[Risolto] Gestione Utenti

[conoscenza]

L'utente non si chiama "sconosciuto", si chiama "unknow".

si lo so. Sconosciuto è solamente la traduzione in italiano...

L'ho messo nello stesso gruppo di root perchè mi sembrava il gruppo giusto.

Assolutamente errato. L'utente "unkown" aveva già le sua "residenza": "unknow1000:".
Perchè dargli poteri magici?

Dal momento che sono sempre io

Sei la stessa persona fisica: ma con due compiti diversi...
In UNIX ogni utente ha il suo "lavoro"...

non mi servono altri gruppi

Errato. Il tuo utente non può rispondere alle syscall.

se sono estranei tra loro diventa scomodo.

Ora che sono parenti stretti, le cose sono scomode!!!

Poi, come possa essere illegare che in un "gruppo" ci sia + di 1 utente non lo capisco.

chi ha detto che è illegale avere più utenti in un gruppo. Ho solo detto che è "illegale" avere un utente nel gruppo root.
Puoi creare un gruppo "famiglia_bianchi" e metterci dentro tutti i membri di famiglia.
Puoi creare un gruppo "famiglia_rossii" e metterci dentro tutti i membri di famiglia.
Ma NON puoi mettere utenti nel gruppo root.

Spiegami meglio, per favore.

Siamo qui per questo...

Perchè non serve diventare root?
Se unknow fa solo parte del gruppo di root, ma non è root, non ha i permessi di root (proprietario=prima terna di permessi), ma solo quelli indicati per il gruppo (seconda terna di permessi).
Perchè quando do il comando su e mi chiede la password, questa non viene riconosciuta?
Mica la password è di gruppo. La password è individuale!
Perchè il collasso?

Non serve diventare root, quando sei unknow, perchè hai già tutti i poteri.
Il fatto che hai lo stesso UID e/o GID (identificativo dello user e del gruppo, in questo caso stesso gruppo, allora stesso GID) significa che hai molti più poteri dell'utente unknow, pur essendo lo stesso unknow. Non se sono stato chiaro.
È una regola: un utente non può essere ne root e nemmeno nel gruppo root. È rischioso!
Questi sono comandi (quello di aggiungere l'utente in gruppo root) che portano nel giro di pochi mesi a dover formattare il sistema.

Per sistemare, allora, devo inventare un altro gruppo in cui mettere sia root che unknow?[/quote
Assolutamente no.
Root ha il suo gruppo root, l'utente "unknow" ha il suo gruppo.

[dino]

Questo modo di vedere credo che dipenda anche da una "visione alla Windows" ove si possono creare utenti Administrator e utenti con poteri più limitati. Con Linux non deve esistere un utente con più "superpoteri" di root. Quando devi fare qualcosa che si può fare solo con root devi farlo con root e non con un utente che ha gli stessi poteri .

Tutti gli utenti creati devono avere permessi inferiori a quelli di root, come dice conoscenza, altrimenti non ha nessun senso aver fatto le cose per garantire maggiore sicurezza.

[conoscenza]

Esatto! (la mia capacità di sintesi è andata a farsi benedire )
Al massimo aggiungi alla riga:

wheel10:root

il tuo nome utente (unknow) per permettere all'utente stesso di diventare root... ma devi toglierlo dal gruppo root.
...quel comando "usermod -G root unknow", poco razionale, ha iniziato a far danni... (prima riuscivi a dare "su" e a loggarti come root... )

[Zievatron]

Non mi sebra che le spiegazioni siano proprio chiare.
Io non intendevo minimamente dare all'utente gli stessi o addirittura più poteri di root.
Io facevo riferimento ai permessi proprietario/gruppo/estranei(o ospiti).
Tre categorie di poteri decrescenti. Volevo solo dare all'utente la seconda categoria di poteri. Nulla di più.
Pensavo (e sarebbe decisamente logico che lo fosse) che "gruppo di root" significasse esattamente questo.

Siccome ho visto che gli sfondi risultavano elencati con proprietario root e gruppo root, ho riflettuto che facilmente mi posso ritrovare con dei file che io considero di proprietà dell'utente, ma che risultano di proprietà di root. Dunque, ho pensato, se sono di proprietà di root, l'utente deve avere almeno i permessi della seconda terna. E ho cercato di rimediare come sembrava logico.

Ora, a quanto mi dite, mi pare di capire che il gruppo root non è un vero gruppo. Se ci deve stare solo root, che gruppo sarebbe? Ma non solo. Se far parte del gruppo di root significa avere gli stessi poteri, o addirittura di più, perde di significato la scaletta dei permessi di proprietario/gruppo/estranei. Quindi, a maggior ragione, non è un vero gruppo.

Chiarito l'equivoco, qual'è la sistemazione più pratica perchè l'utente abbia i permessi della seconda terna?

Non dovrei aggiungere a root un gruppo secondario in cui c'è anche l'utente? No? Allora come?

[conoscenza]

Non mi sebra che le spiegazioni siano proprio chiare.

ehm... a questo punto ti consiglio una lettura di qualche testo didattico di Tanenbaum o di Stallings.
Magari li troverai una trattazione più esaustiva.

Io non intendevo minimamente dare all'utente gli stessi o addirittura più poteri di root.

root è l'apice. dopo root non c'è nient'altro. devi proteggere tale account (o gruppo) per poter essere sicuro che il tuo sistema sia sicuro e "performante". se root venisse "scavalcato", il sistema è da formattare: non vi è alcun rimedio.

Io facevo riferimento ai permessi proprietario/gruppo/estranei(o ospiti).

root prende anche quello che non è di root. gli utenti non possono prendere quel che è di root.
Le immagini erano "root" in quanto create e messe li dal sistema in fase di installazione o le hai copiate tu in modalità root.
Si possono cambiare i proprietari, i permessi, ma NON si aggiungono utenti al gruppo root.

Tre categorie di poteri decrescenti.

Non è detto! ci potrebbero essere casi in cui potrebbe essere lo stesso proprietario del file ad essere inibito..

Volevo solo dare all'utente la seconda categoria di poteri. Nulla di più.
Pensavo (e sarebbe decisamente logico che lo fosse) che "gruppo di root" significasse esattamente questo.

Concetto windowsniano.
GID e UID 0 non si toccano a prescindere!

Siccome ho visto che gli sfondi risultavano elencati con proprietario root e gruppo root, ho riflettuto che facilmente mi posso ritrovare con dei file che io considero di proprietà dell'utente, ma che risultano di proprietà di root. Dunque, ho pensato, se sono di proprietà di root, l'utente deve avere almeno i permessi della seconda terna. E ho cercato di rimediare come sembrava logico.

Secondo concetto windowsniano.
eheheh... In sicurezza vale la regola che più si abbassa il privilegio meglio è.

Ora, a quanto mi dite, mi pare di capire che il gruppo root non è un vero gruppo. Se ci deve stare solo root, che gruppo sarebbe?

Come non è un gruppo. Hai mai fatto teoria degli insiemi?...e lo sai che esistono insiemi vuoti, vero? ...figuriamoci insiemi/gruppi che hanno un unico elemento.

Ma non solo. Se far parte del gruppo di root significa avere gli stessi poteri, o addirittura di più, perde di significato la scaletta dei permessi di proprietario/gruppo/estranei. Quindi, a maggior ragione, non è un vero gruppo.

Che NON passi il concetto che esiste qualche utente più "privilegiato" di root perchè NON esiste.
La "scaletta" non perde di significato. Ma tu, loggandoti come utente appartenente al gruppo root, sei più esposto a rischi di errori pettes e a seri problemi di sicurezza.

Chiarito l'equivoco, qual'è la sistemazione più pratica perchè l'utente abbia i permessi della seconda terna?
Non dovrei aggiungere a root un gruppo secondario in cui c'è anche l'utente? No? Allora come?

Cambiare gruppo di quel file. Invece di metterti tu (unknow) nel gruppo root, imposti il file di tua proprietà e nel tuo gruppo.

[Zievatron]

O.K. Basta girarci intorno.
A scanso di altri equivoci, dimmi cosa digito da salix in chroot per rimettere unknow nel suo gruppo e toglierlo dal gruppo di root.

[conoscenza]

O.K. Basta girarci intorno.

A scanso di altri equivoci, dimmi cosa digito da salix in chroot per rimettere unknow nel suo gruppo e toglierlo dal gruppo di root.

Dovresti editare a mano il o i file di configurati modificato/i.
sicuramente devi sistemare:
/etc/group
e controllerei che in:
/etc/passwd
/etc/shadow
sia tutto coerente con il file /etc/group.

[Zievatron]

Dovresti editare a mano il o i file di configurati modificato/i.
sicuramente devi sistemare:
/etc/group
e controllerei che in:
/etc/passwd
/etc/shadow
sia tutto coerente con il file /etc/group.

Ho editato /etc/group cancellando l'utente unknow dal gruppo root e scrivendolo nel gruppo unknow.
Ho gurdato negli altri due file, ma non ho capito cosa dovrei vedere.

[conoscenza]

Posta:
cat /etc/group
cat /etc/passwd
cat /etc/shadow

[Zievatron]

Posta:
cat /etc/group
cat /etc/passwd
cat /etc/shadow

Non puoi dirmi cosa dovrei guardare?