# root vs sudo

## cloc3

 *kr0n1x wrote:*   

> 
> 
> Per esempio una domanda che mi viene ora... come do un comando coi permessi di root? Nel livedvd per esempio ho scritto solo "su" al posto del mio solito "sudo nomecomando" e sembra funzionare.

 

secondo me, sudo è una masturbazione mentale che ha cominciato ad andare di moda qualche tempo fa.

l'effetto è che, in ubuntu, l'utente root non ha password, ed è impossibile loggarsi direttamente come utente root (protezione esplicita in pam).

in compenso, però, chiunque (o almeno qualunque amministratore) può loggarsi come root usando sudo.

In questo caso, però, utilizza semplicemente la propria password e non quella di root.

io lo trovo pericolosissimo.

per spiegazioni specifiche sui due comandi, usa il man. scoprirai che sono due modalità del tutto diverse di ottenere lo stesso risultato.

per il tuo problema, non so risponderti, ma credo che l'utente root possa accedere senza password.

prova anche ad usare i tasti ctrl-alt-F1. normalmente danno accesso ad una shell in modalità carattere senza login.

Edit by randomaze: thread splittato da qui!

----------

## randomaze

 *cloc3 wrote:*   

> l'effetto è che, in ubuntu, l'utente root non ha password, ed è impossibile loggarsi direttamente come utente root (protezione esplicita in pam).
> 
> in compenso, però, chiunque (o almeno qualunque amministratore) può loggarsi come root usando sudo.

 

"qualunque amministratore": basta stare attenti agli account cui si da il gruppo per usare sudo... non ci sono poi troppe differenze sul dare la password di root agli amministratori, no?

----------

## cloc3

 *randomaze wrote:*   

>  *cloc3 wrote:*   l'effetto è che, in ubuntu, l'utente root non ha password, ed è impossibile loggarsi direttamente come utente root (protezione esplicita in pam).
> 
> in compenso, però, chiunque (o almeno qualunque amministratore) può loggarsi come root usando sudo. 
> 
> "qualunque amministratore": basta stare attenti agli account cui si da il gruppo per usare sudo... non ci sono poi troppe differenze sul dare la password di root agli amministratori, no?

 

no. non è assolutamente la stessa cosa.

ma il caso ubuntu presenta perversioni ancora peggiori:

guarda tu stesso:

```

cloc3@vBox:~$ sudo su

[sudo] password for cloc3:

root@vBox:/home/cloc3# exit

exit

cloc3@vBox: sudo su

root@vBox:/home/cloc3#

```

praticamente, si fa login una volta, si esce, si va al bar a bersi un caffè, e poi diritti in galera per aver consentito un furto di dati personali sul proprio pc.

pensa che ubuntu è creata per persone non tecniche.

sembra che i non tecnici, se li vuoi catturare, li devi prendere per il sedere.

in più, secondo me, è importante che la password di root e quella di utente normale siano distinte. 

a meno di lavorare in un ambiente professionale nel quale esistono molti amministratori distinti e ciascuno di essi possiede al contempo una account di amministratore ed una di utente semplice, delle quali sa fare l'uso adeguato.

ma una cosa del genere, di default per il pubblico di ubuntu mi sembra solamente criminale.

----------

## randomaze

 *cloc3 wrote:*   

> ma una cosa del genere, di default per il pubblico di ubuntu mi sembra solamente criminale.

 

OSX credo funzioni alla stessa maniera... io comunque lo vedo comunque come un discorso di intelligenza dell'amministratore.

Peraltro, nei sistemi non configurati in quel modo (ovvero con un account root) la gente "non tecnica" si mette direttamente sull'account di root invece che creare uno user neutrale...

----------

## flocchini

resta il fatto che ubuntu snatura in maniera criminale la gerarchia dei permessi x qto riguarda l'utente root... Ora, ben lungi da me voler iniziare una crociate contro ubuntu e benvenga linux in tutte le sue forme, ma scendere a compromessi di questo tipo mi sembra inaccettabile.

----------

## randomaze

 *flocchini wrote:*   

> Ora, ben lungi da me voler iniziare una crociate contro ubuntu e benvenga linux in tutte le sue forme, ma scendere a compromessi di questo tipo mi sembra inaccettabile.

 

~~ Per amore della rosa si sopportano le spine... ~~

 :Rolling Eyes: 

La questione, per come la vedo io è questa: l'utente "popolare" non ha per nulla chiaro il motivo per cui deve esserci un amministratore, non ha chiaro perchè deve ricordare 5 password e altro per il semplice fatto che il computer è suo ed è solo lui che ci accede. Su questo presupposto sa che se lascia il suo computer incustodito in biblioteca gli amici possono farci quel che vogliono, non ha il concetto del "possono fare quel che vogliono solo su quell'account" e, sopratutto, non è interessato a saperlo. Quello che fa ubuntu è semplicemente applicare la logica del <<se non li puoi combattere alleati con loro>>, gli mette a disposizione un ambiente in cui l'utente non deve cambiare mentalità per usare la distribuzione e, al tempo stesso, cerca di limitare i possibili danni.

----------

## riverdragon

 *cloc3 wrote:*   

> praticamente, si fa login una volta, si esce, si va al bar a bersi un caffè, e poi diritti in galera per aver consentito un furto di dati personali sul proprio pc.

 Se in un ambiente "a rischio" si lascia il computer incustodito senza bloccare lo schermo allora ci si merita tutto quello che capita.

----------

## cloc3

 *randomaze wrote:*   

> Quello che fa ubuntu è semplicemente applicare la logica del <<se non li puoi combattere alleati con loro>>, gli mette a disposizione un ambiente in cui l'utente non deve cambiare mentalità per usare la distribuzione e, al tempo stesso, cerca di limitare i possibili danni.

 

chiaro. ma riprendo il concetto che è stato dimenticato di là

è mai possibile che per accogliere nuovi utenti si debbano imitare i comportamenti deteriori della concorrenza?

----------

## djinnZ

sono malcostumi fossilizzatisi nella pa e nelle grandi aziende.

Se l'ambiente è insicuro, c'è confusione tra le responsabilità e non è possibile individuare un unico responsabile allora nessuno può essere punito.

Lo so che è stupido ma c'è ancora gente che ragiona così.

Quindi queste assurdità prendono piede. Sudo dovrebbe essere solo un metodo più flessibile per sostituire lo sticki bit nei permessi dei file.

D'altro canto selinux piace perchè ha una logica simile a windozz nella gestione degli attributi ma non consente di separare realmente root (amministratore del sistema, nella realtà) dal security officer (responsabile privacy o dirigente addetto al rilascio delle autorizzazioni, sempre nella realtà), figure che per ragioni pratiche è necessario tenere separate. Ma tant'è... approssimazione e "ipse dixit" = pessimismo e fastidio

----------

## lordalbert

comunque, non tutti possono usare sudo per autenticarsi come root. Devi editare sudoers, e scrivere il nome dei soli utenti che possono usare sudo.

Una volta dato sudo, l'autenticazione dura di default per 5 minuti, cioè i 5 minuti successivi non serve specificare nuovamente la password. Bah, secondo me non è poi così insicuro. Se un utente non è nel file sudoers, non può tentare di autenticarsi come root.

----------

## randomaze

 *cloc3 wrote:*   

> è mai possibile che per accogliere nuovi utenti si debbano imitare i comportamenti deteriori della concorrenza?

 

Credo che la questione sia diversa, ovvero non stanno imitando la concorrenza, semplicemente sono arrivati alla stessa conclusione della stessa (ma più tardi): per arrivare alle masse occorre evitare quello che le masse reputano inutile, ove possibile.

 *djinnZ wrote:*   

> sono malcostumi fossilizzatisi nella pa e nelle grandi aziende.
> 
> Se l'ambiente è insicuro, c'è confusione tra le responsabilità e non è possibile individuare un unico responsabile allora nessuno può essere punito.

 

Permettimi di non credere che le logiche di security dei sistemi operativi moderni dipendano da questo  :Rolling Eyes: 

----------

## djinnZ

 *randomaze wrote:*   

> Permettimi di non credere che le logiche di security dei sistemi operativi moderni dipendano da questo

 

Un paio di giorni fa ho avuto una "simpatica" discussione sull'argomento e la tesi era che è meglio la confusione altrimenti "potrebbero esserci delle spiacevoli ripercussioni".

Purtroppo una delle ragioni per le quali non vengono emanate specifiche precise in merito all'individuazione delle responsabilità (e da questo una richiesta di specifiche più rigorose per la sicurezza) è la tendenza a nascondersi nel mucchio (inutile, se proprio si volgiono prendere provvedimenti contro i responsabili di un pasticcio, IMHO) e la religione dei "pareri degli esperti" e del "non mi pare si sia mai fatto così".

Non è l'unica, ma è determinante ad orientare le richieste del mercato.

----------

## table

 *djinnZ wrote:*   

>  *randomaze wrote:*   Permettimi di non credere che le logiche di security dei sistemi operativi moderni dipendano da questo 
> 
> Un paio di giorni fa ho avuto una "simpatica" discussione sull'argomento e la tesi era che è meglio la confusione altrimenti "potrebbero esserci delle spiacevoli ripercussioni".
> 
> Purtroppo una delle ragioni per le quali non vengono emanate specifiche precise in merito all'individuazione delle responsabilità (e da questo una richiesta di specifiche più rigorose per la sicurezza) è la tendenza a nascondersi nel mucchio (inutile, se proprio si volgiono prendere provvedimenti contro i responsabili di un pasticcio, IMHO) e la religione dei "pareri degli esperti" e del "non mi pare si sia mai fatto così".
> ...

 

Io quoto djinnZ EDIT e cloc3   :Smile:   in tutto e per tutto. Purtroppo molta gente che usa il pc non si rende conto delle responsabilità che ognuno si deve assumere nel utilizzare un pc.

Pensiamo ai milioni di pc zombie sparsi in rete che sono poi sfruttati dagli spammers. Dovrebbero istituire una patente obbligatoria per l'uso di un pc con tutti gli utonti che ci sono in giro.   :Evil or Very Mad: 

----------

## cloc3

 *randomaze wrote:*   

> per arrivare alle masse occorre evitare quello che le masse reputano inutile, ove possibile.
> 
> 

 

arrivare alle masse non permette di giustificare tutto.

soprattuto se si sceglie di arrivare alle masse danneggiandole.

è proprio l'utente semplice la vittima di questo gioco. qui addirittura il terminale mantiene memoria della password, sia pure per un tempo limitato, in qualche variabile d'ambiente. basterebbe un bachetto congiunto di browser e terminale per scaricare la debolezza del sistema sul web.

esiste anche una strada alternativa per raggiungere le folle. l'educazione.

d'accordo, serve pazienza e fiducia nella forza delle proprie ragioni.

----------

## djinnZ

 *table wrote:*   

> Purtroppo molta gente che usa il pc non si rende conto delle responsabilità che ognuno si deve assumere nel utilizzare un pc.

 

 :Shocked:  veramente mi pare di aver detto che se ne rendono conto, in un certo qual modo idiota, e vorrebbero marciarci su...

 *table wrote:*   

> Dovrebbero istituire una patente

 

vedi che le "patenti" sono il primo mezzo per opprimere il libero sviluppo...  :Confused:  Meglio i campi di concentramento, si risolve il problema alla radice.  :Twisted Evil: 

in particolare per gli idioti che alle soglie del 2008 ti spediscono un allegato word in font vivaldi script, passo 28, solo per dare una conferma...  :Evil or Very Mad: 

----------

## table

 *djinnZ wrote:*   

> 
> 
> vedi che le "patenti" sono il primo mezzo per opprimere il libero sviluppo...  Meglio i campi di concentramento, si risolve il problema alla radice. 
> 
> 

 

 :Shocked:  , sono d'accordo   :Laughing: 

 *djinnZ wrote:*   

> 
> 
> in particolare per gli idioti che alle soglie del 2008 ti spediscono un allegato word in font vivaldi script, passo 28, solo per dare una conferma... 
> 
> 

 

Vero, brutto che molte persone siano costrette ad impazzire per colpa delle altre pecore   :Evil or Very Mad: 

[OT]P.S. Il primo personaggio che mi manderà una mail con un docx in allegato sarà punito da Steven Segal   :Laughing:  [/OT]

----------

## mambro

Io non uso sudo ma dico: se il pc è usato da un singolo utente, se questo singolo utente è anche l'amministratore, che senso hanno 2 password diverse? L'unica cosa insicura è che si rimane loggati per 5 minuti ma bisognerebbe capire bene come funziona, dubito che la password venga memorizzata in chiaro in qualche variabile d'ambiente.. e comunque si può configurare la cosa..

Il lasciare il pc incustodito comunque non è un problema reale. Un pc al quale si ha accesso fisico è rivoltabile come un calzino nel 99% dei casi, con o senza sudo. (basta riavviare con un livecd ad esempio visto che il 99% dei pc non ha la password sul bios..).

----------

## koma

[OT Flame]

Opening Flame.....

Wait loadind data.............................

UBUNTU antica parola africana per dire "Non so installare gentoo".

dischargind data..........

Segmentation fault

[/OT Flame]

----------

## Cazzantonio

 *koma wrote:*   

> UBUNTU antica parola africana per dire "Non so installare gentoo".

 

Per me spesso significa "Non ho il tempo per installare gentoo"   :Smile: 

----------

## djinnZ

 *mambro wrote:*   

> che senso hanno 2 password diverse?

 Tenere separate le cose. Nonostante le leggende mantenere l'uso normale separato dalle funzioni di amministrazione è sempre la via più sicura. E non dimentichiamo che esiste anche la distrazione.

 *mambro wrote:*   

> Il lasciare il pc incustodito comunque non è un problema reale.

  :Shocked:  Suppongo che non hai compagna o genitori, amici, fratelli, figli, nipoti e chi più ne ha più ne metta, per cominciare. Sono senza parole.

 *mambro wrote:*   

> Un pc al quale si ha accesso fisico è rivoltabile come un calzino nel 99% dei casi, con o senza sudo. (basta riavviare con un livecd ad esempio visto che il 99% dei pc non ha la password sul bios..).

 Se stiamo parlando del pc di casa, forse. Se stiamo parlando di uno strumento di lavoro è illegale.

Che poi gli imbecilli credano che lasciare tutto accessibile gli dia modo di giustificare i propri errori sostenenendo che chiunque poteva manomettere il sistema è un altro discorso.

----------

## Scen

Mah...

```

login as: utwork

utwork@XXX.XXX.XXX.XXX's password:

Linux s-proxy 2.6.20-15-server #2 SMP Sun Apr 15 07:41:34 UTC 2007 i686

The programs included with the Ubuntu system are free software;

the exact distribution terms for each program are described in the

individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by

applicable law.

Last login: Mon Dec  3 13:29:01 2007 from ************

utwork@s-proxy:~$ sudo -s

root@s-proxy:~#

```

Facendo così sudo non chiede nessuna password, e si diventa root. Non mi pare il massimo  :Confused: 

----------

## table

 *Scen wrote:*   

> Mah...
> 
> ```
> 
> login as: utwork
> ...

 

Ipermegaquoto

----------

## mambro

@djinnZ

Io intendo semplicemente dire che un pc fisicamente incustodio è insicuro sempre e comunque, indipendetemente da sudo. Il discorso del giustificare i propri errori lasciando tutto accessibile non capisco da dove l'hai tirato fuori..

Il discorso "è meglio separare le cose" resta una ciaccola da bar finchè non dimostri perchè. (ti ricordo sempre che stiamo parlando di pc monoutente)

La distrazione ti può portare a fare una sciocchezza loggato da root come a fare sciocchezze con sudo. Anzi con sudo almeno devi scrivere "sudo comando" da root magari sei loggato e non ti accorgi.. Questo ovviamente non dimostra nemmeno la superiorità di sudo (che non è il mio obiettivo visto che, tra l'altro, io non uso sudo).

----------

## mambro

 *Scen wrote:*   

> Mah...
> 
> ```
> 
> login as: utwork
> ...

 

Hai messo la password pochi secondi prima, perchè chiedertela di nuovo? Comunque quel tempo si può impostare immagino.

----------

## Scen

 *mambro wrote:*   

> Hai messo la password pochi secondi prima, perchè chiedertela di nuovo? Comunque quel tempo si può impostare immagino.

 

Ammetto di non essere un guru di sudo, ma se digito qualcosa del tipo

```

sudo view /etc/fstab

```

subito dopo essermi loggato, la password mi viene chiesta.

Per cui, IMHO, quel  -s è una scappatoia mooolto comoda ma anche moooolto pericolosa. Se c'è qualche aspetto che mi sfugge, bastonatemi e ditemi le cose come stanno  :Razz: 

----------

## mambro

Se non ricordo male (ho usato ubuntu sul portatile per un po') a me la chedeva e quel sudo -s dovrebbe darti una shell coi permessi di root. Però ora non ti saprei dire se, provando a farlo subito dopo loggati mi chiedeva 2 volte la password o no (mi pare proprio che ubuntu la chiedesse 2 volte, ma potrei sbagliarmi). Comunque immagino si possa impostare da qualche parte quel tempo   :Wink: 

----------

## djinnZ

 *mambro wrote:*   

> @djinnZ
> 
> Io intendo semplicemente dire che un pc fisicamente incustodio è insicuro sempre e comunque, indipendetemente da sudo. Il discorso del giustificare i propri errori lasciando tutto accessibile non capisco da dove l'hai tirato fuori...

 

Leggi sopra. La mancanza di sicurezza dell'istallazione di default di windozz e delle distribuzioni linux più "utonte" è bene accolta purtroppo e ho spiegato il perchè.

Quanto al perchè del resto sto sempre ragionando in termini di impiego lavorativo/professionale principalmente.

Mi sa che l'errore è nell'aver configurato sudo ad eseguire su, comunque.

----------

## codadilupo

sinceramente non capisco il problema. Come detto da più persone, le cazzate si possono fare sia con sudo che con su.

Detto questo, tutto il resto mi sembra perda un poco di significato. sudo è un ottimo strumento, soprattutto per evitare di dare a chiunque la password di root  :Wink: 

Coda

----------

## djinnZ

Si ma fare tutto a mezzo sudo equivale a dare a chiunque la password di root. E la cosa per quanto possa sembrare assurdo non è sempre malvista.

Questo era il senso del mio discorso.

----------

## codadilupo

 *djinnZ wrote:*   

> Si ma fare tutto a mezzo sudo equivale a dare a chiunque la password di root. E la cosa per quanto possa sembrare assurdo non è sempre malvista.
> 
> Questo era il senso del mio discorso.

 

d'accordo, ma solo se dai a tutti i permessi globali di sudoers, e poi le distro di cui stiamo parlando sono 'desktop-oriented', non certo utili come server.

E infine, sudo si puo' pure configurare in maniera meno becera, no  :Wink:  ?

Coda

----------

## djinnZ

IMHO no.

Usare uno strumento nato per risolvere casi marginali del tipo non doversi loggare come root per avviare ppp in modo massiccio equivale a rendere insicuro il sistema ed abituare l'utente a non pensare. Oltre al fatto che, dove il computer sia condiviso, per me è una vaccata bella e buona (più che di "desktop" parlavi di "monoutente", immagino). 

Quanto alla configurazione mi viene a mente una certa rel. 4 di non dico quale distribuzione che impostava +s su, con i risultati che potete immaginare. Sarà un bug.

----------

## mambro

 *djinnZ wrote:*   

> IMHO no.
> 
> Usare uno strumento nato per risolvere casi marginali del tipo non doversi loggare come root per avviare ppp in modo massiccio equivale a rendere insicuro il sistema ed abituare l'utente a non pensare. Oltre al fatto che, dove il computer sia condiviso, per me è una vaccata bella e buona (più che di "desktop" parlavi di "monoutente", immagino). 
> 
> Quanto alla configurazione mi viene a mente una certa rel. 4 di non dico quale distribuzione che impostava +s su, con i risultati che potete immaginare. Sarà un bug.

 

Non capisco il concetto di "non pensare". Cosa cambia tra un utente che mette sudo davanti ad ogni comando e uno che fa "su" in un terminale per qualsiasi cosa debba fare? Ovviamente si parla sempre di sistemi monoutente.

----------

## codadilupo

 *djinnZ wrote:*   

> IMHO no.
> 
> Usare uno strumento nato per risolvere casi marginali del tipo non doversi loggare come root per avviare ppp in modo massiccio equivale a rendere insicuro il sistema ed abituare l'utente a non pensare. Oltre al fatto che, dove il computer sia condiviso, per me è una vaccata bella e buona (più che di "desktop" parlavi di "monoutente", immagino). 
> 
> Quanto alla configurazione mi viene a mente una certa rel. 4 di non dico quale distribuzione che impostava +s su, con i risultati che potete immaginare. Sarà un bug.

 

No, intendevo proprio un uso desktop. Perchè su un desktop, difficilmente avro' piu' due/tre utenti, e se proprio i coinquilini sono dei cani, posso sempre non metterli nel sudoers, che non è mica un'opzione di default, metterceli  :Wink: 

Se invece parliamo di server, sudo puo' davvero servire a creare tanti gruppi di accesso differenziati, ai quali posso dare e togliere priviegi come e quando voglio. Certo che, in questo caso, è da imbecilli permettere a un sudoers qualsiasi di dare "sudo su", ma - ripeto - questo comportamento tipico di ubuntu, è piu' che accettabile nella sua versione piu' diffusa che è e rimane orientata al desktop

Coda

----------

## Luca89

Io non vedo nessun fattore contro l'uso di sudo al posto di su. Sudo permette di fare le stesse cose e anche di più, per esempio loggare tutti i comandi che vengono eseguiti (potrebbe essere utile se qualcosa va storto), cosa che avviene di default in ubuntu. La password viene salvata in memoria per un tempo limitato dopo il quale viene richiesta di nuovo. Inoltre credo che se uno si allontana dal pc deve come minimo bloccare la sessione... come si può pretendere sicurezza sennò...

Infine la vita con sudo è molto più semplice per l'utente comune, una password sola anziché due non credo siano un'enorme falla di sicurezza in sistemi desktop base. Naturalmente sarebbe meglio che non fosse "pippo" o cose del genere, basta un po' di buon senso in questo caso.

PS: è un po' fantasioso, ma craccare una password non dovrebbe essere più difficile di craccare nome utente e password? Infatti un cracker avrebbe la vita spianata se sa già che il nome utente da craccare si chiama "root". Con l'utente root disabilitato si toglie una falla no?

----------

## Cazzantonio

 *Luca89 wrote:*   

> La password viene salvata in memoria per un tempo limitato dopo il quale viene richiesta di nuovo. Inoltre credo che se uno si allontana dal pc deve come minimo bloccare la sessione... come si può pretendere sicurezza sennò...

 Anche perché pure senza sudo ne ho visti tanti di terminali con una sessione di root aperta lasciati lì in bella vista   :Smile: 

Se non fosse che il sysadmin è un mio amico avrei tante volte avuto l'occasione di fargli uno scherzetto o due   :Wink: 

 *Luca89 wrote:*   

> Con l'utente root disabilitato si toglie una falla no?

 Beh indovinare la password con un tentativo bruto da terminale è comunque infattibile nel tempo delle nostre vite   :Smile:  (si lo so che gli hacker dei film fanno sempre così... ma bruce willis abbatte pure gli elicotteri con le macchine...   :Wink:  ).

Dovunque sia possibile un'autenticazione di rete si dovrebbe disabilitare l'utente root... sempre   :Smile: 

----------

