Sudo e poteri di amministrazione troppo elevati

[Usag]

Salve,
non mi piace molto la politica di permessi concessi agli utenti adottata da Ubuntu che con un semplice 'sudo' dia pieni poteri di amministrazione a utenti che invece dovrebbero limitarsi a non combinare danni. Per questo mi piace molto la politica delle altre distribuzioni, prima fra tutte Debian che scinde realmente l'utente root dall'utente normale; infatti ho provveduto ad abilitare l'utente root anche sulla mia Ubuntu. ora, siccome io ho Ubuntu condiviso in questo periodo con altra gente (familiari, ma pur sempre persone che non sono il sottoscritto), mi piacerebbe che non avessero pieni poteri di amministrazione semplicemente conoscendo la password di accesso al sistema. anche perché appunto conoscendo quella, una volta dentro, con 'sudo' sono liberi di fare qualsiasi cosa; e questo non deve accadere.
Allora sono andato nel file /etc/sudoers e ho commentato la riga relativa all'admin e quella subito sotto, relativa ai membri del gruppo:

Codice: Seleziona tutto

%admin ALL=(ALL) ALL
%sudo  ALL=(ALL:ALL) ALL

Il risultato è che non potevo accedere neanche alle partizioni cifrate, in quanto non me le faceva montare neanche con la password di root.
Tuttavia applicazioni come Synaptic o il Gestore dischi, Gparted etc. venivano avviate con la semplice password sudo (che poi è anche quella di accesso al sistema), come sempre.
Ora ho di nuovo riportato il file in questione come era originariamente e praticamente tutto è tornato come prima.
Questo è il file /etc/sudoers com'era prima e come l'ho riportato dopo il 'patatrack':

Codice: Seleziona tutto

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults	env_reset
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults   timestamp_timeout=0

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d

Praticamente io volevo fare in modo che soltanto io fossi l'utente root, mentre gli altri utenti avessero poteri limitati (navigare, posta, stampa, montaggio volumi e spegnimento macchina), ma non poter accedere ad applicazioni importanti, come appunto quelle nominate poc'anzi.
So, dopo aver girato su Internet, che il file da modificare è questo, ma non vien spiegato in alcun modo come.
Grazie in anticipo per eventuali risposte.

[The Doctor]

La soluzione più semplice e rapida dovrebbe essere la seguente:

commenta nuovamente le righe >>>

Codice: Seleziona tutto

# %admin ALL=(ALL) ALL
# %sudo  ALL=(ALL:ALL) ALL

ed aggiungi il tuo utente sotto all'utente root (esempio) >>>

Codice: Seleziona tutto

# User privilege specification
root   ALL=(ALL:ALL) ALL
thedoctor ALL=(ALL:ALL) ALL

[ninja]

Ciao a tutti.

Non facevi prima a togliere tutti gli altri utenti dal gruppo admin?

Se preferisci la via manuale, il file dal modificare è /etc/group e basta farlo con qualsiasi editor di testo lanciato con i permessi di amministrazione...
... la riga da modificare è

Codice: Seleziona tutto

admin:x:119:mio_utente,altro_utente_amministratore,ancora_un_utente_amministratore,...

È possibile che il numero del gruppo, in questo caso 119, sia diverso, l'importante è che lasci solo il tuo utente nella lista che chiude la riga, in pratica diventa qualcosa del tipo

Codice: Seleziona tutto

admin:x:119:mio_utente 

[Al3x]

O.T. Ninja che piacere rivederti!!!
Bentrovato

[The Doctor]

Ciao ninja, che piacere ritrovarti

[Usag]

Ciao a tutti,
credo di aver risolto comunque, magari con un metodo non troppo ortodosso, ma pare, almeno per ora, funzionare: praticamente sono andato nel file /etc/sudoers e nella riga relativa all'utente, ho tolto il terzo 'ALL' (che è quello relativo ai comandi concessi), e sono andato ad inserire soltanto l'eseguibile che permette il riconoscimento tramite password del volume criptato, che prima non apriva; adesso l'utente non può fare praticamente niente, se non appunto montare il volume criptato (che però senza la passphrase di Truecrypt non può fare comunque) e (purtroppo) ancora modificare manualmente i permessi delle cartelle (nonche le cartelle stesse) presenti nella home, oltre ovviamente a spengere, navigare e legger la posta. per il resto, è tutto fuori uso (per l'utente, ovviamente) e anche il terminale col sudo non fa più niente, bisogna essere per forza root. Di seguito, posto l'output del file /etc/sudoers 'corretto':

Codice: Seleziona tutto

 #
    # This file MUST be edited with the 'visudo' command as root.
    #
    # Please consider adding local content in /etc/sudoers.d/ instead of
    # directly modifying this file.
    #
    # See the man page for details on how to write a sudoers file.
    #
    Defaults        env_reset
    Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
    Defaults        timestamp_timeout=0

    # Host alias specification

    # User alias specification

    # Cmnd alias specification

    # User privilege specification
    root      ALL=(ALL:ALL) ALL
    utente    ALL=(ALL) /usr/bin/truecrypt --core-service    <-------------------------------------------------------

    # Members of the admin group may gain root privileges
    #%admin   ALL=(ALL) ALL

    # Allow members of group sudo to execute any command
    #%sudo    ALL=(ALL) ALL

    # See sudoers(5) for more information on "#include" directives:

    #includedir /etc/sudoers.d

La riga relativa all'utente (indicata con la freccia) è quella modificata; inoltre ho commentato la riga dei membri del gruppo admin e del gruppo sudo, che tra l'altro non esistono nenache, quindi non aveva senso tenerli abilitati.
L'unico, per ora, effetto collaterale è che Bleachbit eseguito come amministratore non si avvia, o meglio si avvia ma alla richiesta della password non accetta né quella dell'utente né quella di root. ora però non vorrei che fosse una semplice combinazione dovuta magari a un bug di Bleachbit stesso; però tutte le altre applicazioni 'importanti', tipo Synaptic, Gparted, lo stesso gestore delle connessioni Internet, il gestore aggiornamenti, etc. chiedono, giustamente, la password di root e non danno problemi.
Grazie per tutto lo stesso

[Usag]

Grazie Ninja per la tua dritta tecnica, la terrò cmq presente; imparare da esperti come te è sempre un piacere