~giuseppeterrasi-deactivatedaccount/wiki-ubuntu-it/help-repo

<div class="pagelocation"><a href="http://help.ubuntu-it.org/">Documentazione di Ubuntu</a> → <a href="http://help.ubuntu-it.org/10.04/ubuntu/">Ubuntu 10.04</a> → <span class="breadcrumb-link"><a href="index.html">Guida a Ubuntu server</a></span> → <span class="breadcrumb-link"><a href="security.html">Sicurezza</a></span> → <span class="breadcrumb-node">Gestione utenti</span></div>

<div>

<h2 class="title" style="clear: both"><a id="user-management"></a>Gestione utenti</h2>

</div>

<p>L'amministrazione degli utenti è una parte critica per il mantenimento di un sistema sicuro. Utenti poco esperti con privilegi di amministrazione spesso sono la causa della compromissione di sistemi. Pertanto, è importante capire come proteggere il proprio server tramite delle semplici ed efficaci tecniche di gestione degli account utente.</p>

<div>

<h3 class="title"><a id="where-is-root"></a>Dove è l'utente root?</h3>

</div>

<p>Gli sviluppatori di Ubuntu hanno deciso di disattivare in modo predefinito l'account di amministrazione (root) in tutte le installazioni di Ubuntu. Questo non significa che l'account root sia stato eliminato o che non sia più accessibile, è stata impostata una password che non corrisponde ad alcun possibile valore codificato, pertanto, l'accesso come root non è direttamente possibile.</p>

<p>Gli utenti sono incoraggiati a utilizzare lo strumento <span class="application"><strong>sudo</strong></span> per svolgere i compiti di amministrazione di sistema. Lo strumento <span class="application"><strong>sudo</strong></span> permette a un utente autorizzato di elevare temporaneamente i propri privilegi usando la propria password, invece di dover conoscere direttamente la password di root. Questo semplice, ma efficace, metodo cerca di fornire responsabilità per tutte le azioni degli utenti e dà all'amministratore un controllo granulare sulle azioni che un utente può eseguire con tali privilegi.</p>

<p>Se per qualche ragione è necessario abilitare l'account root, basta assegnargli semplicemente una password:</p>

<span class="command"><strong>sudo passwd</strong></span>

</pre>

<p>Il programma «sudo» chiederà di inserire la propria password e successivamente di inserirne una nuova per l'account root:</p>

<code class="computeroutput">[sudo] password for NOME_UTENTE: <strong class="userinput"><code>(inserire la propria password)</code></strong>

Inserire nuova password UNIX: <strong class="userinput"><code>(inserire una nuova password per root)</code></strong>

Reinserire la nuova password UNIX: <strong class="userinput"><code>(reinserire la nuova password per root)</code></strong>

passwd: password aggiornata correttamente</code>

</pre>

</li>

<p>Per disabilitare l'account root, utilizzare la seguente sintassi per passwd:</p>

<span class="command"><strong>sudo passwd -l root</strong></span>

</pre>

</li>

<p>Per maggiori informazioni riguardo <span class="application"><strong>sudo</strong></span>, consultarne il manuale:</p>

100

</pre>

101

</li>

102

</ul>

103

</div>

104

<p>In modo predefinito, l'utente iniziale creato dall'installazione di Ubuntu è un membro del gruppo «admin» ed è stato aggiunto al file <code class="filename">/etc/sudoers</code> come utente autorizzato all'utilizzo di sudo. Per autorizzare altri utenti ai pieni poteri amministrativi di root attraverso l'uso del comando <span class="application"><strong>sudo</strong></span>, è sufficiente aggiungerli al gruppo «admin».</p>

105

</div>

106

107

108

<div>

109

<div>

110

<h3 class="title"><a id="adding-deleting-users"></a>Aggiungere e rimuovere utenti</h3>

111

</div>

112

</div>

113

</div>

114

<p>Il processo per la gestione di utenti e gruppi locali è molto intuitivo e differisce poco dalla maggior parte degli altri sistemi GNU/Linux. Ubuntu e altre distribuzioni basate su Debian, incoraggiano l'utilizzo del pacchetto «adduser» per la gestione degli utenti.</p>

115

116

117

118

<p>Per aggiungere un nuovo utente, utilizzare i seguenti comandi e seguire le istruzioni per impostare all'account una password e fornire le caratteristiche identificabili come nome, cognome, numero di telefono, ecc...</p>

119

120

<span class="command"><strong>sudo adduser NOME_UTENTE</strong></span>

121

</pre>

122

</li>

123

124

<p>Per eliminare un utente e il suo gruppo principale, digitare:</p>

125

126

<span class="command"><strong>sudo deluser NOME_UTENTE</strong></span>

127

</pre>

128

<p>Quando si elimina un account utente non viene rimossa la sua cartella home. È decisione dell'amministratore se rimuoverla o no in base alle proprie scelte.</p>

129

<p>Ricordare che, se non sono state prese le necessarie precauzioni, ogni nuovo utente aggiunto successivamente con gli stessi UID/GID del precedente proprietario della cartella, avrà accesso a tale cartella.</p>

130

<p>È possibile modificare questi valori UID/GID con qualcosa di più appropriato, come per esempio l'account root, e spostare la cartella per evitare futuri conflitti:</p>

131

132

<span class="command"><strong>sudo chown -R root:root /home/NOME_UTENTE/</strong></span>

133

<span class="command"><strong>sudo mkdir /home/archived_users/</strong></span>

134

<span class="command"><strong>sudo mv /home/NOME_UTENTE /home/archived_users/</strong></span>

135

</pre>

136

</li>

137

138

<p>Per bloccare o sbloccare temporaneamente l'account di un utente, utilizzare, rispettivamente, i seguenti comandi:</p>

139

140

<span class="command"><strong>sudo passwd -l NOME_UTENTE</strong></span>

141

<span class="command"><strong>sudo passwd -u NOME_UTENTE</strong></span>

142

</pre>

143

</li>

144

145

<p>Per aggiungere o rimuovere un gruppo personalizzato, utilizzare, rispettivamente, i seguenti comandi:</p>

146

147

<span class="command"><strong>sudo addgroup NOME_GRUPPO</strong></span>

148

<span class="command"><strong>sudo delgroup NOME_GRUPPO</strong></span>

149

</pre>

150

</li>

151

152

<p>Per aggiungere un utente a un gruppo, digitare:</p>

153

154

<span class="command"><strong>sudo adduser NOME_UTENTE NOME_GRUPPO</strong></span>

155

</pre>

156

</li>

157

</ul>

158

</div>

159

</div>

160

161

162

<div>

163

<div>

164

<h3 class="title"><a id="user-profile-security"></a>Sicurezza dei profili utente</h3>

165

</div>

166

</div>

167

</div>

168

<p>Quando viene creato un nuovo utente, l'applicazione «adduser» crea una nuova directory chiamata <code class="filename">/home/NOME_UTENTE</code>. Il profilo predefinito è modellato secondo i contenuti presenti nella directory <code class="filename">/etc/skel</code> che contiene tutti i profili di base.</p>

169

<p>Se il proprio server ospiterà più utenti, è necessario prestare la massima attenzione alle autorizzazioni delle home degli utenti, al fine di garantirne la riservatezza. In modo predefinito, in Ubuntu, le home degli utenti sono create con permessi di lettura e di esecuzione per tutti gli utenti. Questo significa che tutti gli utenti possono visualizzare e accedere al contenuto delle home degli altri utenti, cosa che potrebbe non essere soddisfacente per il proprio ambiente.</p>

170

171

172

173

<p>Per verificare i permessi attuali della home degli utenti, utilizzare il seguente comando:</p>

174

175

<span class="command"><strong>ls -ld /home/NOME_UTENTE</strong></span>

176

</pre>

177

<p>Il seguente output mostra che la directory <code class="filename">/home/NOME_UTENTE</code> è accessibile in lettura da parte di tutti gli utenti:</p>

178

179

<code class="computeroutput">drwxr-xr-x 2 nomeutente nomeutente 4096 2007-10-02 20:03 nomeutente</code>

180

</pre>

181

</li>

182

183

<p>È possibile rimuovere il permesso in lettura da tutti con il seguente comando:</p>

184

185

<span class="command"><strong>sudo chmod 0750 /home/NOME_UTENTE</strong></span>

186

</pre>

187

188

189

<tr>

190

191

192

</td>

193

194

</tr>

195

<tr>

196

197

<p>Alcuni amministratori utilizzano anche l'opzione per la modifica ricorsiva (-R) di tutte le sotto-cartelle e file della home, ma questo non è necessario e potrebbe inoltre causare degli effetti indesiderati. Modificare i permessi alla cartella principale è più che sufficiente per prevenire degli accessi non autorizzati.</p>

198

</td>

199

</tr>

200

</table>

201

</div>

202

<p>Un modo più efficiente potrebbe essere quello di modificare direttamente le impostazioni predefinite dell'applicazione <span class="application"><strong>adduser</strong></span> sui permessi da assegnare alle home degli utenti appena creati. È sufficiente modificare la variabile <code class="varname">DIR_MODE</code>, nel file <code class="filename">/etc/adduser.conf</code>, secondo le proprie esigenze.</p>

203

204

DIR_MODE=0750

205

</pre>

206

</li>

207

208

<p>Dopo aver corretto opportunamente i permessi di accesso alle directory home come descritto precedentemente, verificare il risultato con il seguente comando:</p>

209

210

<span class="command"><strong>ls -ld /home/NOME_UTENTE</strong></span>

211

</pre>

212

<p>Il risultato qui sotto mostra come i permessi di lettura per tutti gli altri utenti siano stati rimossi:</p>

213

214

<code class="computeroutput">drwxr-x--- 2 nomeutente nomeutente 4096 2007-10-02 20:03 nomeutente</code>

215

</pre>

216

</li>

217

</ul>

218

</div>

219

</div>

220

221

222

<div>

223

<div>

224

<h3 class="title"><a id="password-policy"></a>Politica delle password</h3>

225

</div>

226

</div>

227

</div>

228

<p>Una severa politica delle password è uno dei più importanti aspetti della sicurezza di un sistema. Le più frequenti violazioni di un sistema avvengono tramite attacchi di forza bruta con degli elenchi di parole che statisticamente possono comprende delle parole chiavi utilizzate come password. Se si vuole di offrire un qualsiasi tipo di accesso remoto utilizzando la propria password locale, assicurarsi che la complessità della stessa superi dei limiti minimi di adeguatezza, di impostare delle password con durate massime e controllare frequentemente i propri sistemi di autenticazione.</p>

229

230

231

<div>

232

<div>

233

<h4 class="title"><a id="minimum-password-length"></a>Lungezza minima di una password</h4>

234

</div>

235

</div>

236

</div>

237

<p>Ubuntu richiede, in modo predefinito, una lunghezza minima per le password pari a 4 caratteri, oltre ad alcuni controlli di entropia. Questi valori sono impostati nel file <code class="filename">/etc/pam.d/common-password</code> alla riga:</p>

238

239

password required pam_unix.so nullok obscure min=4 max=8 md5

240

</pre>

241

<p>Per modificare la lunghezza minima delle password impostandola a 6 caratteri, modificare la variabile appropriata con «min=6». Ecco un esempio della modifica:</p>

242

243

password required pam_unix.so nullok obscure min=6 max=8 md5

244

</pre>

245

246

247

<tr>

248

249

250

</td>

251

252

</tr>

253

<tr>

254

255

<p>La variabile <code class="varname">max=8</code> non rappresenta la massima lunghezza di una password, ma indica semplicemente che le password con numero di caratteri maggiore a quello indicato non saranno sottoposte al controllo sulla complessità. Per maggiori informazioni sulla complessità delle password, fare riferimento all'applicazione <span class="application"><strong>libpam-cracklib</strong></span>.</p>

256

</td>

257

</tr>

258

</table>

259

</div>

260

</div>

261

262

263

<div>

264

<div>

265

<h4 class="title"><a id="password-expiration"></a>Scadenza delle password</h4>

266

</div>

267

</div>

268

</div>

269

<p>Quando vengono creati dei nuovi utenti è possibile impostare una durata minima e massima per le loro password, obbligando gli stessi a modificarla alla scadenza.</p>

270

271

272

273

<p>Per visualizzare facilmente lo stato attuale di un account utente, utilizzare il seguente comando:</p>

274

275

<span class="command"><strong>sudo chage -l NOME_UTENTE</strong></span>

276

</pre>

277

<p>L'output seguente mostra informazioni interessanti sull'account dell'utente, in particolare che non ci sono politiche applicate:</p>

278

279

<code class="computeroutput">Ultimo cambio della password : gen 20, 2008

280

Scadenza della password : mai

281

Inattività della password : mai

282

Scadenza dell'account : mai

283

Numero minimo di giorni tra i cambi di password : 0

284

Numero massimo di giorni tra i cambi di password : 99999

285

Giorni di preavviso prima della scadenza della password : 7</code>

286

</pre>

287

</li>

288

289

<p>Per impostare uno qualsiasi di questi campi, utilizzare il seguente comando e seguire le istruzioni:</p>

290

291

<span class="command"><strong>sudo chage NOME_UTENTE</strong></span>

292

</pre>

293

<p>Quello che segue è un esempio di come sia possibile modificare manualmente la data di scadenza dell'account (-E) al 31/01/2008 (inserirla nel formato mm/gg/aaaa o nel formato aaaa/mm/gg), l'età minima della password (-m) a 5 giorni, l'età massima (-M) a 90 giorni, il periodo di inattività (-I) a 5 giorni dopo la scadenza della password e un avvertimento (-W) di 14 giorni prima della scadenza delle password.</p>

294

295

<span class="command"><strong>sudo chage -E 01/31/2008 -m 5 -M 90 -I 30 -W 14 username</strong></span>

296

</pre>

297

</li>

298

299

<p>Per verificare le modifiche, utilizzare lo stesso comando di prima:</p>

300

301

<span class="command"><strong>sudo chage -l NOME_UTENTE</strong></span>

302

</pre>

303

<p>Il seguente output mostra i cambiamenti effettuati sull'account:</p>

304

305

<code class="computeroutput">Ultimo cambio della password : gen 20, 2008

306

Scadenza della password : apr 19, 2008

307

Inattività della password : mag 19, 2008

308

Scadenza dell'account : gen 31, 2008

309

Numero minimo di giorni tra i cambi di password : 5

310

Numero massimo di giorni tra i cambi di password : 90

311

Giorni di preavviso prima della scadenza della password : 14</code>

312

</pre>

313

</li>

314

</ul>

315

</div>

316

</div>

317

</div>

318

319

320

<div>

321

<div>

322

<h3 class="title"><a id="other-security-considerations"></a>Ulteriori considerazioni sulla sicurezza</h3>

323

</div>

324

</div>

325

</div>

326

<p>Molte applicazioni usano meccanismi di autenticazione alternativi che possono essere facilmente trascurati anche da esperti amministratori di sistema. Pertanto, è importante comprendere e controllare come avviene l'autenticazione degli utenti e come accedono ai servizi e alle applicazioni sul proprio server.</p>

327

328

329

<div>

330

<div>

331

<h4 class="title"><a id="ssh-access-by-disabled-users"></a>Accesso SSH per gli utenti disabilitati</h4>

332

</div>

333

</div>

334

</div>

335

<p>Disattivando o bloccando l'account di un utente non impedisce che quest'ultimo riesca a effettuare l'accesso al server se precedentemente utilizzava una chiave pubblica RSA; saranno ancora in grado di ottenere l'accesso al server senza la necessità della password. Controllare sempre se nella directory home degli utenti sono presenti dei file che permettano questo tipo di autenticazione SSH, come per esempio <code class="filename">/home/nomeutente/.ssh/authorized_keys</code>.</p>

336

<p>Eliminare o rinominare la directory <code class="filename">.ssh/</code> nella home degli utenti per prevenire future autenticazioni SSH.</p>

337

<p>Assicurarsi di controllare qualsiasi connessione SSH stabilita dagli utenti disabilitati, dato che potrebbero esserci connessioni aperti in entrata o in uscita. Terminare tutte quelle che vengono trovate.</p>

338

<p>Limitare l'accesso SSH solo agli utenti che ne hanno il diritto. Per esempio, è possibile creare un gruppo chiamato «sshlogin» e aggiungere il nome del gruppo alla voce <code class="varname">AllowGroupsvarname> nel file /etc/ssh/sshd_config.</code></p>

339

340

AllowGroups sshlogin

341

</pre>

342

<p>Dopo aver aggiunto gli utenti con diritto di accesso SSH al gruppo «sshlogin», riavviare il server SSH.</p>

343

344

<span class="command"><strong>sudo adduser NOME_UTENTE sshlogin</strong></span>

345

<span class="command"><strong>sudo /etc/init.d/ssh restart</strong></span>

346

</pre>

347

</div>

348

349

350

<div>

351

<div>

352

<h4 class="title"><a id="external-db-auth"></a>Autenticazione utenti su database esterno</h4>

353

</div>

354

</div>

355

</div>

356

<p>La maggior parte delle reti aziendali richiedono un servizio di autenticazione e di controllo degli accessi centralizzato per tutte le risorse di sistema. Se il server è stato configurato per gestire l'autenticazione attraverso database esterni, assicurarsi di disabilitare gli account utente sia esternamente che internamente, in questo modo l'autenticazione locale di riserva non è più possibile.</p>

357

</div>

358

</div>

359

</div>

360

361

<hr />

362

363

<tr>

364

365

366

367

368

</a>

369

</td>

370

371

</tr>

372

<tr>

373

<td width="40%" align="left" valign="top">Capitolo 8. Sicurezza </td>

374

375

376

377

</a>

378

</td>

379

<td width="40%" align="right" valign="top"> Sicurezza della console</td>

380

</tr>

381

</table>

382

</div>

383

</div>

384

</div>

385

386

387

388

Ubuntu e Canonical sono marchi registrati da Canonical Ltd.

389

</div>

390

</div>

391

</div>

392

393

394

</div>

395

396

397

</div>

398

<p></p>

399

</body>

400

</html>

Older »