[openmamba-devel-it] programmi c++ e comandi in sudoers
Silvan Calarco
silvan.calarco a mambasoft.it
Sab 26 Apr 2008 00:07:56 CEST
Alle venerdì 25 aprile 2008, riccardo moja ha scritto:
> Ora mi chiedo, quindi se voglio fare un programma che usi iwlist, deve
> necessariamente succedere che iwlist sia in /etc/sudoers in uno degli
> alias che non richiede password? (tipo sysadm_cmd)
> nel caso di si, ti si può richiedere a te di mettere uno o più
> programmi in sudoers come hai fatto con guard dog o synaptic?
> (ovviamente sempre se serve effettivamente a qualcosa).
Se è necessario per una funzionalità base della distribuzione se ne può
discutere, altrimenti non ridurrei la sicurezza di 100 utenti per il
beneficio di un utente.
Tra l'altro iwlist qui da me non richiede i privilegi di root a prima vista.
> ora che ci penso, non può essere un po' pericoloso lasciare la
> possibilità di eseguire service iptables stop da un utente (non per
> l'utente in quanto tale,ma per uno script o programma malizioso
> lanciato da un utente poco attento che va a invocare questo
> programma)?
L'utente sysadmin può fare tante cose "pericolose", potenzialmente tutto. La
differenza tra sysadmin e root è che è più difficile che lo fai per sbaglio
se sei sysadmin invece che root. Questa configurazione è un compromesso tra
la sicurezza e l'usabilità del sistema e tiene conto del fatto che gli utenti
individuali di un computer vogliono essere padroni del sistema e che per la
stragrande maggioranza dell'utenza ricordare una password invece che due è un
bel vantaggio. Se vuoi incrementare la sicurezza del sistema quando usi il
desktop con la tua utenza puoi rimuoverlo dal gruppo sysadmin e packager.
Questo precluderà molte delle funzionalità di mambatray, per ovvi motivi.
Se qualcun altro usa il tuo computer gli puoi creare un'utenza normale e non
potrà usare sudo, attivare/disattivare servizi e installare/rimuovere
programmi.
ciao
Silvan
--
mambaSoft di Calarco Silvan
Tel: +39 011 5694078
Fax: +39 011 19790084
Web: http://www.mambasoft.it
mambaSoft Store @ http://shop.mambasoft.it
openmamba GNU/Linux development @ http://www.openmamba.org
Maggiori informazioni sulla lista
openmamba-devel-it