su o sudo?

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
iLupus
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 86
Iscritto il: gio dic 05, 2013 1:46 am

su o sudo?

Messaggio da iLupus »

Inoltre su ubuntu è di default l'account di amministrazione, mentre su fedora (secondo me giustamente) no. Per cui l'account non è un sudoers, e si accede ai privilegi di root con su, dopo di ché si da la rispettiva linea di comando da eseguirsi da root.

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: su o sudo?

Messaggio da System » mer mag 27, 2020 10:26 am


Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1958
Iscritto il: lun gen 26, 2015 10:13 am

Re: su o sudo?

Messaggio da CUB3 »

iLupus ha scritto:
dom mag 24, 2020 7:37 pm
Inoltre su ubuntu è di default l'account di amministrazione, mentre su fedora (secondo me giustamente) no. Per cui l'account non è un sudoers, e si accede ai privilegi di root con su, dopo di ché si da la rispettiva linea di comando da eseguirsi da root.
In realtà è l'esatto opposto!! Su Ubuntu l'utente root è disabilitato di default; l'untente normale è configurato per l'utilizzo di sudo perché è ritenuto più sicuro per una serie di motivi. Inoltre tramite sudo, puoi limitare i privilegi di amministratore per un dato tempo, solo per uno specifico utente, solo per specifiche operazioni, ...
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
iLupus
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 86
Iscritto il: gio dic 05, 2013 1:46 am

Re: su o sudo?

Messaggio da iLupus »

CUB3 ha scritto:
dom mag 24, 2020 9:56 pm
In realtà è l'esatto opposto!! Su Ubuntu l'utente root è disabilitato di default; l'untente normale è configurato per l'utilizzo di sudo perché è ritenuto più sicuro per una serie di motivi. Inoltre tramite sudo, puoi limitare i privilegi di amministratore per un dato tempo, solo per uno specifico utente, solo per specifiche operazioni, ...
Il fatto che sia ritenuto più sicuro dal wiki di debian, è perché sia Mac Os x che fedora (per citare i due che conosco) hanno un sistema di privilegi che non sono contemplate dal wiki di debian. Mi spiego meglio: su OS X, sistema certificato UNIX io raccomando sempre (per essere sicuri al 100% invece che al 90%) di usare per tutti i giorni un account NON amministrativo. Negli account non amministrativi (quindi più sicuri dal punto di vista degli attacchi informatici) non si può usare sudo perché non sei un sudoers. In pratica se vuoi fare un comando amministrativo sul terminale del Mac non essendo amministratore, devi fare

Codice: Seleziona tutto

su "nome amministratore"
dopo di che puoi fare

Codice: Seleziona tutto

sudo purge
"purge" tanto per fare un esempio di comando da root. Questo mette un doppio lucchetto, infatti tu devi rifare la password due volte, e non una (!!!) e in più devi sapere il nome dell'amministratore. Un malware non può in nessun modo installarsi su un utente non sudoers in questo modo.
In fedora il sistema è simile, se l'utente non è amministratore devi fare

Codice: Seleziona tutto

su
al terminale. Questi privilegi di root valgono solo per quel terminale che apri lì, e non sono validi per altre operazioni fuori da quella sessione (se tu apri un altro terminale parallelo e contemporaneo, non avrai nessun privilegio. Inoltre mentre come dici tu autorizzi "un solo utente per specifiche operazioni", con il sistema dell'utente "non sudoers" l'utente se non sa quello che fa, operazioni non ne può fare proprio se non entra in quella sola sessione di terminale con su. Inoltre non sarebbe la prima volta che un malware si finge un'al'tra cosa per ottenere dei privilegi di root trovando una backdoor in un'operazione che in teoria non doveva essere pericolosa per il sistema. Se quell'utente è un sudoers con un qualche accrocchio maligno, il malware potrebbe eseguirsi. Il wiki di debian considera più pericoloso su perché in teoria (ma bisogna vedere se è così, magari ci sono dei blocchi) uno potrebbe attentare alla privacy di altri utenti da quell'utente che usa su nel terminale. In pratica si considera che è più importante arginare degli ipotetici quanto improbabili attacchi dall'interno rispetto a quelli di vari malware o programmi maligni esterni. Non sono d'accordo.

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1958
Iscritto il: lun gen 26, 2015 10:13 am

Re: su o sudo?

Messaggio da CUB3 »

iLupus ha scritto:
mer mag 27, 2020 10:30 am
Mi spiego meglio: su OS X, sistema certificato UNIX io raccomando sempre (per essere sicuri al 100% invece che al 90%) di usare per tutti i giorni un account NON amministrativo. Negli account non amministrativi (quindi più sicuri dal punto di vista degli attacchi informatici) non si può usare sudo perché non sei un sudoers. In pratica se vuoi fare un comando amministrativo sul terminale del Mac non essendo amministratore, devi fare

Codice: Seleziona tutto

su "nome amministratore"
dopo di che puoi fare

Codice: Seleziona tutto

sudo purge
"purge" tanto per fare un esempio di comando da root. Questo mette un doppio lucchetto, infatti tu devi rifare la password due volte, e non una (!!!) e in più devi sapere il nome dell'amministratore. Un malware non può in nessun modo installarsi su un utente non sudoers in questo modo.
Questa procedura aggiunge solo complessità al sistema e porta ad una conclusione errata. Infatti, su MacOS è vero che un account amministratore può installare programmi, modificare le impostazioni di sistema e creare, modificare o eliminare utenti e gruppi ma è anche vero che un utente "standard" può installare ed eseguire programmi e script localmente che quindi possono anche essere malware in grado di aprire una reverse shell, criptare i file personali dell'utente interessato, rubare le credenziali di accesso ai siti, minare bitcoin, ...
iLupus ha scritto:In fedora il sistema è simile, se l'utente non è amministratore devi fare

Codice: Seleziona tutto

su
al terminale. Questi privilegi di root valgono solo per quel terminale che apri lì, e non sono validi per altre operazioni fuori da quella sessione (se tu apri un altro terminale parallelo e contemporaneo, non avrai nessun privilegio.
Questo vale a maggior ragione per sudo! Infatti con sudo non avrai mai un'intera sessione di root ma, con i massimi privilegi, sarà eseguito un solo comando alla volta!
Inoltre affinche su avvi una shell interattiva come root è richiesto che l'account root abbia la possibilità di fare login sul sistema; questo, per riprendere l'esempio dei lucchetti che dicevi prima, è come avere mezzo lucchetto perché l'username è conosciuto (è root!) e si deve "soltanto" indovinare (o fare un bruteforce) sulla password. Il sistema adottato da Ubuntu (bada bene solo da Ubuntu, non da Debian) è una soluzione brillante a questo problema: l'utente root ha l'accesso disabilitato e quindi, per ottenere i privilegi di amministratore si deve conoscere due valori assegnati arbitrariamente: il nome di un account sudoers e la password (che come ho detto in precedenza può anche essere diversa dalla password di login dell'utente!).
iLupus ha scritto:con il sistema dell'utente "non sudoers" l'utente se non sa quello che fa, operazioni non ne può fare proprio
Quindi non può nemmeno aggiornare il sistema cosa che un utente sudoers debitamente configurato, potrebbe benissimo fare (e si potrebbe benissimo concedergli solo questo privilegio!). E noi sappiamo bene come un sistema aggiornato sia più sicuro ;)
iLupus ha scritto:Inoltre non sarebbe la prima volta che un malware si finge un'al'tra cosa per ottenere dei privilegi di root trovando una backdoor in un'operazione che in teoria non doveva essere pericolosa per il sistema. Se quell'utente è un sudoers con un qualche accrocchio maligno, il malware potrebbe eseguirsi.
È vero. Ai malware piace fingersi quello che non sono, ma come detto per il caso di MacOS, per fare danni (ad esempio, possono sfruttare una macro di una suite da ufficio) non è necessario acquisire diritti di amministratore.
iLupus ha scritto: Il wiki di debian considera più pericoloso su perché in teoria (ma bisogna vedere se è così, magari ci sono dei blocchi) uno potrebbe attentare alla privacy di altri utenti da quell'utente che usa su nel terminale. In pratica si considera che è più importante arginare degli ipotetici quanto improbabili attacchi dall'interno rispetto a quelli di vari malware o programmi maligni esterni. Non sono d'accordo.
Non è assolutamente vero. Un utente sudoers, se non limitato, può accedere all'intero sistema esattamente come utilizzando su. Il motivo per cui Debian preferisce sudo è chiaramente espresso nella wiki e non devo certo riportarlo qui.

Comunque, ti ripeto, io non voglio convincere nessuno, se tu credi che il tuo sistema sia migliore continua ad utilizzarlo, ma mi permetto di darti solo un consiglio: dato che non c'è cosa peggiore di un falso senso di sicurezza, non sarei convinto al 100% che il tuo sistema è sicuro cit.
iLupus ha scritto:
mer mag 27, 2020 10:30 am
(per essere sicuri al 100% invece che al 90%)
tieniti un po' di margine giusto per non abbassare troppo la guardia :ciao

Concludo con un meme:
BTW I USE ARCH :mrgreen:
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
iLupus
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 86
Iscritto il: gio dic 05, 2013 1:46 am

Re: su o sudo?

Messaggio da iLupus »

Devo dire che è successo qualcosa di strano: oggi ho voluto provare sul computer "quello potente" (un i5 3.40 Ghz con 20 Gb di RAM, buttato in discarica perché aveva una scheda sata nella scheda madre che "bloccava" il boot... :rotolo ) la distro ufficiale di fedora (la gnome) e ha una diversa configurazione del permessi nella direzione che dici tu. E devo capire come posso abilitare i non amministratori a fare gli aggiornamenti senza dargli le password di casette altrui... :thinking Pensa che sarà 10 anni che utilizzavo solo le "spin" di fedora e mai quella ufficlale, del resto anche per ubuntu io uso lubuntu... Non pensavo che la stessa versione potesse avere due configurazioni di permessi.

Comunque per mac os x fare come ho detto io è il modo più sicuro (o meno insicuro, come preferisci). Se qualcuno installa cavolate "in locale" basta eliminare l'account intero.

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: su o sudo?

Messaggio da System » gio mag 28, 2020 1:54 pm


Rispondi