Product SiteDocumentation Site

8.4. Database di utenti e gruppi

La lista degli utenti è generalmente conservata nel file /etc/passwd, mentre il file /etc/shadow conserva le password cifrate. Entrambi sono file di testo, in un formato relativamente semplice, che può essere letto e modificato con un editor di testo. Ogni utente è elencato su una riga con diversi campi separati dai due punti («:»).

NOTA Modificare i file di sistema

I file di sistema menzionati in questo capitolo sono tutti file di testo semplice, che possono essere modificati con un editor di testo. Considerata la loro importanza per le funzionalità primarie del sistema, è sempre una buona idea prendere precauzioni addizionali quando si modificano questi file di sistema. Prima di tutto, fare sempre una copia o un backup del file di sistema prima di aprirlo o alterarlo. Secondo, sui server o sulle macchine dove più di una persona può avere potenzialmente accesso allo stesso file allo stesso tempo, procedere con ulteriori precauzioni per evitare la corruzione dei file.
Per questo proposito è sufficiente usare il comando vipw per modificare il file /etc/passwd, oppure vigr per modificare /etc/group. Questi comandi bloccano il file in questione prima di eseguire l'editor di testo ((vi in via predefinita, a meno che la variabile d'ambiente EDITOR non sia stata modificata). L'opzione -s in questi comandi consente di modificare il file shadow corrispondente.

FONDAMENTALI crypt, funzione a senso unico

crypt è una funzione a senso unico che trasforma una stringa (A) in un'altra stringa (B) in modo tale che A non possa essere ricavata da B. L'unico modo per identificare A è provare tutti i possibili valori, controllando per ognuno se la trasformazione prodotta dalla funzione produce B oppure no. Utilizza fino a 8 caratteri come input (stringa A) e genera una stringa di 13 caratteri, stampabili ASCII, (stringa B).

8.4.1. Lista utenti: /etc/passwd

Questa è la lista dei campi nel file /etc/passwd:
  • login, per esempio rhertzog;
  • password: è una password cifrata con una funzione a senso unico (crypt), basandosi su DES, MD5, SHA-256 o SHA-512. Il valore speciale "x" indica che la password cifrata è conservata in /etc/shadow;
  • uid: numero univoco che identifica ciascun utente;
  • gid: numero univoco che identifica il gruppo principale dell'utente (Debian crea in via predefinita un gruppo specifico per ogni utente);
  • GECOS: campo dati che normalmente contiene il nome completo dell'utente;
  • directory di login, assegnata all'utente per conservare i propri file personali (la variabile d'ambiente $HOME punta generalmente qui);
  • programma eseguito dopo il login. Questo è generalmente un interprete dei comandi (shell), che dà all'utente carta bianca. Se viene specificato /bin/false (il quale non fa nulla e ritorna immediatamente il controllo), l'utente non può eseguire il login.

FONDAMENTALI Gruppo Unix

Un gruppo Unix è un'entità che include diversi utenti così che possano condividere facilmente file utilizzando il sistema di permessi integrato (avendo esattamente gli stessi privilegi). È anche possibile restringere l'uso di certi programmi ad un gruppo specifico.

8.4.2. Il file delle password nascoste e cifrate: /etc/shadow

Il file /etc/shadow contiene i seguenti campi:
  • login;
  • password cifrata;
  • diversi campi gestiscono la scadenza della password.

DOCUMENTAZIONE Formato dei file /etc/passwd, /etc/shadow e /etc/group

Questi formati sono documentati nelle seguenti pagine di manuale: passwd(5), shadow(5) e group(5).

SICUREZZA La sicurezza del file /etc/shadow

/etc/shadow, diversamente dal suo alter ego /etc/passwd, non può essere letto dai normali utenti. Qualsiasi password cifrata contenuta in /etc/passwd è leggibile da chiunque: un cracker potrebbe provare a forzare (o rivelare) una password attraverso diversi metodi a «forza bruta» i quali molto semplicemente provano le combinazioni di caratteri usate comunemente. Questo attacco, chiamato «attacco a dizionario», non è più possibile sui sistemi che utilizzano /etc/shadow.

8.4.3. Modificare un account o password esistente

I seguenti comandi consentono la modifica delle informazioni conservate in campi specifici dei database utenti: passwd permette ad un utente normale di modificare la propria password, cosa che comporta l'aggiornamento del file /etc/shadow. chfn (CHange Full Name), riservato per il super-utente (root), modifica il campo GECOS. chsh (CHange SHell) consente all'utente di cambiare la propria shell di login, tuttavia le scelte disponibili sono limitate a quelle elencate in /etc/shells: l'amministratore, d'altra parte, non è soggetto a questa restrizione e può impostare la shell a qualsiasi programma scelga.
Infine il comando chage (CHange AGE) consente all'amministratore di cambiare le impostazioni di scadenza della password (l'opzione -l utente elenca le impostazioni attuali). È possibile inoltre forzare la scandenza di una password utilizzando il comando passwd -e utente, il quale richiede all'utente di cambiare la password al prossimo accesso.

8.4.4. Disabilitare un account

Può rendersi necessario «disabilitare un account» (tagliare fuori un utente) come misura disciplinare, per eseguire delle verifiche o semplicemente in caso di una prolungata o definitiva assenza dell'utente. Un account disabilitato significa che l'utente non potrà fare login o guadagnare accesso alla macchina. L'account rimane intatto nella macchina e né i file né altri dati sono cancellati: sono semplicemente inaccessibili. Questo si ottiene usando il comando passwd -l utente (l, per «lock»: blocco). Per riabilitare l'account si utilizza l'opzione -u (u, per «unlock»: sblocco).

APPROFONDIMENTI NSS ed i database di sistema

Invece di usare i file tradizionali per gestire le liste di utenti e gruppi, è possibile utilizzare altre tipologie di database, come LDAP o db, utilizzando un modulo NSS (Name Service Switch) appropriato. I moduli utilizzati sono elencati nel file /etc/nsswitch.conf, alle voci passwd, shadow e group. Si veda la Sezione 11.7.3.1, «Configurare NSS» per un esempio specifico circa l'utilizzo di un modulo NSS per LDAP.

8.4.5. Lista dei gruppi: /etc/group

I gruppi sono elencati nel file /etc/group, un semplice database testuale in un formato simile a quello del file /etc/passwd, con i seguenti campi:
  • nome gruppo;
  • password (opzionale): Questa è utilizzata unicamente per aggiungersi ad un gruppo quando non si è un utente abituale (con i comandi newgrp o sg, si veda il riquadro FONDAMENTALI Lavorare con diversi gruppi);
  • gid: numero univoco di identificazione di un gruppo;
  • lista di membri: lista di nomi degli utenti che sono membri del gruppo, separati da virgole.

FONDAMENTALI Lavorare con diversi gruppi

Ogni utente può essere membro di molti gruppi: uno di questi sarà il suo «gruppo principale». Il gruppo principale di un utente è creato, in via predefinita, durante la configurazione iniziale dell'utente. In via predefinita ogni file che un utente crea gli appartiene, così come viene assegnato al suo gruppo principale. Questo non è sempre desiderabile: per esempio quando l'utente lavora in una directory condivisa da un gruppo diverso dal suo gruppo principale. In questo caso l'utente deve cambiare il proprio gruppo principale usando uno dei seguenti comandi: newgrp che avvia una nuova shell oppure sg che semplicemente esegue comandi usando il gruppo alternativo fornito. Questi comandi consentono inoltre all'utente di unirsi ad un gruppo al quale non appartiene. Se il gruppo è protetto da password avranno bisogno di fornire la password appropriata prima che il comando sia eseguito.
In alternativa, l'utente può impostare il bit setgid nella directory, così i file creati in questa directory saranno assegnati automaticamente al gruppo corretto. Per maggiori dettagli, si veda il riquadro SICUREZZA directory setgid e sticky bit.
Il comando id visualizza lo stato corrente dell'utente: l'identificativo personale (variabile uid), il gruppo principale attuale (variabile gid) e la lista dei gruppi ai quali appartiene (variabile groups).
The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

SUGGERIMENTO getent

Il comando getent («get entries»: ottieni le voci) controlla i database di sistema secondo le modalità standard, usando le funzioni di libreria appropriate, che richiamano i moduli NSS configurati nel file /etc/nsswitch.conf. Il comando accetta uno o due argomenti: il nome del database da controllare ed una chiave di ricerca opzionale. In questo modo il comando getent passwd rhertzog fornirà informazioni dal database utenti riguardanti l'utente rhertzog.