# Utenti e gruppi..

## iko

Ciao a tutti, stavo cercando di configurare il mio server al meglio con delle politiche di accesso molto restrittive...

Quando mi è sorto un dubbio... Ma tutta quella lista infinita di utenti servirà davvero?

Ho provato a cercare un po di documentazione relativa agli utenti e ai gruppi di linux e nello specifico di gentoo senza però trovare nulla di veramente utile...

E' scontato che certi user sono relativi a certi servizi.. ma ad esempio... mi chiedo l'utente bin o man ad esempio mi servono effettivamente o ne posso fare a meno?

Non vorrei fare danni... Qualcuno mi può illuminare?

Soprattutto non ho capito se è possibile loggarsi come uno di questi utenti e se si con che password....

```

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/bin/false

daemon:x:2:2:daemon:/sbin:/bin/false

sync:x:5:0:sync:/sbin:/bin/sync

mail:x:8:12:mail:/var/spool/mail:/bin/false

man:x:13:15:man:/usr/share/man:/bin/false

postmaster:x:14:12:postmaster:/var/spool/mail:/bin/false

smmsp:x:209:209:smmsp:/var/spool/mqueue:/bin/false

portage:x:250:250:portage:/var/tmp/portage:/bin/false

nobody:x:65534:65534:nobody:/:/bin/false

distcc:x:240:2:distccd:/dev/null:/bin/false

ldap:x:439:439:added by portage for openldap:/usr/lib/openldap:/usr/sbin/nologin

sshd:x:22:22:added by portage for openssh:/var/empty:/usr/sbin/nologin

messagebus:x:101:440:added by portage for dbus:/dev/null:/usr/sbin/nologin

haldaemon:x:102:441:added by portage for hal:/dev/null:/usr/sbin/nologin

gdm:x:103:443:added by portage for gdm:/var/lib/gdm:/usr/sbin/nologin

rpc:x:111:111:added by portage for portmap:/dev/null:/usr/sbin/nologin

sockd:x:104:2:added by portage for dante:/etc/socks:/usr/sbin/nologin

partimag:x:91:91:added by portage for partimage:/var/log/partimage:/usr/sbin/nologin

cron:x:16:16:added by portage for cronbase:/var/spool/cron:/usr/sbin/nologin

```

Grazie

Ciao

Fede

----------

## cloc3

 *iko wrote:*   

> 
> 
> mi chiedo l'utente bin o man ad esempio mi servono effettivamente o ne posso fare a meno?
> 
> 

 

Gli utenti presenti automaticamente in /etc/password sono creati dal baselayout o da una specifica applicazione in fase di installazione. 

 Responsabili di questi inserimenti sono i progettisti di gentoo. Se tu, ad esempio decidi di avviare il server apache come utente "indiani" devi modificare adeguatamente le impostazioni di default che i progettisti hanno previsto per qualche preciso motivo. 

 Personalmente, non toccherei mai uno di questi utenti senza avere prima controllato attentamente a cosa serva.

 *iko wrote:*   

> 
> 
> Soprattutto non ho capito se è possibile loggarsi come uno di questi utenti e se si con che password....

 

basta provare.

osserva però il testo in grassetto:

 *Quote:*   

> 
> 
> bin:x:1:1:bin:/bin:/bin/false
> 
> 

 

rappresenta la prima operazione eseguita al login dall'utente.

puoi arguire che il risultato non sarà straordinario.

L'utente bin è creato per non consentire login tradizionali.

----------

## iko

 *cloc3 wrote:*   

> 
> 
> basta provare.
> 
> osserva però il testo in grassetto:
> ...

 

Quindi il login fallisce per questo motivo?

Insomma non seguiresti questi consigli ??

http://www.valtellinux.it/blindolinux/blindo_2.htm

----------

## cloc3

 *iko wrote:*   

> 
> 
> Quindi il login fallisce per questo motivo?
> 
> 

 

senz'altro. prova a creare un file di bash con un output balordo, renderlo eseguibile e sostituirlo al testo /bin/bash per un utente di prova.

Vedrai che i login verso l'utente di prova moriranno dopo la produzione dell'output balordo.

 *iko wrote:*   

> 
> 
> Insomma non seguiresti questi consigli ??
> 
> http://www.valtellinux.it/blindolinux/blindo_2.htm

 

quella mi sembra una guida interessante da leggere e da utilizzare come spunto, come riflessione o come testimonianza storica, ma non un testo autorevole.

osserva che è datata. parla ancora di usare ipchains anzichè iptables, cita mandrake anzichè mandriva.

in più è riferita a una distribuzione con un baselayout molto diverso dal nostro.

----------

## .:deadhead:.

Recita  il detto: "Moglie e buoi dei paesi tuoi..." 

Nell'elenco della documentazione ufficiale Gentoo troverai anche un interessante e approfondito manuale sulla sicurezza della tua distro preferita. Buona lettura!  :Wink: 

----------

## lavish

 *.:deadhead:. wrote:*   

> Nell'elenco della documentazione ufficiale Gentoo troverai anche un interessante e approfondito manuale sulla sicurezza della tua distro preferita. Buona lettura! 

 

Questa guida e' veramente ottima, la consiglio con entusiasmo  :Smile: 

Riguardo agli utenti, lasciarli li' non comporta chissa' quali falle di sicurezza, toglierli potrebbe portarti a situazioni spiacevoli   :Wink: 

----------

## Scen

 *.:deadhead:. wrote:*   

> Nell'elenco della documentazione ufficiale Gentoo troverai anche un interessante e approfondito manuale sulla sicurezza della tua distro preferita. Buona lettura! 

 

Proprio TU che metti il collegamento alla documentazione INGLESE??!?!?!?    :Evil or Very Mad:   :Rolling Eyes: 

Suvvia...   :Wink: 

Elenco della documentazione ufficiale Gentoo (tradotta in Italiano)  :Razz: 

La guida a cui fa riferimento deadhead è il Manuale sulla sicurezza per Gentoo.  :Cool: 

----------

## .:deadhead:.

Siete troppo accondiscendenti: almeno 2 click potevate farglieli fare: uno per passare alla doc in ita e l'altro per scegliere il doc sulla sicurezza  :Wink:  ah sti utenti gentoo, sempre comodosi

----------

## iko

 *.:deadhead:. wrote:*   

> Recita  il detto: "Moglie e buoi dei paesi tuoi..." 
> 
> Nell'elenco della documentazione ufficiale Gentoo troverai anche un interessante e approfondito manuale sulla sicurezza della tua distro preferita. Buona lettura! 

 

Sisi certo.. l'ho vista e letta... non parla comunque degli utenti e dei gruppi...

L'importante è solo sapere di non aver tralasciato la possibilità di loggarsi con chissà quale utente strambo che magari di default non ha password..   :Embarassed: 

----------

## djinnZ

 *iko wrote:*   

> Insomma non seguiresti questi consigli ??
> 
> http://www.valtellinux.it/blindolinux/blindo_2.htm

 

Mi pare molto, molto datata (nfs esporta per default root_squash, la lunghezza minima della password è 8 ormai, con lilo c'è anche mandatory, services vien modificato di continuo, limits oggi consente anche di determinare quando e come un utente può loggarsi) e non mi sembra una impostazione corretta cancellare gli utenti dedicati (poi che fai avvi tutti i servizi come root?). Mi ricorda una specie di guida della RH per rimediare agli enormi buchi della versione 4...

Considera il caso dei giochi, se non hai nobody e games è stato eliminato sei sicuro che l'installer rilevi l'errore?

Se proprio vuoi rendere più sicuro il sistema pensa a rsbac o selinux.

----------

## iko

 *djinnZ wrote:*   

>  *iko wrote:*   Insomma non seguiresti questi consigli ??
> 
> http://www.valtellinux.it/blindolinux/blindo_2.htm 
> 
> Mi pare molto, molto datata (nfs esporta per default root_squash, la lunghezza minima della password è 8 ormai, con lilo c'è anche mandatory, services vien modificato di continuo, limits oggi consente anche di determinare quando e come un utente può loggarsi) e non mi sembra una impostazione corretta cancellare gli utenti dedicati (poi che fai avvi tutti i servizi come root?). Mi ricorda una specie di guida della RH per rimediare agli enormi buchi della versione 4...
> ...

 

Ottimo..allora qualcuno mi posterebbe le righe di quegli utenti e gruppi che avevo già cancellato prima mi venisse il dubbio?   :Embarassed:   :Embarassed: 

Grazie   :Rolling Eyes: 

----------

## IlGab

 *iko wrote:*   

> 
> 
> Sisi certo.. l'ho vista e letta... non parla comunque degli utenti e dei gruppi...
> 
> L'importante è solo sapere di non aver tralasciato la possibilità di loggarsi con chissà quale utente strambo che magari di default non ha password..  

 

Se controlli nel file /etc/shadow i campi riservati alle password per quegli utenti hanno un * o un ! al posto che l'hash della password, e se come già citato in precedenza non hanno una shell valida in /etc/passwd possono essere utilizzati solo per avviare demoni e processi un background e non per effettuare login

----------

## iko

 *IlGab wrote:*   

>  *iko wrote:*   
> 
> Sisi certo.. l'ho vista e letta... non parla comunque degli utenti e dei gruppi...
> 
> L'importante è solo sapere di non aver tralasciato la possibilità di loggarsi con chissà quale utente strambo che magari di default non ha password..   
> ...

 

In effetti non avevo pensato a questo... Però resta il fatto che non conosco la password di quegli utenti... Comunque mi pare di aver capito che non è un problema.. e l'importante è questo!!

----------

## IlGab

 *iko wrote:*   

> Però resta il fatto che non conosco la password di quegli utenti... 

 

Non hanno una password e non possono fare login.

E' come quando crei un utente con useradd e non gli assegni una password, non può loggarsi.

----------

## iko

 *IlGab wrote:*   

>  *iko wrote:*   Però resta il fatto che non conosco la password di quegli utenti...  
> 
> Non hanno una password e non possono fare login.
> 
> E' come quando crei un utente con useradd e non gli assegni una password, non può loggarsi.

 

Ah perfetto.. grazie a tutti.. chiarito ogni dubbio.

L'unica cosa.. se qualcuno mi potesse passare quelle righe degli users e dei groups che ho cancellato...   :Embarassed:   :Embarassed: 

Anche se non è una cosa essenziale vorrei rimettere tutto come prima x evitare di aver problemi in futuro...

----------

## iko

ehmm.. nessuno quindi mi può postare le righe del file /etc/passwd e /etc/group per i seguenti utenti? Cosi le posso reinserire

adm 

anonymous

lp

sync

shutdown

halt

news

uucp

operator

games

gopher

Grazie

----------

## !ico

non ci sono tutti quelli che hai chiesto, comunque:

etc/passwd

```

adm:x:3:4:adm:/var/adm:/bin/false

lp:x:4:7:lp:/var/spool/lpd:/bin/false

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

news:x:9:13:news:/usr/lib/news:/bin/false

uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false

operator:x:11:0:operator:/root:/bin/bash

games:x:36:35:added by portage for vgba:/usr/games:/bin/bash

```

etc/group

```

adm:x:4:root,adm,daemon

lp:x:7:lp

news:x:13:news

uucp:x:14:uucp

games:x:35:ico

```

spero possano esserti utili, ola   :Wink: 

----------

## iko

Grazie 1000

ciao

Fede

----------

