Differences between revisions 27 and 28
Revision 27 as of 2020-02-14 11:32:43
Size: 11353
Comment: sync with English master v.47
Revision 28 as of 2021-11-29 11:19:54
Size: 9328
Comment: sync with English master v.54
Deletions are marked like this. Additions are marked like this.
Line 2: Line 2:
~-[[DebianWiki/EditorGuide#translation|Translation(s)]]: [[ar/sudo|العربية]] - [[sudo|English]] - [[es/sudo|Español]] - [[fr/sudo|Français]] - Italiano - [[ru/sudo|Русский]]-~ <<Include(sudo, ,from="^##TAG:TRANSLATION-HEADER-START",to="^##TAG:TRANSLATION-HEADER-END")>>
Line 82: Line 82:
Ecco un esempio veloce se si desidera consentire ad alcuni utenti di eseguire determinati programmi (per maggiori informazioni leggere il manuale). Se si desidera permettere a certi utenti di eseguire specifici programmi, ecco un esempio veloce (per maggiori informazioni, leggere il manuale) che si può mettere in un file in /etc/sudoers.d, probabilmente usando visudo -f /etc/sudoers.d/miofile.
Line 85: Line 85:
# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#
Line 92: Line 86:
Defaults env_reset
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
User_Alias MYADMINS = pippo
Line 95: Line 88:
# Host alias specification
User_Alias MYADMINS = jdoe

# User alias specification

# Cmnd alias specification
Line 104: Line 91:
# User privilege specification

# Users listed above (MYADMINS) can run package managers and reboot the system.
# Gli utenti elencati sopra (in MYADMINS) possono eseguire i gestori dei pacchetti e riavviare il sistema.
Line 109: Line 94:
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL

#Default rule for root.
root ALL=(ALL) ALL

#includedir /etc/sudoers.d
Line 119: Line 97:

=== PATH not impostato ===

Un errore tipico che si verifica usando sudo per installare un pacchetto è:

{{{
dpkg: attenzione: 'ldconfig' non è stato trovato nella variabile PATH o non è un eseguibile.
dpkg: attenzione: 'start-stop-daemon' non è stato trovato nella variabile PATH o non è un eseguibile.
dpkg: error: 2 expected programs not found in PATH or not executable.
Note: root's PATH should usually contain /usr/local/sbin, /usr/sbin and /sbin.
}}}

Il file /etc/sudoers nel pacchetto contiene questa riga:

{{{
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
}}}

Le versioni precedenti non la includevano. Se si ha un file /etc/sudoers modificato localmente (questo è il caso della maggior parte di persone) e poi si aggiorna mantenendo la propria versione locale modificata, allora il file mancherà di questa riga necessaria. Non scavalcherà più l'impostazione del PATH quando si usa sudo; ciò con ogni propabibilità avrà come risultato un PATH non impostato in modo corretto e che non include le directory di sistema. La soluzione è quella di fondere le modifiche locali nel nuovo file /etc/sudoers del pacchetto, oppure di mettere le modifiche locali nella nuova posizione /etc/sudoers.d/ in un file con un nome univoco come {{{/etc/sudoers.d/local-sudoers}}}. Per i dettagli vedere il bug Debian DebianBug:639841.
Line 155: Line 114:
Questo messaggio significa esattamente ciò che dice: l'utente che si sta usando non ha il permesso di eseguire il comando specificato sulla macchina. Una ragione possibile che può indurre in confusione è il fatto che l'amministratore ha appena aggiunto mario al gruppo privilegiato, ma si sta usando sempre un accesso alla macchina vecchio che non ha le nuove informazioni sui gruppi e perciò non ha i nuovi permessi sudo. A coloro che si trovano in questa situazione viene solitamente consigliato di fare un logout e poi nuovamente il login, anche se a volte la cosa si può risolvere facendo solamente un nuovo "login a caldo" con {{{su - $USER}}} Questo messaggio significa esattamente ciò che dice: l'utente che si sta usando non ha il permesso di eseguire il comando specificato sulla macchina. Una ragione possibile che può indurre in confusione è il fatto che l'amministratore ha appena aggiunto mario al gruppo privilegiato, ma si sta usando sempre un accesso alla macchina vecchio che non ha le nuove informazioni sui gruppi e perciò non ha i nuovi permessi sudo. A coloro che si trovano in questa situazione viene solitamente consigliato di fare un logout e poi nuovamente il login, anche se a volte la cosa si può risolvere facendo solamente un nuovo "login a caldo" con {{{su - $USER}}} o cambiare gruppo con {{{newgrp sudo}}}.
Line 159: Line 118:
Il file {{{/etc/sudoers}}} standard in Wheezy, nella versione 1.8.2-1, termina con la riga: Il file {{{/etc/sudoers}}} standard termina con la riga:
Line 167: Line 126:
È raccomandato fare anche le modifiche locali in un frammento di configurazione.
Line 170: Line 131:
La spiegazione solitamente fornita è che questa impostazione assicura che gli amministratori modifichino il file solamente usando il comando {{{visudo}}}. Tuttavia, questa teoria è un po' zoppicante. Il fatto di avere permessi 0440 non impedisce affatto di fare {{{sudo nano /etc/sudoers}}}: la maggior parte degli editor di testo permette di modificare file senza lamentarsi del fatto che sia in sola lettura. Inoltre, se si danneggia {{{/etc/sudoers}}}, la soluzione è semplice quanto eseguire {{{su -c visudo}}}, che è nulla in confronto al tipo di procedura di recupero che si deve fare se si danneggia qualcosa come {{{/etc/inittab}}} (permessi 0644). Perciò, se c'è un buon motivo per questi permessi insoliti, questo rimane un mistero: suggerimenti sono i benvenuti. La spiegazione è che questa impostazione motiva gli amministratori a modificarlo solamente usando il comando {{{visudo}}} che fornisce controlli aggiuntivi prima di lasciare il nuovo file nella sua posizione. Si potrebbe pensare che la soluzione per un {{{/etc/sudoers}}} danneggiato sia semplice quanto eseguire {{{su -c visudo}}}, ma sudo è spesso usato in posti in cui fare semplicemente {{{su}}} in root non è possibile, semplicemente perché non si conosce la password di root.
Line 172: Line 133:
=== Directory HOME (e impostazioni di profilo) sbagliate === The explanation is that it was set up this way to motivate admins to only ever edit it via the command {{{visudo,}}} which provides additional checking before leaving the new file in place. You might think that the fix for a mangled {{{/etc/sudoers}}}, the fix may be as simple as {{{su -c visudo}}}, but sudo is often used in a place where simply {{{su}}}'ing to root is not possible since you simply don't know the root password.
Line 174: Line 135:
Se si hanno problemi quando si usa {{{sudo}}} nella propria shell, e la propria directory $HOME (e le impostazioni di profilo) non si comporta come atteso perché la nuova directory HOME è {{{/root}}}, è bene sapere che la configurazione predefinita di {{{sudo}}} in Squeeze reimposta tutte le variabili d'ambiente. Per ripristinare il vecchio comportamento per cui preservava la variabile d'ambiente $HOME dell'utente, si possono aggiungere le seguenti righe al proprio file di configurazione {{{/etc/sudoers}}}:

~-{{{#!plain
Defaults env_keep += HOME
}}}-~
Fare attenzione che la maggior parte degli editor di testo permette di modificare il file senza lamentarsi del bit di sola lettura, perciò si potrebbe non avere automaticamente questa protezione aggiuntiva.
Line 187: Line 144:

Per maggiori informazioni leggere l'[[http://www.sudo.ws/sudo/stable.html#1.7.4|elenco originale dei cambiamenti per la versione 1.7.4]].
Line 206: Line 161:
----
Line 208: Line 165:
 * [[Doas]] - Uno strumento più leggero e minimalista con lo stessa funzione, con una configurazione più semplice.

----

CategoryRoot | CategorySystemSecurity | CategorySystemAdministration


Root > sudo


Sudo (a volte considerato l'abbreviazione di Super-user do) è un programma progettato per far sì che gli amministratori di sistema permettano ad alcuni utenti di eseguire certi comandi come root (o altro utente). La filosofia di base è quella di dare meno privilegi possibile, ma permettere ancora di compiere il lavoro. Sudo è anche un modo efficace per registrare chi ha usato un dato comando e quando.

Perché sudo

Usare sudo è meglio (più sicuro) che aprire una sessione come root per svariati motivi, inclusi:

  • non è necessario che alcuno conosca la password di root (sudo richiede la password dell'utente attuale); si possono dare privilegi extra a utenti specifici temporaneamente e poi rimuoverli senza dover cambiare password;

  • è facile eseguire soltanto i comandi che richiedono privilegi speciali come root, usando sudo; per tutto il resto del tempo si lavora come utente non privilegiato, il che riduce i danni che possono essere causati da sbagli;

  • verifica/registrazione: quando un comando è eseguito con sudo il nome dell'utente e il comando sono registrati.

Per le ragioni esposte, il passaggio a root con sudo -i (o sudo su) è generalmente sconsigliato perché annulla le caratteristiche di cui sopra.

Utenti e sudo

La configurazione predefinita di Debian permette agli utenti nel gruppo "sudo" di eseguire qualsiasi comando attraverso "sudo".

Verificare l'appartenenza a sudo

Una volta che l'utente ha fatto il login, può verificare se appartiene o meno al gruppo sudo usando il comando id o groups. Ad esempio, un utente con ID "pippo" dovrebbe vedere l'output di

  • $ groups

come

  • pippo sudo

Se sudo non è presente nell'output, l'utente non appartiene a quel gruppo. In modo simile l'output più complesso e variabile del comando id dovrebbe avere un aspetto simile a

  • uid=1001(pippo) gid=1001(pippo) groups=1001(pippo),27(sudo)

Aggiungere un utente esistente dalla riga di comando

Per aggiungere un utente esistente con ID "pippo" al gruppo "sudo":

  • $ sudo adduser pippo sudo

In alternativa, si può prima diventare root (ad esempio con sudo su -) e poi eseguire lo stesso comando senza il prefisso sudo:

  • # adduser pippo
    # adduser pippo sudo

Dopo essere stato aggiunto ad un nuovo gruppo, l'utente deve fare il logout e nuovamente il login affinché la modifica abbia effetto. I gruppi vengono assegnati all'utente solamente al momento del login. Una comune fonte di confusione è il fatto che le persone si aggiungono ad un gruppo ma non fanno il logout e poi nuovamente il login, e poi hanno problemi perché non sono stati assegnati al gruppo; assicurarsi di verificare l'appartenenza al gruppo.

Creazione di utenti con sudo

Si possono anche creare nuovi utenti con appartenenza al gruppo sudo:

Creazione di un nuovo utente durante l'installazione del SO

A partire da Debian Squeeze, se si assegna a root una password vuota durante l'installazione, sudo viene installato e il primo utente sarà in grado di usarlo per ottenere l'accesso come root (attualmente l'utente viene aggiunto al gruppo sudo). Il sistema configura anche gksu e aptitude in modo che usino sudo. Si dovrebbe comunque verificare l'appartenenza al gruppo dopo aver fatto il login come l'utente installato.

Creazione di un nuovo utente dalla riga di comando

Un utente che ha già sudo può creare dalla riga di comando un altro utente (ad esempio con ID "pippo") che appartiene al gruppo sudo:

  • $ sudo adduser pippo -G sudo

(oppure diventare prima root, come nella sezione precedente).

Si deve poi fare il login come il nuovo utente e verificare l'appartenenza al gruppo.

Panoramica sulla configurazione

Se si desidera permettere a certi utenti di eseguire specifici programmi, ecco un esempio veloce (per maggiori informazioni, leggere il manuale) che si può mettere in un file in /etc/sudoers.d, probabilmente usando visudo -f /etc/sudoers.d/miofile.

User_Alias      MYADMINS = pippo

Cmnd_Alias      SHUTDOWN = /sbin/reboot, /sbin/poweroff
Cmnd_Alias      PKGMGMT = /usr/bin/dpkg, /usr/bin/apt-get, /usr/bin/aptitude

# Gli utenti elencati sopra (in MYADMINS) possono eseguire i gestori dei pacchetti e riavviare il sistema.
MYADMINS ALL = PKGMGMT, SHUTDOWN

Problemi e suggerimenti

Spiacente, all'utente mario non è consentito eseguire ...

Una sessione tipica si presenta così:

  • $ sudo test
    
    We trust you have received the usual lecture from the local System
    Administrator. It usually boils down to these three things:
    
        #1) Respect the privacy of others.
        #2) Think before you type.
        #3) With great power comes great responsibility.
    
    [sudo] password for mario: 
    Sorry, user mario is not allowed to execute '/usr/bin/test' as root on localhost.

Questo messaggio significa esattamente ciò che dice: l'utente che si sta usando non ha il permesso di eseguire il comando specificato sulla macchina. Una ragione possibile che può indurre in confusione è il fatto che l'amministratore ha appena aggiunto mario al gruppo privilegiato, ma si sta usando sempre un accesso alla macchina vecchio che non ha le nuove informazioni sui gruppi e perciò non ha i nuovi permessi sudo. A coloro che si trovano in questa situazione viene solitamente consigliato di fare un logout e poi nuovamente il login, anche se a volte la cosa si può risolvere facendo solamente un nuovo "login a caldo" con su - $USER o cambiare gruppo con newgrp sudo.

La direttiva include

Il file /etc/sudoers standard termina con la riga:

  •  #includedir /etc/sudoers.d

Questo rende possibile ad altri pacchetti fornire pezzetti di configurazione in /etc/sudoers.d/<nomepacchetto>, che modificano la configurazione di sudo. Può sembrare che sia necessario modificare la riga eliminando il carattere "#" iniziale (detto anche cancelletto), ma non è così: il carattere "#" fa parte della direttiva!

È raccomandato fare anche le modifiche locali in un frammento di configurazione.

sudoers è in sola lettura

Sì, il file /etc/sudoers è intenzionalmente impostato in sola lettura, anche per root!

La spiegazione è che questa impostazione motiva gli amministratori a modificarlo solamente usando il comando visudo che fornisce controlli aggiuntivi prima di lasciare il nuovo file nella sua posizione. Si potrebbe pensare che la soluzione per un /etc/sudoers danneggiato sia semplice quanto eseguire su -c visudo, ma sudo è spesso usato in posti in cui fare semplicemente su in root non è possibile, semplicemente perché non si conosce la password di root.

The explanation is that it was set up this way to motivate admins to only ever edit it via the command visudo, which provides additional checking before leaving the new file in place. You might think that the fix for a mangled /etc/sudoers, the fix may be as simple as su -c visudo, but sudo is often used in a place where simply su'ing to root is not possible since you simply don't know the root password.

Fare attenzione che la maggior parte degli editor di testo permette di modificare il file senza lamentarsi del bit di sola lettura, perciò si potrebbe non avere automaticamente questa protezione aggiuntiva.

Richiedere password di root

Se per l'uso di sudo si desidera richiedere la password di root piuttosto che la password utente, aggiungere la riga:

Defaults   rootpw

Nessuna richiesta di password per utenti sudo

Se si desidera che i membri del gruppo sudo eseguano i comandi senza la password, aggiungere la riga:

%sudo ALL=(ALL) NOPASSWD: ALL

Personalizzare il tempo di scadenza delle credenziali in cache

In modo predefinito, dopo aver chiesto una password, le credenziali sono tenute in cache da "sudo" e durano per 15 minuti. Si può cambiare questo comportamento usando il comando visudo e personalizzando il tempo di scadenza per un utente specifico:

Defaults:pippo timestamp_timeout=30


Vedere anche


CategoryRoot | CategorySystemSecurity | CategorySystemAdministration