Sudo e poteri di amministrazione troppo elevati

Non importa se ti serve una mano per partire o se vuoi un consiglio avanzato: gli utenti "del Pinguino" hanno una risposta per ogni necessità.
Regole del forum
Rispondi
Avatar utente
Usag
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 416
Iscritto il: gio lug 25, 2013 5:39 pm

Sudo e poteri di amministrazione troppo elevati

Messaggio da Usag »

Salve,
non mi piace molto la politica di permessi concessi agli utenti adottata da Ubuntu che con un semplice 'sudo' dia pieni poteri di amministrazione a utenti che invece dovrebbero limitarsi a non combinare danni. Per questo mi piace molto la politica delle altre distribuzioni, prima fra tutte Debian che scinde realmente l'utente root dall'utente normale; infatti ho provveduto ad abilitare l'utente root anche sulla mia Ubuntu. ora, siccome io ho Ubuntu condiviso in questo periodo con altra gente (familiari, ma pur sempre persone che non sono il sottoscritto), mi piacerebbe che non avessero pieni poteri di amministrazione semplicemente conoscendo la password di accesso al sistema. anche perché appunto conoscendo quella, una volta dentro, con 'sudo' sono liberi di fare qualsiasi cosa; e questo non deve accadere.
Allora sono andato nel file /etc/sudoers e ho commentato la riga relativa all'admin e quella subito sotto, relativa ai membri del gruppo:

Codice: Seleziona tutto

%admin ALL=(ALL) ALL
%sudo  ALL=(ALL:ALL) ALL
Il risultato è che non potevo accedere neanche alle partizioni cifrate, in quanto non me le faceva montare neanche con la password di root.
Tuttavia applicazioni come Synaptic o il Gestore dischi, Gparted etc. venivano avviate con la semplice password sudo (che poi è anche quella di accesso al sistema), come sempre.
Ora ho di nuovo riportato il file in questione come era originariamente e praticamente tutto è tornato come prima.
Questo è il file /etc/sudoers com'era prima e come l'ho riportato dopo il 'patatrack':

Codice: Seleziona tutto

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults	env_reset
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults   timestamp_timeout=0

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
Praticamente io volevo fare in modo che soltanto io fossi l'utente root, mentre gli altri utenti avessero poteri limitati (navigare, posta, stampa, montaggio volumi e spegnimento macchina), ma non poter accedere ad applicazioni importanti, come appunto quelle nominate poc'anzi.
So, dopo aver girato su Internet, che il file da modificare è questo, ma non vien spiegato in alcun modo come.
Grazie in anticipo per eventuali risposte.
Usag: Una bella donna non è colei di cui si lodano le belle gambe, ma quella il cui aspetto complessivo è di tale bellezza da togliere la possibilità di ammirare le singole parti

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Sudo e poteri di amministrazione troppo elevati

Messaggio da System » ven ago 23, 2013 11:45 pm


Avatar utente
The Doctor
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1848
Iscritto il: mer mag 01, 2013 3:46 pm
Località: Altrove
Contatta:

Re: Sudo e poteri di amministrazione troppo elevati

Messaggio da The Doctor »

La soluzione più semplice e rapida dovrebbe essere la seguente:

commenta nuovamente le righe >>>

Codice: Seleziona tutto

# %admin ALL=(ALL) ALL
# %sudo  ALL=(ALL:ALL) ALL
ed aggiungi il tuo utente sotto all'utente root (esempio) >>>

Codice: Seleziona tutto

# User privilege specification
root   ALL=(ALL:ALL) ALL
thedoctor ALL=(ALL:ALL) ALL
;)
Io sto con Wile Coyote e Gatto Silvestro...

Avatar utente
ninja
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 487
Iscritto il: lun ago 26, 2013 8:52 pm

Re: Sudo e poteri di amministrazione troppo elevati

Messaggio da ninja »

Ciao a tutti.

Non facevi prima a togliere tutti gli altri utenti dal gruppo admin?

Se preferisci la via manuale, il file dal modificare è /etc/group e basta farlo con qualsiasi editor di testo lanciato con i permessi di amministrazione...
... la riga da modificare è

Codice: Seleziona tutto

admin:x:119:mio_utente,altro_utente_amministratore,ancora_un_utente_amministratore,...
È possibile che il numero del gruppo, in questo caso 119, sia diverso, l'importante è che lasci solo il tuo utente nella lista che chiude la riga, in pratica diventa qualcosa del tipo

Codice: Seleziona tutto

admin:x:119:mio_utente 
:)

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Sudo e poteri di amministrazione troppo elevati

Messaggio da Al3x »

O.T. Ninja che piacere rivederti!!!
Bentrovato :clap
I :amore Sasha

Avatar utente
The Doctor
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1848
Iscritto il: mer mag 01, 2013 3:46 pm
Località: Altrove
Contatta:

Re: Sudo e poteri di amministrazione troppo elevati

Messaggio da The Doctor »

Ciao ninja, che piacere ritrovarti :clap
Io sto con Wile Coyote e Gatto Silvestro...

Avatar utente
Usag
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 416
Iscritto il: gio lug 25, 2013 5:39 pm

Re: Sudo e poteri di amministrazione troppo elevati

Messaggio da Usag »

Ciao a tutti,
credo di aver risolto comunque, magari con un metodo non troppo ortodosso, ma pare, almeno per ora, funzionare: praticamente sono andato nel file /etc/sudoers e nella riga relativa all'utente, ho tolto il terzo 'ALL' (che è quello relativo ai comandi concessi), e sono andato ad inserire soltanto l'eseguibile che permette il riconoscimento tramite password del volume criptato, che prima non apriva; adesso l'utente non può fare praticamente niente, se non appunto montare il volume criptato (che però senza la passphrase di Truecrypt non può fare comunque) e (purtroppo) ancora modificare manualmente i permessi delle cartelle (nonche le cartelle stesse) presenti nella home, oltre ovviamente a spengere, navigare e legger la posta. per il resto, è tutto fuori uso (per l'utente, ovviamente) e anche il terminale col sudo non fa più niente, bisogna essere per forza root. Di seguito, posto l'output del file /etc/sudoers 'corretto':

Codice: Seleziona tutto

 #
    # This file MUST be edited with the 'visudo' command as root.
    #
    # Please consider adding local content in /etc/sudoers.d/ instead of
    # directly modifying this file.
    #
    # See the man page for details on how to write a sudoers file.
    #
    Defaults        env_reset
    Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
    Defaults        timestamp_timeout=0

    # Host alias specification

    # User alias specification

    # Cmnd alias specification

    # User privilege specification
    root      ALL=(ALL:ALL) ALL
    utente    ALL=(ALL) /usr/bin/truecrypt --core-service    <-------------------------------------------------------

    # Members of the admin group may gain root privileges
    #%admin   ALL=(ALL) ALL

    # Allow members of group sudo to execute any command
    #%sudo    ALL=(ALL) ALL

    # See sudoers(5) for more information on "#include" directives:

    #includedir /etc/sudoers.d
La riga relativa all'utente (indicata con la freccia) è quella modificata; inoltre ho commentato la riga dei membri del gruppo admin e del gruppo sudo, che tra l'altro non esistono nenache, quindi non aveva senso tenerli abilitati.
L'unico, per ora, effetto collaterale è che Bleachbit eseguito come amministratore non si avvia, o meglio si avvia ma alla richiesta della password non accetta né quella dell'utente né quella di root. ora però non vorrei che fosse una semplice combinazione dovuta magari a un bug di Bleachbit stesso; però tutte le altre applicazioni 'importanti', tipo Synaptic, Gparted, lo stesso gestore delle connessioni Internet, il gestore aggiornamenti, etc. chiedono, giustamente, la password di root e non danno problemi.
Grazie per tutto lo stesso :grazie
Usag: Una bella donna non è colei di cui si lodano le belle gambe, ma quella il cui aspetto complessivo è di tale bellezza da togliere la possibilità di ammirare le singole parti

Avatar utente
Usag
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 416
Iscritto il: gio lug 25, 2013 5:39 pm

Re: Sudo e poteri di amministrazione troppo elevati

Messaggio da Usag »

Grazie Ninja per la tua dritta tecnica, la terrò cmq presente; imparare da esperti come te è sempre un piacere ;)
Usag: Una bella donna non è colei di cui si lodano le belle gambe, ma quella il cui aspetto complessivo è di tale bellezza da togliere la possibilità di ammirare le singole parti

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Sudo e poteri di amministrazione troppo elevati

Messaggio da System » mar ago 27, 2013 11:44 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio