Ciao a tutti!

Ho una lacuna abbastanza grave su linux che non riesco a colmare. L'altro giorno mi sono ritrovato a dover creare un nuovo utente sul server, il problema è che deve avere dei permessi restrittivi, in modo che faccia solo quello che voglio io.

Non sapevo come fare, pensavo: ma tanto se cambio i permessi lui può sempre modificarseli con sudo!

Ma cercando ho capito che basta toglierlo da gruppo sudo per non dargli il permesso all'esecuzione di quel comando! E qui è nato il mio dubbio: posso creare un gruppo ad-hoc ed impostare quali file può leggere, su quali può scrivere e quali programmi può eseguire?

In sostanza non riesco a capire come fare qualcosa di customizzato. Mi piacerebbe capire come gestire i permessi per ogni utente.

Grazie a tutti!

chiesto 30 Lug '16, 01:47

AndreaRossi's gravatar image

AndreaRossi
20134


Hai dato una lettura alla guida sui permessi?

Inoltre, se vuoi un controllo ancora più fine su cosa un singolo utente può e non può leggere/scrivere/eseguire, puoi sempre utilizzare l'ACL (Access Control List), che permette un controllo davvero granulare dei permessi.

coll. permanente

ha risposto 30 Lug '16, 10:54

dadexix86's gravatar image

dadexix86 ♦♦
16.9k816161

Ciao, ho già letto la guida sui permessi e non mi è stata molto d'aiuto, l'ACL invece non l'ho mai usato ma preferivo capire questa cosa.

Se dovessi creare un gruppo di utenti che può avere solo i permessi per scrivere e leggere (ed eseguire) su un determinato numero di cartelle, cosa faresti? Come imposteresti il gruppo?

C'è un modo per dire che quel gruppo non può eseguire il comando sudo?

(30 Lug '16, 11:32) AndreaRossi AndreaRossi's gravatar image

Nel dettaglio non mi è troppo chiaro cosa vuoi fare, ma se per esempio io volessi creare un gruppo di utenti (ad esempio mario, marco, matteo e maurizio) che di default non può fare nulla, innanzitutto creerei il gruppo, ad esempio pippo

sudo addgroup pippo

poi creo gli utenti che fanno farte di quel gruppo

sudo adduser mario --ingroup pippo
sudo adduser marco --ingroup pippo
sudo adduser matteo --ingroup pippo
sudo adduser maurizio --ingroup pippo

a questo punto questi utenti hanno le loro home, sottocartelle di /home, e sono solo nel gruppo pippo...

(30 Lug '16, 11:54) dadexix86 ♦♦ dadexix86's gravatar image

Non possono fare nulla al di fuori del modificare files nella loro home, ad esempio non possono usare sudo (non sono nel gruppo sudo), non possono amministrare le stampanti (non sono nel gruppo lpadmin), non possono amministrare condivisioni samba (non sono in sambashare), ecc...

Per vedere i tuoi gruppi puoi dare

groups

che sul mio utente ha output

davide adm cdrom sudo dip plugdev lpadmin sambashare

per vedere i gruppi di un altro utente invece

groups mario

che ha output

mario : pippo

È più chiaro? :)

(30 Lug '16, 11:56) dadexix86 ♦♦ dadexix86's gravatar image

Si, fino a qui mi era chiaro. Ma in questo modo gli utenti del gruppo pippo possono utilizzare sudo ed accedere ad ogni file di sistema.

Io vorrei modificare i permessi di tutti gli utenti all'interno del gruppo in modo che non possano eseguire sudo e che non possano accedere e/o modificare alcun file di sistema. Supponiamo che pippo sia un team di sviluppatori web. Vorrei dare accesso solo alla cartella /var/www.

Come faccio a porre questo limite?

Grazie mille dell'aiuto che mi stai dando, spero di essermi spiegato meglio.

(30 Lug '16, 11:59) AndreaRossi AndreaRossi's gravatar image

Mi sono dimenticato: ovviamente possono anche fare altra roba, che dipende dai proprietari e dal permessi dei singoli file.

Ad esempio, possono leggere i file con proprietario yyyyyyyyy:pippo e permessi del tipo x4x (che sono leggibili da chi è nel gruppo pippo), modificare quelli x6x (che sono modificabili da chi è nel gruppo pippo) e eseguire quelli x5x e x7x (che sono eseguibili da chi è nel gruppo pippo).

(30 Lug '16, 12:01) dadexix86 ♦♦ dadexix86's gravatar image

Si scusa, ho commentato senza aver visto il tuo secondo commento.

Ora si è molto più chiaro. Praticamente se io creo un utente in un determinato gruppo e'come se avesse permessi solo nella sua home giusto?

(30 Lug '16, 12:02) AndreaRossi AndreaRossi's gravatar image

Oppure ancora possono leggere i file con proprietario qualsiasi e permessi del tipo xx4 (che sono leggibili da chiunque), modificare quelli xx6 (che sono modificabili da chiunque) e eseguire quelli xx5 e xx7 (che sono eseguibili da chiunque).

(30 Lug '16, 12:03) dadexix86 ♦♦ dadexix86's gravatar image

@AndreaRossi non possono accedere a sudo, se tu non glielo permetti :)

In generale senza specificare il gruppo, l'utente viene creato senza possibilità di usare sudo. Ti consiglio di fare una lettura approfondita al manuale di adduser e relativi file di configurazione dei default, così da avere chiaro cosa un utente "base" può e non può fare di default.

(30 Lug '16, 12:06) dadexix86 ♦♦ dadexix86's gravatar image

Mi hai chiarito moltissimo le idee, grazie mille :) Ora mi chiarisco le idee leggendo un pò di guide su adduser.

Grazie davvero molto!

(30 Lug '16, 12:19) AndreaRossi AndreaRossi's gravatar image

Prego, alla prossima! :)

E se ti soddisfa, ricordati di accettare la risposta ;)

(30 Lug '16, 12:20) dadexix86 ♦♦ dadexix86's gravatar image
La tua risposta
abilita/disabilita anteprima

Segui questa domanda

Via email:

Una volta eseguito l'accesso potrai iscriverti a tutti gli aggiornamenti qui

Via RSS:

Risposte

Risposte e commenti

Basi di markdown

  • *corsivo* o __corsivo__
  • **grassetto** o __grassetto__
  • collegamento:[testo](http://url.com/ "titolo")
  • immagine?![alt testo](/path/img.jpg "titolo")
  • elenco numerato: 1. Foo 2. Bar
  • per aggiungere un'interruzione di riga, aggiungi due spazi a fine riga e premi «Invio»
  • è supportato anche semplice HTML

Tag:

×51

domanda posta: 30 Lug '16, 01:47

domanda visualizzata: 877 volte

ultimo aggiornamento: 30 Lug '16, 12:20

Chiedi è un servizio di supporto gestito da Ubuntu-it. Contattaci!

powered by OSQAPostgreSQL database
Ubuntu e Canonical sono marchi registrati da Canonical Ltd.