Product SiteDocumentation Site

8.4. Database di utenti e gruppi

La lista degli utenti è generalmente memorizzata nel file /etc/passwd, mentre il file /etc/shadow memorizza l'hash delle password. Entrambi sono file di testo, in un formato relativamente semplice, che può essere letto e modificato con un editor. Ogni utente è elencato su una riga con diversi campi separati dai due punti (“:”).

NOTA Modificare i file di sistema

I file di sistema menzionati in questo capitolo sono tutti file di testo semplice, che possono essere modificati con un editor di testo. Considerata la loro importanza per le funzionalità primarie del sistema, è sempre una buona idea prendere precauzioni addizionali quando si modificano questi file di sistema. Prima di tutto, fare sempre una copia o un backup del file di sistema prima di aprirlo o alterarlo. Secondo, sui server o sulle macchine dove più di una persona può avere potenzialmente accesso allo stesso file allo stesso tempo, procedere con ulteriori precauzioni per evitare la corruzione dei file.
Per questo proposito è sufficiente usare il comando vipw per modificare il file /etc/passwd, oppure vigr per modificare /etc/group. Questi comandi bloccano il file in questione prima di eseguire l'editor di testo ((vi in via predefinita, a meno che la variabile d'ambiente EDITOR non sia stata modificata). L'opzione -s in questi comandi consente di modificare il file shadow corrispondente.

FONDAMENTALE Crypt, una funzione a senso unico

crypt è una funzione a senso unico che trasforma una stringa (A) in un'altra stringa (B) in modo tale che A non possa essere ricavata da B. L'unico modo per identificare A è provare tutti i possibili valori, controllando per ognuno se la trasformazione prodotta dalla funzione produce B oppure no. Utilizza fino a 8 caratteri come input (stringa A) e genera una stringa di 13 caratteri, stampabili ASCII, (stringa B).

8.4.1. Lista utenti: /etc/passwd

Questa è la lista dei campi nel file /etc/passwd:
  • login, per esempio rhertzog;
  • password: si tratta di una password crittografata da una funzione unidirezionale (crypt), basandosi su DES, MD5, SHA-256 o SHA-512. Il valore speciale "x" indica che la password criptata è memorizzata in /etc/shadow;
  • uid: numero univoco che identifica ciascun utente;
  • gid: numero univoco che identifica il gruppo principale dell'utente (Debian crea in via predefinita un gruppo specifico per ogni utente);
  • GECOS: campo dati che normalmente contiene il nome completo dell'utente;
  • directory di login, assegnata all'utente per conservare i propri file personali (la variabile d'ambiente $HOME punta generalmente qui);
  • programma eseguito dopo il login. Questo è generalmente un interprete dei comandi (shell), che dà all'utente carta bianca. Se viene specificato /bin/false (il quale non fa nulla e ritorna immediatamente il controllo), l'utente non può eseguire il login.
Come già detto, questo file si può modificare direttamente. Tuttavia ci sono modi più eleganti per modificarli, come descritto in Sezione 8.4.3, «Modificare un account o password esistente».

FONDAMENTALE Gruppo Unix

Un gruppo Unix è un'entità che include diversi utenti così che possano condividere facilmente file utilizzando il sistema di permessi integrato (avendo esattamente gli stessi privilegi). È anche possibile restringere l'uso di certi programmi ad un gruppo specifico.

8.4.2. Il file delle password nascoste e cifrate: /etc/shadow

Il file /etc/shadow contiene i seguenti campi:
  • login;
  • password cifrata;
  • diversi campi gestiscono la scadenza della password.
Con questo file è possibile far scadere le password od impostare dopo quanto tempo dalla scadenza della password l'account sarà disattivato .

SICUREZZA La sicurezza del file /etc/shadow

A differenza di /etc/passwd, il file /etc/shadow, non può essere letto dai normali utenti. Qualsiasi password cifrata contenuta in /etc/passwd è leggibile da chiunque: un malintenzionato potrebbe provare a forzare (o rivelare) una password attraverso diversi metodi a "forza bruta" che, molto semplicemente, provano le combinazioni di caratteri comunemente usate. Questo attacco — chiamato "attacco a dizionario" — non è più possibile sui sistemi che utilizzano /etc/shadow.

DOCUMENTAZIONE Formato dei file /etc/passwd, /etc/shadow e /etc/group

Questi formati sono documentati nelle seguenti pagine di manuale: passwd(5), shadow(5) e group(5).

8.4.3. Modificare un account o password esistente

I seguenti comandi permettono di modificare le informazioni memorizzate in campi specifici del database degli utenti: passwd permette ad un utente normale di cambiare la propria password, ed aggiorna il file /etc/shadow (chpasswd permette agli amministratori di aggiornare le password di un elenco di utenti in modalità batch); chfn (CHange Full Name), riservato al super-utente (root), modifica il campo GECOS. chsh (CHange SHell) permette all'utente di cambiare la propria shell di accesso; tuttavia, le scelte disponibili saranno limitate a quelle elencate in /etc/shells; l'amministratore, invece, non è vincolato da questa restrizione e può impostare la shell su qualsiasi programma di sua scelta.
Infine il comando chage (CHange AGE) consente all'amministratore di cambiare le impostazioni di scadenza della password (l'opzione -l utente elenca le impostazioni attuali). È possibile inoltre forzare la scandenza di una password utilizzando il comando passwd -e utente, il quale richiede all'utente di cambiare la password al prossimo accesso.
Oltre a questi strumenti, il comando usermod permette di modificare tutti i dettagli sopra menzionati.

8.4.4. Disabilitare un account

Può capitare di dover "disabilitare un account" (bloccare un utente) come misura disciplinare, ai fini di un'indagine o semplicemente in caso di assenza prolungata o definitiva di un utente. Un account disabilitato significa che l'utente non può effettuare il login o accedere alla macchina. L'account rimane intatto sulla macchina e non vengono eliminati file o dati; è semplicemente inaccessibile. Ciò si ottiene con il comando passwd -l utente (blocca). La riabilitazione dell'account avviene in modo simile, con l'opzione -u (sblocca). In questo modo, però, si impedisce solo l'accesso tramite password da parte dell'utente. L'utente potrebbe ancora essere in grado di accedere al sistema utilizzando una chiave SSH (se configurata). Per evitare anche questa possibilità è necessario far scadere l'account usando chage -E 1utente o usermod -e 1 utente (dando un valore di -1 in uno di questi comandi si reimposta la data di scadenza a mai). Per disabilitare (temporaneamente) tutti gli account utente basta creare il file /etc/nologin.
È possibile disabilitare un account utente non solo bloccandolo come descritto sopra, ma anche cambiando la sua shell di login predefinita (chsh -s shell utente). Se quest'ultima viene cambiata in /usr/sbin/nologin, l'utente riceve un messaggio di cortesia che lo informa che non è possibile effettuare il login, mentre /bin/false esce semplicemente restituendo false. Non esiste uno switch per ripristinare la shell precedente. È necessario tenere traccia di queste informazioni prima di modificare l'impostazione. Queste shell sono spesso utilizzate per gli utenti di sistema che non richiedono alcun accesso.

APPROFONDIMENTO NSS ed i database di sistema

Invece di usare i file tradizionali per gestire le liste di utenti e gruppi, è possibile utilizzare altre tipologie di database, come LDAP o db, utilizzando un modulo NSS (Name Service Switch) appropriato. I moduli utilizzati sono elencati nel file /etc/nsswitch.conf, alle voci passwd, shadow e group. Si veda la Sezione 11.7.3.1, «Configurare NSS» per un esempio specifico circa l'utilizzo di un modulo NSS per LDAP.

8.4.5. Lista dei gruppi: /etc/group

I gruppi sono elencati nel file /etc/group, un semplice database testuale in un formato simile a quello del file /etc/passwd, con i seguenti campi:
  • nome gruppo;
  • password (opzionale): Questa è utilizzata unicamente per aggiungersi ad un gruppo quando non si è un utente abituale (con i comandi newgrp o sg, si veda il riquadro FONDAMENTALE Lavorare con diversi gruppi);
  • gid: numero univoco di identificazione di un gruppo;
  • lista di membri: lista di nomi degli utenti che sono membri del gruppo, separati da virgole.

FONDAMENTALE Lavorare con diversi gruppi

Ogni utente può essere membro di molti gruppi: uno di questi sarà il suo "gruppo principale". Il gruppo principale di un utente è creato, per default, durante la configurazione iniziale. Inoltre, ogni file che un utente crea gli appartiene, così come viene assegnato al suo gruppo principale. Questo non è sempre auspicabile: per esempio, quando l'utente lavora in una directory condivisa da un gruppo diverso dal suo gruppo principale. In questo caso l'utente deve cambiare il proprio gruppo principale usando uno dei seguenti comandi: newgrp che avvia una nuova shell oppure sg che semplicemente esegue comandi usando il gruppo alternativo fornito. Inoltre, questi comandi consentono ad un utente di unirsi ad un gruppo al quale non appartiene. Se il gruppo è protetto da password sarà necessario fornirla prima che il comando venga eseguito.
In alternativa, l'utente può impostare il bit setgid nella directory, così i file creati in questa directory saranno assegnati automaticamente al gruppo corretto. Per maggiori dettagli, si veda il riquadro SICUREZZA directory setgid e sticky bit.
Il comando id visualizza lo stato corrente dell'utente: l'identificativo personale (variabile uid), il gruppo principale attuale (variabile gid) e la lista dei gruppi ai quali appartiene (variabile groups).
I comandi addgroup e delgroup, rispettivamente, aggiungono o rimuovono un gruppo. Il comando groupmod modifica le informazioni di un gruppo (il suo gid o identificativo). Il comando gpasswd gruppo cambia la password per il gruppo mentre il comando gpasswd -r gruppo la cancella.

SUGGERIMENTO getent

Il comando getent ("get entries", ottieni le voci) controlla i database di sistema secondo le modalità standard, usando le funzioni di libreria appropriate, che richiamano i moduli NSS configurati nel file /etc/nsswitch.conf. Il comando accetta uno o due argomenti: il nome del database da controllare ed una chiave di ricerca opzionale. In questo modo il comando getent passwd rhertzog fornirà informazioni dal database utenti riguardanti l'utente rhertzog.