Salve,
non mi piace molto la politica di permessi concessi agli utenti adottata da Ubuntu che con un semplice 'sudo' dia pieni poteri di amministrazione a utenti che invece dovrebbero limitarsi a non combinare danni. Per questo mi piace molto la politica delle altre distribuzioni, prima fra tutte Debian che scinde realmente l'utente root dall'utente normale; infatti ho provveduto ad abilitare l'utente root anche sulla mia Ubuntu. ora, siccome io ho Ubuntu condiviso in questo periodo con altra gente (familiari, ma pur sempre persone che non sono il sottoscritto), mi piacerebbe che non avessero pieni poteri di amministrazione semplicemente conoscendo la password di accesso al sistema. anche perché appunto conoscendo quella, una volta dentro, con 'sudo' sono liberi di fare qualsiasi cosa; e questo non deve accadere.
Allora sono andato nel file /etc/sudoers e ho commentato la riga relativa all'admin e quella subito sotto, relativa ai membri del gruppo:
Il risultato è che non potevo accedere neanche alle partizioni cifrate, in quanto non me le faceva montare neanche con la password di root.
Tuttavia applicazioni come Synaptic o il Gestore dischi, Gparted etc. venivano avviate con la semplice password sudo (che poi è anche quella di accesso al sistema), come sempre.
Ora ho di nuovo riportato il file in questione come era originariamente e praticamente tutto è tornato come prima.
Questo è il file /etc/sudoers com'era prima e come l'ho riportato dopo il 'patatrack':
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults timestamp_timeout=0
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
Praticamente io volevo fare in modo che soltanto io fossi l'utente root, mentre gli altri utenti avessero poteri limitati (navigare, posta, stampa, montaggio volumi e spegnimento macchina), ma non poter accedere ad applicazioni importanti, come appunto quelle nominate poc'anzi.
So, dopo aver girato su Internet, che il file da modificare è questo, ma non vien spiegato in alcun modo come.
Grazie in anticipo per eventuali risposte.
Usag: Una bella donna non è colei di cui si lodano le belle gambe, ma quella il cui aspetto complessivo è di tale bellezza da togliere la possibilità di ammirare le singole parti
Non facevi prima a togliere tutti gli altri utenti dal gruppo admin?
Se preferisci la via manuale, il file dal modificare è /etc/group e basta farlo con qualsiasi editor di testo lanciato con i permessi di amministrazione...
... la riga da modificare è
È possibile che il numero del gruppo, in questo caso 119, sia diverso, l'importante è che lasci solo il tuo utente nella lista che chiude la riga, in pratica diventa qualcosa del tipo
Ciao a tutti,
credo di aver risolto comunque, magari con un metodo non troppo ortodosso, ma pare, almeno per ora, funzionare: praticamente sono andato nel file /etc/sudoers e nella riga relativa all'utente, ho tolto il terzo 'ALL' (che è quello relativo ai comandi concessi), e sono andato ad inserire soltanto l'eseguibile che permette il riconoscimento tramite password del volume criptato, che prima non apriva; adesso l'utente non può fare praticamente niente, se non appunto montare il volume criptato (che però senza la passphrase di Truecrypt non può fare comunque) e (purtroppo) ancora modificare manualmente i permessi delle cartelle (nonche le cartelle stesse) presenti nella home, oltre ovviamente a spengere, navigare e legger la posta. per il resto, è tutto fuori uso (per l'utente, ovviamente) e anche il terminale col sudo non fa più niente, bisogna essere per forza root. Di seguito, posto l'output del file /etc/sudoers 'corretto':
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults timestamp_timeout=0
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
utente ALL=(ALL) /usr/bin/truecrypt --core-service <-------------------------------------------------------
# Members of the admin group may gain root privileges
#%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
#%sudo ALL=(ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
La riga relativa all'utente (indicata con la freccia) è quella modificata; inoltre ho commentato la riga dei membri del gruppo admin e del gruppo sudo, che tra l'altro non esistono nenache, quindi non aveva senso tenerli abilitati.
L'unico, per ora, effetto collaterale è che Bleachbit eseguito come amministratore non si avvia, o meglio si avvia ma alla richiesta della password non accetta né quella dell'utente né quella di root. ora però non vorrei che fosse una semplice combinazione dovuta magari a un bug di Bleachbit stesso; però tutte le altre applicazioni 'importanti', tipo Synaptic, Gparted, lo stesso gestore delle connessioni Internet, il gestore aggiornamenti, etc. chiedono, giustamente, la password di root e non danno problemi.
Grazie per tutto lo stesso
Usag: Una bella donna non è colei di cui si lodano le belle gambe, ma quella il cui aspetto complessivo è di tale bellezza da togliere la possibilità di ammirare le singole parti
Grazie Ninja per la tua dritta tecnica, la terrò cmq presente; imparare da esperti come te è sempre un piacere
Usag: Una bella donna non è colei di cui si lodano le belle gambe, ma quella il cui aspetto complessivo è di tale bellezza da togliere la possibilità di ammirare le singole parti
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.