| Precedente :: Successivo |
| Autore |
Messaggio |
utonto_medio
Dio maturo
Registrato: 09/02/08 15:28
Messaggi: 1012
|
 Inviato: 20 Gen 2010 20:42 Oggetto: utenti limitati... |
 |
|
Ciao a tutti e buon anno...
questa volta il vostro sguelfissimo utonto vi chiede:
come posso creare in ubuntu un utente con poteri molto limitati che anche in caso di intrusioni via internet non permetta di andare a ficcare il naso nelle cartelle di un utente standard?
o devo proprio prendere un secondo pc?
grazie ciao!
u. |
|
| Top |
|
 |
ITbit
Dio minore
Registrato: 28/05/09 17:07
Messaggi: 610
|
| Inviato: 21 Gen 2010 10:45 Oggetto: Re: utenti limitati... |
|
|
| utonto_medio ha scritto: | Ciao a tutti e buon anno...
questa volta il vostro sguelfissimo utonto vi chiede:
come posso creare in ubuntu un utente con poteri molto limitati che anche in caso di intrusioni via internet non permetta di andare a ficcare il naso nelle cartelle di un utente standard?
o devo proprio prendere un secondo pc?
grazie ciao!
u. |
Teoricamente in Ubuntu l'utente e' gia' limitato di suo, se vuoi fare qualcosa devi fare un sudo. Se intendi che ti serve un ulteriore account per lo zio, il nonno o che so io oltre al tuo, che e' gia' limitato si diceva, allora fa così:
In Sistema > Amministrazione > Utenti e gruppi > Impostazioni utenti > Aggiungi utente: inserisci le informazioni relative al nuovo utente. Alla voce "Profilo" se scegli "Desktop user" avrai un utente con i soliti privilegi limitati dell'utente normale, se scegli "Unprivileged" avrai un utente senza alcun potere, ma ti servirà a poco. Con la scheda "privilegi utente" potrai dare o togliere i permessi al tuo nuovo utente.
Se poi si parla di limiti ancora piu' massicci allora e' ancora altra faccenda e andiamo su una infinita' di trucchi, chroot, jail, possibilita' di lanciare solo applicazioni limitate, SELinux e chi piu' ne ha piu' ne metta. Come sempre una distro linux e' un kit di montaggio limitata dalla competenza tecnica e dalla propria fantasia ma si puo' fare di tutto. Ti sconsiglierei pero' di andare a impelagarti in altri sistemi, a meno che tu abbia un po' di tempo e coraggio e necessiti di configurazioni particolari.
Inoltre la seconda questione e' che se qualcuno ottiene un utente valido sulla macchina esistono infinite tecniche di priviledge excalation, piu' o meno buone. Ma se hai una distro aggiornata non e' uno scherzetto fregare il sistema per cui uno user unpriviledged basta e avanza in quasi tutte le situazioni (e a dire il vero anche lo user standard, come si diceva e' solo con un sudo che diventi davvero qualcuno!!) |
|
| Top |
|
|
anabasi
Amministratore
Registrato: 21/10/05 01:58
Messaggi: 15621
Residenza: Tra Alpi e Tanaro
|
| Inviato: 22 Gen 2010 09:05 Oggetto: Re: utenti limitati... |
|
|
| ITbit ha scritto: |
Teoricamente in Ubuntu l'utente e' gia' limitato di suo, se vuoi fare qualcosa devi fare un sudo. Se intendi che ti serve un ulteriore account per lo zio, il nonno o che so io oltre al tuo, che e' gia' limitato si diceva [...]
|
Credo che le intenzioni di utonto_medio siano attivare un utente con privilegi molto limitati, che lui stesso vorrebbe usare per una navigazione internet più sicura.
| utonto_medio ha scritto: |
come posso creare in ubuntu un utente con poteri molto limitati che anche in caso di intrusioni via internet non permetta di andare a ficcare il naso nelle cartelle di un utente standard?
o devo proprio prendere un secondo pc?
|
A mio parere, per le esigenze di sicurezza di un normale utilizzatore di pc (quindi, escludendo le esigenze di sicurezza aziendale o altre specifiche situazioni) l'utilizzo di un utente con normali privilegi e l'installazione di un'interfaccia grafica a Iptables (come Firestarter, per Ubuntu) opportunamente configurata è più che sufficiente. In passato, ne avevamo parlato qui.
Per quanto riguarda la sicurezza dei dati più importanti, è consigliabile l'utilizzo di un archivio (o, se necessario, una partizione) criptato con Truecrypt. Per Ubuntu ( e Debian) è scaricabile il pacchetto .deb da qui. E' disponibile anche il pacchetto .rpm per OpenSuse, e i sorgenti per la compilazione. |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 21:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 23 Gen 2010 19:34 Oggetto: |
|
|
| Mi intrometto al volo: potrebbe essere ipotizzabile l'uso di selinux o apparmor per gestire le policy sui singoli programmi/processi. |
|
| Top |
|
|
utonto_medio
Dio maturo
Registrato: 09/02/08 15:28
Messaggi: 1012
|
| Inviato: 24 Gen 2010 16:33 Oggetto: |
|
|
| eeeeh? |
|
| Top |
|
|
MK66
Moderatore Sistemi Operativi
Registrato: 17/10/06 23:24
Messaggi: 8634
Residenza: dentro una cassa sotto 3 metri di terra...
|
| Inviato: 24 Gen 2010 21:49 Oggetto: |
|
|
selinus e apparmor servono sostanzialmente per limitare l'utilizzo a utenti specifici di programmi specifici. Non si tratta di una cosa complicatissima, ma nemmeno semplicissima, e personalmente non ne vedo nemmeno la necessità, a livello desktop.
Quello che io non ho capito è: di preciso che dovrebbe fare questo "utente limitatissimo"?
I casi che ho visto normalmente sono correlati a qualcosa del tipo «Voglio evitare che fratello/coniuge/figlio/chissàchi possa fare casini al computer che io utilizzo anche per lavoro!»
Normalmente, per fare questo, basta creare un nuovo utente e evitare che abbia poteri amministrativi (cioè impedirgli di "sudare"): potrà usare il computer normalmente, ma non avrà modo di installare niente di niente e nemmeno di modificare nulla nel sistema (a parte scegliersi temi e sfondi tra quelli già esistenti) |
|
| Top |
|
|
utonto_medio
Dio maturo
Registrato: 09/02/08 15:28
Messaggi: 1012
|
| Inviato: 24 Gen 2010 22:12 Oggetto: |
|
|
per fortuna non ho problemi di altri utilizzatori del pc. volevo solo poter star tranquillo e navigare liberamenre con l'utente limitatissimo, e invece con un'altro utente andare (tranquillamente) sul sito della banca...
insomma lo scopo è star tranquilli e non rischiare di farsi fregare visto che già ci pensano in troppi in italia...
al momento uso per la navigazione libera xp e per quella seria ubuntu
ma xp diventa ogni giorno + lento e vorrei abbandonarlo |
|
| Top |
|
|
MK66
Moderatore Sistemi Operativi
Registrato: 17/10/06 23:24
Messaggi: 8634
Residenza: dentro una cassa sotto 3 metri di terra...
|
| Inviato: 24 Gen 2010 22:25 Oggetto: |
|
|
| utonto_medio ha scritto: | per fortuna non ho problemi di altri utilizzatori del pc. volevo solo poter star tranquillo e navigare liberamenre con l'utente limitatissimo, e invece con un'altro utente andare (tranquillamente) sul sito della banca...
insomma lo scopo è star tranquilli e non rischiare di farsi fregare visto che già ci pensano in troppi in italia...
al momento uso per la navigazione libera xp e per quella seria ubuntu
ma xp diventa ogni giorno + lento e vorrei abbandonarlo |
Per questo, ti basta creare un normalissimo utente, che non abbia poteri amministrativi, e usare quello per la navigazione "normale" (anche se, personalmente, non ci vedo contro-indicazioni a usare lo stesso utente per entrambe le operazioni).
Poi basta (IMHO) avere il firewall ben configurato, il browser aggiornato e alcune estensioni che impediscono il funzionamento di script, JavaScript eccetera.
Ho anche sentito di alcuni che, per accedere al sito della propria banca, usano direttamente il CD Live, ma veramente mi sembra esageratamente paranoico (anche perchè quando sei in Live sei di fatto un super-utente) |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 21:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 24 Gen 2010 22:46 Oggetto: |
|
|
Certo mio caro vampiro.
Ho solo buttato lì la cosa. Per il resto un utente normale può star tranquillo.[/i] |
|
| Top |
|
|
anabasi
Amministratore
Registrato: 21/10/05 01:58
Messaggi: 15621
Residenza: Tra Alpi e Tanaro
|
| Inviato: 25 Gen 2010 00:37 Oggetto: |
|
|
| MK66 ha scritto: |
Ho anche sentito di alcuni che, per accedere al sito della propria banca, usano direttamente il CD Live, ma veramente mi sembra esageratamente paranoico (anche perchè quando sei in Live sei di fatto un super-utente) |
Inoltre, Ubuntu usato dal CD Live non ha un'interfaccia grafica per Iptables, come Firestarter. Occorrerebbe prepararsi uno script, salvarlo su chiavetta, copiarlo ogni volta, dargli i permessi di esecuzione e lanciarlo da terminale... |
|
| Top |
|
|
ITbit
Dio minore
Registrato: 28/05/09 17:07
Messaggi: 610
|
| Inviato: 25 Gen 2010 12:59 Oggetto: |
 |
|
| utonto_medio ha scritto: | per fortuna non ho problemi di altri utilizzatori del pc. volevo solo poter star tranquillo e navigare liberamenre con l'utente limitatissimo, e invece con un'altro utente andare (tranquillamente) sul sito della banca...
insomma lo scopo è star tranquilli e non rischiare di farsi fregare visto che già ci pensano in troppi in italia...
al momento uso per la navigazione libera xp e per quella seria ubuntu
ma xp diventa ogni giorno + lento e vorrei abbandonarlo |
Ma allora piu' che altro dovresti usare un browser in una jail o, appunto, SElinux e soci. Ma mi sa che ti complichi troppo la vita.
Secondo me l'user comune con un FF con i plugin per bloccare javascript e compagnia basta e avanza senza necessita' di usare due utenti.
Da paranoico poi pure la faccendina del CD live io mica la escluderei ... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
