posts: 2,335
Senza andare a modificare certi files peraltro assai "sensibili", forse potresti risolvere tramite l'applicazione "users-admin" che permette di abilitare certe applicazioni (lista predisposta + possibilità di integrare scelte personali).



Non penso sia istallata di Default sulle versioni Ubuntu recenti ma fa parte dell'ottimo pacchetto
Code:
gnome-system-tools

presente nei depositi ufficiali.

usag
Inviato: Saturday, August 24, 2013 6:09:51 PM
Rank: AiutAmico

Iscritto dal : 7/7/2007
Posts: 220
Come da tuo consiglio, dopo aver installato il pacchetto gnome-system-tools, ho cercato l'applicazione users-admin ma non ho trovato né il pacchetto né l'applicazione; io cmq credo sia già presente una sorta di tool simile, in Impostazioni utente --> Account utente, anche se più limitato in quanto permette solo di aggiungere o eliminare utenti, ma non di deciderne i poteri da assegnare a ciascuno.
sioux
Inviato: Saturday, August 24, 2013 6:35:34 PM
Rank: AiutAmico

Iscritto dal : 1/5/2008
Posts: 2,335
Nel terminale:
Code:
users-admin

o cercare la voce "Utenti e gruppi" nel Menu.
usag
Inviato: Saturday, August 24, 2013 10:52:08 PM
Rank: AiutAmico

Iscritto dal : 7/7/2007
Posts: 220
Ciao,
allora ho trovato la sezione Utenti e gruppi e ho cercato di apportare le modifiche nella sezione Avanzate, tuttavia ho visto che non riesce a mantenerle, infatti ogni volta che riaprivo la finestra, tutto tornava come prima. subito dopo ho avuto una specie di lampo di genio Drool e così sono andato nella sezione Account dal pannello principale, 'trasformando' l'utente Amministratore, in Utente normale; adesso la cosa è risolta al 90%: infatti adesso si verifica la situazione opposta alla prima, ossia nel terminale col sudo, continuo a fare qualsiasi cosa (cosa molto negativa, questa), mentre nella parte diciamo 'grafica', adesso, come volevo, è richiesta la password di root per le applicazioni più critiche, come infatti dovrebbe essere (Gparted, Synaptic, Modifica delle connessioni di rete, Ubuntu tweak, etc.), e questo è, almeno in questo senso, ciò che volevo.
Allora, per risolvere il discorso del terminale (ossia per eliminare la possibilità di usare il sudo per acquisire i privilegi di root), sono stato costretto ad entrare nel file /etc/sudoers e ho fatto 2 tentativi: il primo eliminando del tutto l'utente dal file, e il secondo commentando le righe relative all'utente admin e la riga relativa al sudo, come avevo già mostrato nel post iniziale; il bello è che entrambi i tentativi avevano dato il risultato sperato, infatti nel terminale potevo loggarmi esclusivamente col su, quindi come utente root.
Tutto sembrava risolto. Come al solito, c'è sempre la fregatura, però; e infatti mi sono accorto poco dopo di un piccolo grande effetto collaterale; infatti io ho una partizione Dati cifrata con Truecrypt e quando vado a montarla, mi viene chiesta oltre alla passphrase, anche la password di amministrazione, e qui iniziano i problemi. Quando do la pwd (che sia di accesso utente, o di root), mi restituisce un messaggio d'errore, dicendomi più o meno (ora non ricordo le parole precise) che non si hanno i privilegi di amministrazione per montare il volume.
Sono sicuro che è dovuto a questa modifica, infatti se torno nel file /etc/sudoers e aggiungo una riga come questa, sotto la riga relativa a root:

Code:
utente ALL=(ALL) ALL


dove utente è il nome utente, ovviamente, il volume viene montato (con la pwd di sudo), però anche nel terminale viene riabilitato il sudo e siamo alle solite; è un circolo senza fine.
C'è verso creare una riga tipo quella postata, attribuendo all'utente anziché 'tutto', soltanto il montaggio dei volumi, la navigazione, la posta e lo spegnimento?
Per il resto, grazie mille!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.