Red Hat Linux 7.1: Official Red Hat Linux Reference Guide
Indietro		Avanti

Capitolo 12. Controllo degli accessi e dei privilegi

Secondo una politica di sicurezza corrente, la sicurezza del sistema si basa sull'incapacità di gruppi o utenti di fare più di quel che dovrebbero. La maggior parte dei cambiamenti quotidiani riguardano il controllo degli accessi e dei privilegi concessi a gruppi e utenti, (vedere il Capitolo 2 per maggiori informazioni sulla creazione e la configurazione corrette di gruppi e utenti).

Tuttavia, molte organizzazioni che utilizzano Red Hat Linux richiedono maggiore sicurezza o particolari configurazioni che permettono di ottenere un accesso più o meno elevato alle applicazioni o ai dispositivi di sistema. Questa sezione fornisce alcuni metodi per ottenere un livello di accesso e di privilegi adeguato alle proprie necessità.

Utility shadow

Se siete in un ambiente multi-utente e non usate né PAM né Kerberos, dovreste considerare l'utilizzo delle utility shadow (chiamate anche password shadow) per l'alto livello di protezione che offrono ai file di autenticazione del sistema. Durante l'installazione di Red Hat Linux, la protezione del sistema fornita dalle password shadow è attivata per default, così come lo sono le password MD5 (metodo indiscutibilmente più sicuro della cifratura per immagazzinare le password sul sistema).

Rispetto al metodo standard usato per immagazzinare le password sui sistemi UNIX e Linux, le password shadow offrono alcuni vantaggi quali:

Un metodo che permette di migliorare la sicurezza del sistema spostando le password cifrate da /etc/passwd verso /etc/shadow, leggibile solo da root.
Informazioni relative all'invecchiamento della password (quanto tempo è trascorso dall'ultima volta che la password è stata modificata).
Un controllo sulla durata di validità della password (quando l'utente la deve modificare).
La possibilità di usare il file /etc/login.defs per rafforzare una regola di sicurezza, specialmente relativa all'invecchiamento della password.

Il pacchetto shadow-utils contiene alcune utility che supportano:

La conversione di password normali in password shadow e viceversa (pwconv, pwunconv).
La verifica della password, del gruppo e dei file shadow associati (pwck, grpck).
Metodi standard per aggiungere, cancellare e modificare gli account utenti (useradd, usermod e userdel).
Metodi standard per aggiungere, cancellare e modificare i gruppi utenti (groupadd, groupmod e groupdel).
Metodi standard di amministrazione del file /etc/group tramite il comando gpasswd.

Nota Bene

	Nota Bene
	Queste utility offrono altri vantaggi: Le utility funzionano correttamente indipendentemente dallo stato di attivazione/disattivazione dello shadowing. Le utility sono state leggermente modificate per supportare lo schema del gruppo privato utente di Red Hat. Per una descrizione delle modifiche, consultate la pagina man useradd. Per maggiori informazioni sui gruppi privati utente, consultate la la sezione Gruppi privati utente nel Capitolo 2. Lo script adduser è stato sostituito con il collegamento simbolico a `/usr/sbin/useradd`. I tool contenuti nel pacchetto `shadow-utils` non sono compatibili né con Kerberos né con LDAP. I nuovi utenti saranno solo locali. Per maggiori informazioni su Kerberos e LDAP, consultate il Capitolo 9 e il Capitolo 4.

Queste utility offrono altri vantaggi:

Le utility funzionano correttamente indipendentemente dallo stato di attivazione/disattivazione dello shadowing.
Le utility sono state leggermente modificate per supportare lo schema del gruppo privato utente di Red Hat. Per una descrizione delle modifiche, consultate la pagina man useradd. Per maggiori informazioni sui gruppi privati utente, consultate la la sezione Gruppi privati utente nel Capitolo 2.
Lo script adduser è stato sostituito con il collegamento simbolico a /usr/sbin/useradd.
I tool contenuti nel pacchetto shadow-utils non sono compatibili né con Kerberos né con LDAP. I nuovi utenti saranno solo locali. Per maggiori informazioni su Kerberos e LDAP, consultate il Capitolo 9 e il Capitolo 4.

Indietro	Partenza	Avanti
SSH per le connessioni remote	Risali	Configurazione dell'accesso alla console