Your IP : 216.73.216.81
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Capitolo 4. Autenticazione e controllo degli accessi</title>
<link rel="stylesheet" type="text/css" href="debian-reference.css"/>
<meta name="generator" content="DocBook XSL Stylesheets Vsnapshot"/>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
<link rel="home" href="index.it.html" title="Debian Reference"/>
<link rel="up" href="index.it.html" title="Debian Reference"/>
<link rel="prev" href="ch03.it.html" title="Capitolo 3. Inizializzazione del sistema"/>
<link rel="next" href="ch05.it.html" title="Capitolo 5. Impostazione della rete"/>
</head>
<body>
<div class="navheader">
<table width="100%" summary="Navigation header">
<tr>
<th colspan="3" align="center">Capitolo 4. Autenticazione e controllo degli accessi</th>
</tr>
<tr>
<td align="left"><a accesskey="p" href="ch03.it.html"><img src="images/prev.png" alt="Indietro"/></a> </td>
<th width="60%" align="center"> </th>
<td align="right"> <a accesskey="n" href="ch05.it.html"><img src="images/next.png" alt="Avanti"/></a></td>
</tr>
</table>
<hr/>
</div>
<div class="chapter">
<div class="titlepage">
<div>
<div>
<h1 class="title"><a id="_authentication"/>Capitolo 4. Autenticazione e controllo degli accessi</h1>
</div>
</div>
</div>
<div class="toc">
<p>
<strong>Indice</strong>
</p>
<dl class="toc">
<dt>
<span class="section">
<a href="ch04.it.html#_normal_unix_authentication">4.1. Autenticazione Unix normale</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_managing_account_and_password_information">4.2. Gestire le informazioni su account e password</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_good_password">4.3. Password buone</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_creating_encrypted_password">4.4. Creare password cifrate</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_pam_and_nss">4.5. PAM e NSS</a>
</span>
</dt>
<dd>
<dl>
<dt>
<span class="section">
<a href="ch04.it.html#_configuration_files_accessed_by_pam_and_nss">4.5.1. File di configurazione letti da PAM e NSS</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_the_modern_centralized_system_management">4.5.2. La moderna gestione centralizzata del sistema</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_why_gnu_su_does_not_support_the_wheel_group">4.5.3. "Perché GNU su non supporta il gruppo wheel"</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_stricter_password_rule">4.5.4. Regole più stringenti per le password</a>
</span>
</dt>
</dl>
</dd>
<dt>
<span class="section">
<a href="ch04.it.html#_security_of_authentication">4.6. Sicurezza dell'autenticazione</a>
</span>
</dt>
<dd>
<dl>
<dt>
<span class="section">
<a href="ch04.it.html#_secure_password_on_the_internet">4.6.1. Password sicure in Internet</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_secure_shell">4.6.2. Secure Shell, shell sicura</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_extra_security_measures_for_the_internet">4.6.3. Misure aggiuntive di sicurezza per Internet</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_securing_the_root_password">4.6.4. Rendere sicura la password di root</a>
</span>
</dt>
</dl>
</dd>
<dt>
<span class="section">
<a href="ch04.it.html#_other_access_controls">4.7. Altri controlli sugli accessi</a>
</span>
</dt>
<dd>
<dl>
<dt>
<span class="section">
<a href="ch04.it.html#_sudo">4.7.1. sudo</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_policykit">4.7.2. PolicyKit</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_restricting_access_to_some_server_services">4.7.3. Limitare l'accesso ad alcuni servizi server</a>
</span>
</dt>
<dt>
<span class="section">
<a href="ch04.it.html#_linux_security_features">4.7.4. Funzionalità di sicurezza di Linux</a>
</span>
</dt>
</dl>
</dd>
</dl>
</div>
<p>Quando una persona (o un programma) richiede l'accesso al sistema,
l'autenticazione verifica che l'identità sia fidata.</p>
<div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Warning">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Avvertimento]" src="images/warning.png"/>
</td>
<th align="left">Avvertimento</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Errori di configurazione di PAM possono lasciare l'utente fuori dal proprio
sistema. Si deve avere un CD di ripristino a portata di mano o impostare una
partizione di avvio alternativa. Per fare il ripristino, avviare il sistema
con uno di essi e correggere le cose da lì.</p>
</td>
</tr>
</table>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h2 class="title"><a id="_normal_unix_authentication"/>4.1. Autenticazione Unix normale</h2>
</div>
</div>
</div>
<p>L'autenticazione Unix normale è fornita dal modulo
<code class="literal">pam_unix</code>(8) sotto <a class="ulink" href="https://it.wikipedia.org/wiki/Pluggable_authentication_modules">PAM (Pluggable Authentication
Modules)</a>. I suoi 3 importanti file di configurazione, con voci
separate da "<code class="literal">:</code>", sono i seguenti.</p>
<div class="table">
<a id="dimportantconfigilesforpam_unixi"/>
<p class="title">
<strong>Tabella 4.1. I 3 importanti file di configurazione per <code class="literal">pam_unix</code>(8)</strong>
</p>
<div class="table-contents">
<table class="table" summary="I 3 importanti file di configurazione per pam_unix(8)" border="1">
<colgroup>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
</colgroup>
<thead>
<tr>
<th style="text-align: left"> file </th>
<th style="text-align: left"> permessi </th>
<th style="text-align: left"> utente </th>
<th style="text-align: left"> gruppo </th>
<th style="text-align: left"> descrizione </th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align: left"> <code class="literal">/etc/passwd</code> </td>
<td style="text-align: left"> <code class="literal">-rw-r--r--</code> </td>
<td style="text-align: left"> <code class="literal">root</code> </td>
<td style="text-align: left"> <code class="literal">root</code> </td>
<td style="text-align: left"> informazioni sugli account utente (ripulite) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/shadow</code> </td>
<td style="text-align: left"> <code class="literal">-rw-r-----</code> </td>
<td style="text-align: left"> <code class="literal">root</code> </td>
<td style="text-align: left"> <code class="literal">shadow</code> </td>
<td style="text-align: left"> informazioni sicure sugli account utente </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/group</code> </td>
<td style="text-align: left"> <code class="literal">-rw-r--r--</code> </td>
<td style="text-align: left"> <code class="literal">root</code> </td>
<td style="text-align: left"> <code class="literal">root</code> </td>
<td style="text-align: left"> informazioni sui gruppi </td>
</tr>
</tbody>
</table>
</div>
</div>
<br class="table-break"/>
<p>"<code class="literal">/etc/passwd</code>" contiene righe come le seguenti.</p>
<pre class="screen"> ...
user1:x:1000:1000:User1 Name,,,:/home/user1:/bin/bash
user2:x:1001:1001:User2 Name,,,:/home/user2:/bin/bash
...</pre>
<p>Come spiegato in "<code class="literal">passwd</code>(5), le voci separate da
"<code class="literal">:</code> in questo file hanno il significato seguente.</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Nome di login </p>
</li>
<li class="listitem">
<p> Voce di specificazione della password </p>
</li>
<li class="listitem">
<p> ID numerico dell'utente </p>
</li>
<li class="listitem">
<p> ID numerico del gruppo </p>
</li>
<li class="listitem">
<p> Nome dell'utente o campo di commento </p>
</li>
<li class="listitem">
<p> Directory home dell'utente </p>
</li>
<li class="listitem">
<p> Voce opzionale per l'interprete di comandi utente </p>
</li>
</ul>
</div>
<p>La seconda voce del file "<code class="literal">/etc/passwd</code>" era usata per la
password cifrata. Dopo l'introduzione di "<code class="literal">/etc/shadow</code>",
questa voce è usata per la specificazione della password.</p>
<div class="table">
<a id="thesecondentrycontentofetcpasswd"/>
<p class="title">
<strong>Tabella 4.2. Il contenuto della seconda voce di "<code class="literal">/etc/passwd</code>"</strong>
</p>
<div class="table-contents">
<table class="table" summary="Il contenuto della seconda voce di "/etc/passwd"" border="1">
<colgroup>
<col style="text-align: left"/>
<col style="text-align: left"/>
</colgroup>
<thead>
<tr>
<th style="text-align: left"> contenuto </th>
<th style="text-align: left"> significato </th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align: left"> (vuoto) </td>
<td style="text-align: left"> account senza password </td>
</tr>
<tr>
<td style="text-align: left"> x </td>
<td style="text-align: left"> la password cifrata è in "<code class="literal">/etc/shadow</code>" </td>
</tr>
</tbody>
</table>
</div>
</div>
<br class="table-break"/>
<p>"<code class="literal">/etc/shadow</code>" contiene righe come le seguenti.</p>
<pre class="screen"> ...
user1:$1$Xop0FYH9$IfxyQwBe9b8tiyIkt2P4F/:13262:0:99999:7:::
user2:$1$vXGZLVbS$ElyErNf/agUDsm1DehJMS/:13261:0:99999:7:::
...</pre>
<p>Come spiegato in "<code class="literal">shadow</code>(5), le voci separate da
"<code class="literal">:</code> in questo file hanno il significato seguente.</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Nome di login </p>
</li>
<li class="listitem">
<p> Password cifrata (I caratteri "<code class="literal">$1$</code>" iniziali indicano
l'uso della cifratura MD5. "*" indica nessun login.) </p>
</li>
<li class="listitem">
<p> Data dell'ultimo cambiamento di password, espressa come numero di giorni
trascorsi dall'1 gennaio 1970 </p>
</li>
<li class="listitem">
<p> Numero di giorni che l'utente deve aspettare prima di essere autorizzato a
cambiare nuovamente la password </p>
</li>
<li class="listitem">
<p> Numero di giorni trascorsi i quali l'utente dovrà cambiare la propria
password </p>
</li>
<li class="listitem">
<p> Numero di giorni di preavviso per avvisare l'utente che la password è in
scadenza </p>
</li>
<li class="listitem">
<p> Numero di giorni dopo che una password è scaduta in cui la password viene
sempre accettata </p>
</li>
<li class="listitem">
<p> Data di scadenza dell'account, espressa come numero di giorni trascorsi
dall'1 gennaio 1970. </p>
</li>
<li class="listitem">
<p> … </p>
</li>
</ul>
</div>
<p>"<code class="literal">/etc/group</code>" contiene righe come le seguenti.</p>
<pre class="screen">group1:x:20:user1,user2</pre>
<p>Come spiegato in "<code class="literal">group</code>(5), le voci separate da
"<code class="literal">:</code> in questo file hanno il significato seguente.</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Nome del gruppo </p>
</li>
<li class="listitem">
<p> Password cifrata (non realmente usato) </p>
</li>
<li class="listitem">
<p> ID numerico del gruppo </p>
</li>
<li class="listitem">
<p> Elenco di nomi utente separati da "," </p>
</li>
</ul>
</div>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>"<code class="literal">/etc/gshadow</code>" fornisce funzioni simili a
"<code class="literal">/etc/shadow</code>" per "<code class="literal">/etc/group</code>", ma non
è realmente usato.</p>
</td>
</tr>
</table>
</div>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Può essere dinamicamente aggiunta la reale appartenenza di un utente ad un
gruppo se viene aggiunta la riga "<code class="literal">auth optional
pam_group.so</code> al file "<code class="literal">/etc/pam.d/common-auth</code>" e
se viene impostata in "<code class="literal">/etc/security/group.conf</code>". Vedere
<code class="literal">pam_group</code>(8).</p>
</td>
</tr>
</table>
</div>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Il pacchetto <code class="literal">base-passwd</code> contiene una lista autorevole di
utenti e gruppi:
"<code class="literal">/usr/share/doc/base-passwd/users-and-groups.html</code>".</p>
</td>
</tr>
</table>
</div>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h2 class="title"><a id="_managing_account_and_password_information"/>4.2. Gestire le informazioni su account e password</h2>
</div>
</div>
</div>
<p>Quelli che seguono sono alcuni comandi degni di nota per gestire le
informazioni sugli account</p>
<div class="table">
<a id="listofcommandstocountinformation"/>
<p class="title">
<strong>Tabella 4.3. Elenco di comandi per gestire informazioni su account</strong>
</p>
<div class="table-contents">
<table class="table" summary="Elenco di comandi per gestire informazioni su account" border="1">
<colgroup>
<col style="text-align: left"/>
<col style="text-align: left"/>
</colgroup>
<thead>
<tr>
<th style="text-align: left"> comando </th>
<th style="text-align: left"> funzione </th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align: left"> <code class="literal">getent passwd <span class="emphasis"><em>nome_utente</em></span></code> </td>
<td style="text-align: left"> sfoglia le informazioni sull'account di
"<code class="literal"><span class="emphasis"><em>nome_utente</em></span></code>" </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">getent shadow <span class="emphasis"><em>nome_utente</em></span></code> </td>
<td style="text-align: left"> sfoglia le informazioni shadow sull'account di
"<code class="literal"><span class="emphasis"><em>nome_utente</em></span></code>" </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">getent group <span class="emphasis"><em>nome_gruppo</em></span></code> </td>
<td style="text-align: left"> sfoglia le informazioni sul gruppo
"<code class="literal"><span class="emphasis"><em>nome_gruppo</em></span></code>" </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">passwd</code> </td>
<td style="text-align: left"> gestisce la password per l'account </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">passwd -e</code> </td>
<td style="text-align: left"> imposta una password usa e getta per l'attivazione dell'account </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">chage</code> </td>
<td style="text-align: left"> gestisce le informazioni sulla scadenza della password </td>
</tr>
</tbody>
</table>
</div>
</div>
<br class="table-break"/>
<p>Può essere necessario avere i privilegi di root per far funzionare alcune di
queste funzioni. Vedere <code class="literal">crypt</code>(3) per la cifratura di
password e dati.</p>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Nei sistemi configurati con PAM e NSS, come la macchina Debian <a class="ulink" href="https://salsa.debian.org">salsa</a> Debian, il contenuto dei file locali
"<code class="literal">/etc/passwd</code>", "<code class="literal">/etc/group</code>" ed
"<code class="literal">/etc/shadow</code>" può non essere attivamente usato dal
sistema. I comandi sopra descritti sono validi anche in un ambiente di
questo tipo.</p>
</td>
</tr>
</table>
</div>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h2 class="title"><a id="_good_password"/>4.3. Password buone</h2>
</div>
</div>
</div>
<p>Quando si crea un account, durante l'installazione del sistema o con il
comando <code class="literal">passwd</code>(1), si dovrebbe scegliere una <a class="ulink" href="https://en.wikipedia.org/wiki/Password_strength">buona password</a> che consiste, secondo
<code class="literal">passwd</code>(1), di un numero di caratteri da almeno 6 a 8,
incluso uno o più caratteri da ciascuno dei seguenti insiemi.</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Lettere dell'alfabeto minuscole </p>
</li>
<li class="listitem">
<p> Cifre da 0 a 9 </p>
</li>
<li class="listitem">
<p> Segni di punteggiatura </p>
</li>
</ul>
</div>
<div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Warning">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Avvertimento]" src="images/warning.png"/>
</td>
<th align="left">Avvertimento</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Non scegliere parole indovinabili come password. Il nome dell'account, il
codice fiscale, il numero di telefono, l'indirizzo, il giorno del
compleanno, il nome di membri della propria famiglia o di animali, parole
del dizionario, semplici sequenze di caratteri come "12345" o "qwerty", …
sono tutte scelte pessime come password.</p>
</td>
</tr>
</table>
</div>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h2 class="title"><a id="_creating_encrypted_password"/>4.4. Creare password cifrate</h2>
</div>
</div>
</div>
<p>Ci sono strumenti indipendenti per <a class="ulink" href="https://en.wikipedia.org/wiki/Salt_(cifratura)">generare password cifrate con
salt</a>.</p>
<div class="table">
<a id="listoftoolstogeneratepassword"/>
<p class="title">
<strong>Tabella 4.4. Elenco di strumenti per generare password</strong>
</p>
<div class="table-contents">
<table class="table" summary="Elenco di strumenti per generare password" border="1">
<colgroup>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
</colgroup>
<thead>
<tr>
<th style="text-align: left"> pacchetto </th>
<th style="text-align: left"> popcon </th>
<th style="text-align: left"> dimensione </th>
<th style="text-align: left"> comando </th>
<th style="text-align: left"> funzione </th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/whois"> <code class="literal">whois</code>
</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=whois">V:28, I:307</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/w/whois.html">380</a>
</td>
<td style="text-align: left"> <code class="literal">mkpasswd</code> </td>
<td style="text-align: left"> frontend ricco di funzionalità per la libreria <code class="literal">crypt</code>(3) </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/openssl">
<code class="literal">openssl</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=openssl">V:841, I:995</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/o/openssl.html">2269</a>
</td>
<td style="text-align: left"> <code class="literal">openssl passwd</code> </td>
<td style="text-align: left"> calcola hash di password (OpenSSL). <code class="literal">passwd</code>(1ssl) </td>
</tr>
</tbody>
</table>
</div>
</div>
<br class="table-break"/>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h2 class="title"><a id="_pam_and_nss"/>4.5. PAM e NSS</h2>
</div>
</div>
</div>
<p>I moderni sistemi <a class="ulink" href="https://it.wikipedia.org/wiki/Unix-like">*nix</a> come il sistema
Debian, forniscono all'amministratore di sistema i meccanismi <a class="ulink" href="https://it.wikipedia.org/wiki/Pluggable_authentication_modules">PAM (Pluggable Authentication
Modules)</a> e <a class="ulink" href="https://en.wikipedia.org/wiki/Name_Service_Switch">NSS (Name Service
Switch)</a> per configurare il sistema. Il ruolo di questi meccanismi
può essere riassunto nel modo seguente.</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> PAM offre un meccanismo di autenticazione flessibile usato dal software
applicativo e comporta pertanto scambio di dati sulle password </p>
</li>
<li class="listitem">
<p> NSS offre un meccanismo di servizio dei nomi flessibile che è usato di
frequente dalla <a class="ulink" href="https://it.wikipedia.org/wiki/Libreria_standard_del_C">libreria standard C</a>
per ottenere i nomi di utenti e gruppi per programmi come
<code class="literal">ls</code>(1) e <code class="literal">id</code>(1). </p>
</li>
</ul>
</div>
<p>Questi sistemi PAM e NSS devono essere configurati in modo coerente.</p>
<p>I pacchetti degni di nota relativi ai sistemi PAM e NSS sono i seguenti.</p>
<div class="table">
<a id="listofnotablepamandnsssystems"/>
<p class="title">
<strong>Tabella 4.5. Elenco dei pacchetti degni di nota per i sistemi PAM e NSS</strong>
</p>
<div class="table-contents">
<table class="table" summary="Elenco dei pacchetti degni di nota per i sistemi PAM e NSS" border="1">
<colgroup>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
</colgroup>
<thead>
<tr>
<th style="text-align: left"> pacchetto </th>
<th style="text-align: left"> popcon </th>
<th style="text-align: left"> dimensione </th>
<th style="text-align: left"> descrizione </th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libpam-modules">
<code class="literal">libpam-modules</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libpam-modules">V:883, I:999</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libp/libpam-modules.html">1030</a>
</td>
<td style="text-align: left"> Pluggable Authentication Modules, moduli di autenticazione inseribili
(servizio base) </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libpam-ldap">
<code class="literal">libpam-ldap</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libpam-ldap">V:1, I:10</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libp/libpam-ldap.html">241</a>
</td>
<td style="text-align: left"> Pluggable Authentication Module, modulo di autenticazione inseribile, che
permette interfacce LDAP </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libpam-cracklib">
<code class="literal">libpam-cracklib</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libpam-cracklib">V:1, I:13</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libp/libpam-cracklib.html">117</a>
</td>
<td style="text-align: left"> Pluggable Authentication Module, modulo di autenticazione inseribile, che
permette il supporto di cracklib </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libpam-systemd">
<code class="literal">libpam-systemd</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libpam-systemd">V:477, I:910</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libp/libpam-systemd.html">530</a>
</td>
<td style="text-align: left"> Pluggable Authentication Module, modulo di autenticazione inseribile, per
registrare sessioni utente per <code class="literal">logind</code> </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libpam-doc">
<code class="literal">libpam-doc</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libpam-doc">I:1</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libp/libpam-doc.html">957</a>
</td>
<td style="text-align: left"> Pluggable Authentication Modules, moduli di autenticazione inseribili
(documentazione in html e testo semplice) </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libc6"> <code class="literal">libc6</code>
</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libc6">V:930, I:999</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libc/libc6.html">12977</a>
</td>
<td style="text-align: left"> Libreria GNU C: librerie condivise che forniscono anche il servizio "Name
Service Switch" </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/glibc-doc">
<code class="literal">glibc-doc</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=glibc-doc">I:10</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/g/glibc-doc.html">3447</a>
</td>
<td style="text-align: left"> Libreria GNU C: pagine man </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/glibc-doc-reference">
<code class="literal">glibc-doc-reference</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=glibc-doc-reference">I:4</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/g/glibc-doc-reference.html">13174</a>
</td>
<td style="text-align: left"> Libreria GNU C: manuale di riferimento nei formati info, pdf e html
(non-free) </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libnss-mdns">
<code class="literal">libnss-mdns</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libnss-mdns">I:491</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libn/libnss-mdns.html">141</a>
</td>
<td style="text-align: left"> Modulo NSS per la risoluzione dei nomi DNS Multicast </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libnss-ldap">
<code class="literal">libnss-ldap</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libnss-ldap">I:9</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libn/libnss-ldap.html">265</a>
</td>
<td style="text-align: left"> Modulo NSS per l'uso di LDAP come servizio per i nomi </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libnss-ldapd">
<code class="literal">libnss-ldapd</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libnss-ldapd">V:1, I:15</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libn/libnss-ldapd.html">154</a>
</td>
<td style="text-align: left"> Modulo NSS per l'uso di LDAP come servizio per i nomi (nuovo fork di
<code class="literal">libnss-ldap</code>) </td>
</tr>
</tbody>
</table>
</div>
</div>
<br class="table-break"/>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> La guida per l'amministratore di sistema di Linux-PAM, "The Linux-PAM System
Administrators' Guide", in <code class="literal">libpam-doc</code> è essenziale per
imparare la configurazione di PAM. </p>
</li>
<li class="listitem">
<p> La sezione "System Databases and Name Service Switch" in
<code class="literal">glibc-doc-reference</code> è essenziale per imparare la
configurazione di NSS. </p>
</li>
</ul>
</div>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Si può ottenere un elenco più esteso ed aggiornato usando il comando
"<code class="literal">aptitude search 'libpam-|libnss-'</code>". L'acronimo NSS può
anche significare "Network Security Service" che è una cosa diversa da "Name
Service Switch".</p>
</td>
</tr>
</table>
</div>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>PAM è il metodo più basilare per inizializzare le variabili d'ambiente per
ciascun programma con valori predefiniti a livello di sistema.</p>
</td>
</tr>
</table>
</div>
<p>Con <a class="ulink" href="https://en.wikipedia.org/wiki/Systemd">systemd</a>, il pacchetto
<code class="literal">libpam-systemd</code> viene installato per gestire il login
degli utenti registrando le sessioni utente nella gerarchia dei gruppi di
controllo di <code class="literal">systemd</code> per <a class="ulink" href="https://en.wikipedia.org/wiki/Systemd#logind">logind</a>. Vedere <code class="literal">systemd-logind</code>(8),
<code class="literal">logind.conf</code>(5) e <code class="literal">pam_systemd</code>(8).</p>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_configuration_files_accessed_by_pam_and_nss"/>4.5.1. File di configurazione letti da PAM e NSS</h3>
</div>
</div>
</div>
<p>Quelli che seguono sono alcuni file degni di nota letti da PAM e NSS.</p>
<div class="table">
<a id="listofconfiguratessedbypamandnss"/>
<p class="title">
<strong>Tabella 4.6. Elenco di file di configurazione letti da PAM e NSS</strong>
</p>
<div class="table-contents">
<table class="table" summary="Elenco di file di configurazione letti da PAM e NSS" border="1">
<colgroup>
<col style="text-align: left"/>
<col style="text-align: left"/>
</colgroup>
<thead>
<tr>
<th style="text-align: left"> file di configurazione </th>
<th style="text-align: left"> funzione </th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align: left"> <code class="literal">/etc/pam.d/<span class="emphasis"><em>nome_programma</em></span></code> </td>
<td style="text-align: left"> imposta la configurazione PAM per il programma
"<code class="literal"><span class="emphasis"><em>nome_programma</em></span></code>"; vedere
<code class="literal">pam</code>(7) e <code class="literal">pam.d</code>(5) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/nsswitch.conf</code> </td>
<td style="text-align: left"> imposta la configurazione NSS con la voce per ciascun servizio. Vedere
<code class="literal">nsswitch.conf</code>(5) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/nologin</code> </td>
<td style="text-align: left"> limita il login utente con il modulo <code class="literal">pam_nologin</code>(8) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/securetty</code> </td>
<td style="text-align: left"> limita la tty per l'accesso root con il modulo
<code class="literal">pam_securetty</code>(8) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/security/access.conf</code> </td>
<td style="text-align: left"> imposta il limite di accesso con il modulo <code class="literal">pam_access</code>(8) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/security/group.conf</code> </td>
<td style="text-align: left"> imposta restrizioni basate su gruppi con il modulo
<code class="literal">pam_group</code>(8) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/security/pam_env.conf</code> </td>
<td style="text-align: left"> imposta le variabili d'ambiente con il modulo <code class="literal">pam_env</code>(8) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/environment</code> </td>
<td style="text-align: left"> imposta variabili d'ambiente aggiuntive con il modulo
<code class="literal">pam_env</code>(8) con l'argomento "<code class="literal">readenv=1</code>" </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/default/locale</code> </td>
<td style="text-align: left"> imposta la localizzazione con il modulo <code class="literal">pam_env</code>(8) con
l'argomento "<code class="literal">readenv=1 envfile=/etc/default/locale</code>"
(Debian) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/security/limits.conf</code> </td>
<td style="text-align: left"> imposta limitazioni alle risorse (ulimit, core, …) con il modulo
<code class="literal">pam_limits</code>(8) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/security/time.conf</code> </td>
<td style="text-align: left"> imposta limitazioni temporali con il modulo <code class="literal">pam_time</code>(8) </td>
</tr>
<tr>
<td style="text-align: left"> <code class="literal">/etc/systemd/logind.conf</code> </td>
<td style="text-align: left"> imposta la configurazione del gestore di login di <code class="literal">systemd</code>
(vedere <code class="literal">logind.conf</code>(5) e
<code class="literal">systemd-logind.service</code>(8)) </td>
</tr>
</tbody>
</table>
</div>
</div>
<br class="table-break"/>
<p>Le restrizioni sulla scelta delle password sono implementate dai moduli PAM
<code class="literal">pam_unix</code>(8) e <code class="literal">pam_cracklib</code>(8). Possono
essere configurati tramite i loro argomenti.</p>
<div class="tip" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Tip">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Suggerimento]" src="images/tip.png"/>
</td>
<th align="left">Suggerimento</th>
</tr>
<tr>
<td align="left" valign="top">
<p>I moduli PAM usano il suffisso "<code class="literal">.so</code>" nei loro nomi file.</p>
</td>
</tr>
</table>
</div>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_the_modern_centralized_system_management"/>4.5.2. La moderna gestione centralizzata del sistema</h3>
</div>
</div>
</div>
<p>La moderna gestione centralizzata del sistema può essere messa in atto
usando il server del <a class="ulink" href="https://it.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol">Protocollo LDAP (Lightweight
Directory Access Protocol)</a> per amministrare molti sistemi *nix e non
*nix in rete. L'implementazione open source del protocollo LDAP è il <a class="ulink" href="http://www.openldap.org/">software OpenLDAP</a>.</p>
<p>Il server LDAP fornisce le informazioni sugli account attraverso l'uso di
PAM e NSS con i pacchetti per il sistema Debian
<code class="literal">libpam-ldap</code> e <code class="literal">libnss-ldap</code>. Per
abilitare ciò sono necessarie diverse azioni. (Non ho mai usato questa
configurazione e le informazioni che seguono sono di seconda mano. Tenerlo a
mente quando si legge quanto segue.)</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Si configura un server LDAP centralizzato eseguendo un programma come il
demone LDAP autonomo <code class="literal">slapd</code>(8). </p>
</li>
<li class="listitem">
<p> Si modificano i file di configurazione di PAM nella directory
"<code class="literal">/etc/pam.d/</code>" per usare "<code class="literal">pam_ldap.so</code>"
invece del predefinito "<code class="literal">pam_unix.so</code>". </p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Debian usa "<code class="literal">/etc/pam_ldap.conf</code>" come file di
configurazione per <code class="literal">libpam-ldap</code> e
"<code class="literal">/etc/pam_ldap.secret</code>" come file per archiviare la
password di root. </p>
</li>
</ul>
</div>
</li>
<li class="listitem">
<p> Si modifica la configurazione di NSS nel file
"<code class="literal">/etc/nsswitch.conf</code>" per usare "<code class="literal">ldap</code>"
invece della scelta predefinita ("<code class="literal">compat</code>" o
"<code class="literal">file</code>"). </p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Debian usa "<code class="literal">/etc/libnss-ldap.conf</code>" come file di
configurazione per <code class="literal">libnss-ldap</code>. </p>
</li>
</ul>
</div>
</li>
<li class="listitem">
<p> Per la sicurezza delle password è necessario far sì che
<code class="literal">libpam-ldap</code> usi una connessione <a class="ulink" href="https://it.wikipedia.org/wiki/Transport_Layer_Security">SSL (o TLS)</a>. </p>
</li>
<li class="listitem">
<p> Per assicurare l'integrità dei dati, si può far sì che
<code class="literal">libnss-ldap</code> usi una connessione <a class="ulink" href="https://it.wikipedia.org/wiki/Transport_Layer_Security">SSL (o TLS)</a> a prezzo di un maggiore carico sulla
rete LDAP. </p>
</li>
<li class="listitem">
<p> Si dovrebbe eseguire <code class="literal">nscd</code>(8) localmente per mettere nella
cache ogni risultato di ricerche LDAP in modo da ridurre il traffico di rete
LDAP. </p>
</li>
</ul>
</div>
<p>Vedere la documentazione in <code class="literal">pam_ldap.conf</code>(5) e
"<code class="literal">/usr/share/doc/libpam-doc/html/</code>" fornita dal pacchetto
<code class="literal">libpam-doc</code> e in "<code class="literal">info libc 'Name Service
Switch'</code>" fornita dal pacchetto <code class="literal">glibc-doc</code>.</p>
<p>In modo simile si possono impostare sistemi centralizzati alternativi con
altri metodi.</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Integrazione di utenti e gruppi con il sistema Windows. </p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Accesso ai servizi <a class="ulink" href="https://it.wikipedia.org/wiki/Dominio_Windows_Server">di dominio Windows</a>
con i pacchetti <code class="literal">winbind</code> e
<code class="literal">libpam_winbind</code>. </p>
</li>
<li class="listitem">
<p> Vedere <code class="literal">winbindd</code>(8) e <a class="ulink" href="http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/integrate-ms-networks.html">Integrare reti MS Windows con
Samba</a>. </p>
</li>
</ul>
</div>
</li>
<li class="listitem">
<p> Integrazione di utenti e gruppi con sistemi simil-Unix datati </p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Accesso a <a class="ulink" href="https://it.wikipedia.org/wiki/Network_Information_Service">NIS (chiamato in origine
YP)</a> o <a class="ulink" href="https://it.wikipedia.org/wiki/Nisplus">NIS+</a> con il pacchetto
<code class="literal">nis</code>. </p>
</li>
<li class="listitem">
<p> Vedere il <a class="ulink" href="http://tldp.org/HOWTO/NIS-HOWTO/">Linux NIS(YP)/NYS/NIS+
HOWTO</a>. </p>
</li>
</ul>
</div>
</li>
</ul>
</div>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_why_gnu_su_does_not_support_the_wheel_group"/>4.5.3. "Perché GNU su non supporta il gruppo wheel"</h3>
</div>
</div>
</div>
<p>Questa è la famosa sezione scritta da Richard M. Stallman, alla fine della
vecchia pagina "<code class="literal">info su</code>. Non c'è da preoccuparsi:
l'attuale comando <code class="literal">su</code> in Debian usa PAM, perciò questo può
limitare la possibilità di usare <code class="literal">su</code> verso il gruppo
<code class="literal">root</code> abilitando la riga con
"<code class="literal">pam_wheel.so</code>" in "<code class="literal">/etc/pam.d/su</code>".</p>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_stricter_password_rule"/>4.5.4. Regole più stringenti per le password</h3>
</div>
</div>
</div>
<p>L'installazione del pacchetto <code class="literal">libpam-cracklib</code> permette di
imporre regole più stringenti sulle password.</p>
<p>In un sistema GNOME tipico che installa automaticamente
<code class="literal">libpam-gnome-keyring</code>,
"<code class="literal">/etc/pam.d/common-password</code>" è simile a:</p>
<pre class="screen"># here are the per-package modules (the "Primary" block)
password requisite pam_cracklib.so retry=3 minlen=8 difok=3
password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass yescrypt
# here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block)
password optional pam_gnome_keyring.so
# end of pam-auth-update config</pre>
</div>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h2 class="title"><a id="_security_of_authentication"/>4.6. Sicurezza dell'autenticazione</h2>
</div>
</div>
</div>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Le informazioni fornite in questo documento <span class="strong"><strong>potrebbero non essere sufficienti</strong></span> per le proprie
necessità di sicurezza ma dovrebbero essere un <span class="strong"><strong>buon
punto di partenza</strong></span>.</p>
</td>
</tr>
</table>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_secure_password_on_the_internet"/>4.6.1. Password sicure in Internet</h3>
</div>
</div>
</div>
<p>Molti servizi per livello di trasporto popolari comunicano i loro messaggi,
compresa l'autenticazione con password, in puro testo. È una pessima idea
trasmettere password in puro testo attraverso l'Internet selvaggia dove
possono essere intercettate. Si possono eseguire questi servizi attraverso
"<a class="ulink" href="https://it.wikipedia.org/wiki/Transport_Layer_Security">TLS</a>" (Transport Layer
Security, sicurezza del livello di trasporto), o il suo predecessore "SSL"
(Secure Sockets Layer, livello per socket sicuri), per rendere sicura
tramite cifratura tutta la comunicazione, compresa la password.</p>
<div class="table">
<a id="listofinsecureanservicesandports"/>
<p class="title">
<strong>Tabella 4.7. Elenco di servizi e porte sicuri e non sicuri</strong>
</p>
<div class="table-contents">
<table class="table" summary="Elenco di servizi e porte sicuri e non sicuri" border="1">
<colgroup>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
</colgroup>
<thead>
<tr>
<th style="text-align: left"> nome del servizio non sicuro </th>
<th style="text-align: left"> porta </th>
<th style="text-align: left"> nome del servizio sicuro </th>
<th style="text-align: left"> porta </th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align: left"> www (http) </td>
<td style="text-align: left"> 80 </td>
<td style="text-align: left"> https </td>
<td style="text-align: left"> 443 </td>
</tr>
<tr>
<td style="text-align: left"> smtp (posta) </td>
<td style="text-align: left"> 25 </td>
<td style="text-align: left"> ssmtp (smtps) </td>
<td style="text-align: left"> 465 </td>
</tr>
<tr>
<td style="text-align: left"> ftp-data </td>
<td style="text-align: left"> 20 </td>
<td style="text-align: left"> ftps-data </td>
<td style="text-align: left"> 989 </td>
</tr>
<tr>
<td style="text-align: left"> ftp </td>
<td style="text-align: left"> 21 </td>
<td style="text-align: left"> ftps </td>
<td style="text-align: left"> 990 </td>
</tr>
<tr>
<td style="text-align: left"> telnet </td>
<td style="text-align: left"> 23 </td>
<td style="text-align: left"> telnets </td>
<td style="text-align: left"> 992 </td>
</tr>
<tr>
<td style="text-align: left"> imap2 </td>
<td style="text-align: left"> 143 </td>
<td style="text-align: left"> imaps </td>
<td style="text-align: left"> 993 </td>
</tr>
<tr>
<td style="text-align: left"> pop3 </td>
<td style="text-align: left"> 110 </td>
<td style="text-align: left"> pop3s </td>
<td style="text-align: left"> 995 </td>
</tr>
<tr>
<td style="text-align: left"> ldap </td>
<td style="text-align: left"> 389 </td>
<td style="text-align: left"> ldaps </td>
<td style="text-align: left"> 636 </td>
</tr>
</tbody>
</table>
</div>
</div>
<br class="table-break"/>
<p>La cifratura ha un costo in termini di tempo CPU. Come alternativa leggera
per la CPU, si può mantenere la comunicazione in testo semplice, rendendo
allo stesso tempo sicura la sola password con un protocollo di
autenticazione sicura come "APOP" (Authenticated Post Office Protocol) per
POP e "CRAMD-MD5" (Challenge-Response Authentication Mechanism MD5) per SMTP
e IMAP. (Per inviare messaggi di posta elettronica via Internet dal proprio
programma di posta al proprio server di posta è diventato popolare
recentemente l'uso per SMTP della porta 587 invece della porta tradizionale
25, per evitare il blocco da parte del fornitore del servizio Internet della
porta 25 autenticandosi allo stesso tempo con CRAM-MD5.)</p>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_secure_shell"/>4.6.2. Secure Shell, shell sicura</h3>
</div>
</div>
</div>
<p>Il programma <a class="ulink" href="https://it.wikipedia.org/wiki/Secure_Shell">Secure Shell (SSH</a>
fornisce comunicazioni sicure cifrate tra due host non fidati attraverso una
rete non sicura, grazie ad un'autenticazione sicura. Consiste del client
<a class="ulink" href="http://www.openssh.org/">OpenSSH</a>, <code class="literal">ssh</code>(1) e del
demone <a class="ulink" href="http://www.openssh.org/">OpenSSH</a>,
<code class="literal">sshd</code>(8). SSH può essere usato per fare da tunnel sicuro
attraverso Internet per le comunicazioni con protocollo non sicuro come POP
ed X, con la funzionalità di inoltro delle porte.</p>
<p>Il client cerca di autenticarsi usando un'autenticazione basata sull'host,
su una chiave pubblica, challenge-response o con password. L'uso di
un'autenticazione con chiave pubblica permette il login remoto senza
password. Vedere <a class="xref" href="ch06.it.html#_the_remote_access_server_and_utilities_ssh" title="6.3. Il server e le utilità per l'accesso remoto (SSH)">Sezione 6.3, «Il server e le utilità per l'accesso remoto (SSH)»</a>.</p>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_extra_security_measures_for_the_internet"/>4.6.3. Misure aggiuntive di sicurezza per Internet</h3>
</div>
</div>
</div>
<p>Anche quando si eseguono servizi sicuri, come server <a class="ulink" href="https://it.wikipedia.org/wiki/Secure_Shell">SSH (Secure shell)</a> e <a class="ulink" href="https://it.wikipedia.org/wiki/PPTP">PPTP (Point-to-Point Tunneling
Protocol)</a>, esiste sempre la possibilità di un'intrusione da Internet
con attacchi basati sull'indovinare la password usando metodi con forza
bruta, ecc. L'uso di una politica di firewall (vedere <a class="xref" href="ch05.it.html#_netfilter_infrastructure" title="5.6. Infrastruttura netfilter">Sezione 5.6, «Infrastruttura netfilter»</a>) insieme agli strumenti di sicurezza
elencati in seguito, può migliorare la sicurezza generale.</p>
<div class="table">
<a id="listoftoolstoprosecuritymeasures"/>
<p class="title">
<strong>Tabella 4.8. Elenco di strumenti per fornire misure aggiuntive di sicurezza</strong>
</p>
<div class="table-contents">
<table class="table" summary="Elenco di strumenti per fornire misure aggiuntive di sicurezza" border="1">
<colgroup>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
<col style="text-align: left"/>
</colgroup>
<thead>
<tr>
<th style="text-align: left"> pacchetto </th>
<th style="text-align: left"> popcon </th>
<th style="text-align: left"> dimensione </th>
<th style="text-align: left"> descrizione </th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/knockd">
<code class="literal">knockd</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=knockd">V:0, I:3</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/k/knockd.html">109</a>
</td>
<td style="text-align: left"> demone, <code class="literal">knockd</code>(1), e client, <code class="literal">knock</code>(1)
piccoli per bussare alle porte </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/fail2ban">
<code class="literal">fail2ban</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=fail2ban">V:111, I:125</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/f/fail2ban.html">2127</a>
</td>
<td style="text-align: left"> strumento per interdire IP che causano errori di autenticazione multipli </td>
</tr>
<tr>
<td style="text-align: left">
<a class="ulink" href="http://packages.debian.org/sid/libpam-shield">
<code class="literal">libpam-shield</code> </a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://qa.debian.org/popcon-graph.php?packages=libpam-shield">V:0, I:0</a>
</td>
<td style="text-align: left">
<a class="ulink" href="http://packages.qa.debian.org/libp/libpam-shield.html">115</a>
</td>
<td style="text-align: left"> blocca all'esterno gli attacchi remoti che cercano di indovinare le password </td>
</tr>
</tbody>
</table>
</div>
</div>
<br class="table-break"/>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_securing_the_root_password"/>4.6.4. Rendere sicura la password di root</h3>
</div>
</div>
</div>
<p>Per impedire che qualcuno possa accedere alla propria macchina con privilegi
di root, è necessario compiere le azioni seguenti.</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> Impedire l'accesso fisico al disco fisso </p>
</li>
<li class="listitem">
<p> Bloccare UEFI/BIOS ed impedire l'avvio da supporti removibili </p>
</li>
<li class="listitem">
<p> Impostare una password per la sessione interattiva di GRUB </p>
</li>
<li class="listitem">
<p> Bloccare il menu di GRUB impedendo i cambiamenti </p>
</li>
</ul>
</div>
<p>Avendo accesso fisico al disco fisso, reimpostare la password di root è
relativamente semplice seguendo i passi seguenti.</p>
<div class="orderedlist">
<ol class="orderedlist">
<li class="listitem">
<p> Spostare il disco fisso in un PC con UEFI/BIOS che permette l'avvio da CD. </p>
</li>
<li class="listitem">
<p> Avviare il sistema con un supporto di ripristino (disco di avvio di Debian,
CD Knoppix, CD GRUB, …). </p>
</li>
<li class="listitem">
<p> Montare la partizione root con accesso in lettura e scrittura </p>
</li>
<li class="listitem">
<p> Modificare il file "<code class="literal">/etc/passwd</code>" nella partizione root e
rendere la seconda voce per l'account di <code class="literal">root</code> vuota. </p>
</li>
</ol>
</div>
<p>Se si ha l'accesso in modifica alle voci di menu di GRUB (vedere <a class="xref" href="ch03.it.html#_stage_2_the_boot_loader" title="3.1.2. Stadio 2: il bootloader">Sezione 3.1.2, «Stadio 2: il bootloader»</a>) per <code class="literal">grub-rescue-pc</code>
all'avvio, è ancora più semplice, seguendo i passi seguenti.</p>
<div class="orderedlist">
<ol class="orderedlist">
<li class="listitem">
<p> Avviare il sistema con i parametri del kernel modificati in qualcosa del
tipo "<code class="literal">root=/dev/hda6 rw init=/bin/sh</code>". </p>
</li>
<li class="listitem">
<p> Modificare il file "<code class="literal">/etc/passwd</code>" e rendere la seconda
voce per l'account di <code class="literal">root</code> vuota. </p>
</li>
<li class="listitem">
<p> Riavviare il sistema. </p>
</li>
</ol>
</div>
<p>Si può ora accedere alla shell di root del sistema senza password.</p>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Una volta ottenuto l'accesso alla shell di root, si ha l'accesso a qualsiasi
cosa sul sistema e si può reimpostare qualsiasi password. Inoltre, si
possono compromettere le password per tutti gli account utente usando
strumenti di violazione delle password con attacchi a forza bruta, come
quelli nei pacchetti <code class="literal">john</code> e <code class="literal">crack</code>
(vedere <a class="xref" href="ch09.it.html#_system_security_and_integrity_check" title="9.5.11. Verifica della sicurezza e dell'integrità del sistema">Sezione 9.5.11, «Verifica della sicurezza e dell'integrità del sistema»</a>). Queste
password violate possono portare alla compromissione di altri sistemi.</p>
</td>
</tr>
</table>
</div>
<p>L'unica soluzione software ragionevole per evitare tutte queste
preoccupazioni è l'uso di una partizione root (o partizione
"<code class="literal">/etc</code>") cifrata, usando <a class="ulink" href="https://en.wikipedia.org/wiki/Dm-crypt">dm-crypt</a> e initramfs (vedere <a class="xref" href="ch09.it.html#_data_encryption_tips" title="9.9. Suggerimenti per la cifratura dei dati">Sezione 9.9, «Suggerimenti per la cifratura dei dati»</a>). Tuttavia è sempre necessaria la password
per avviare il sistema.</p>
</div>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h2 class="title"><a id="_other_access_controls"/>4.7. Altri controlli sugli accessi</h2>
</div>
</div>
</div>
<p>Esistono controlli degli accessi al sistema diversi dall'autenticazione
basata su password e dei permessi dei file.</p>
<div class="note" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Note">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Nota]" src="images/note.png"/>
</td>
<th align="left">Nota</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Vedere <a class="xref" href="ch09.it.html#_alt_sysrq_key" title="9.4.15. Tasto Alt-SysRq">Sezione 9.4.15, «Tasto Alt-SysRq»</a> per limitare la funzionalità <a class="ulink" href="https://en.wikipedia.org/wiki/Secure_attention_key">SAK (Secure Attention Key)</a> del kernel.</p>
</td>
</tr>
</table>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_sudo"/>4.7.1. sudo</h3>
</div>
</div>
</div>
<p><code class="literal">sudo</code>(8) è un programma progettato per permettere ad un
amministratore di sistema di dare privilegi di root limitati ad utenti, e di
registrare l'attività come root. <code class="literal">sudo</code> richiede solo la
password di un utente regolare. Installare il pacchetto
<code class="literal">sudo</code> e attivarlo impostando le opzioni in
"<code class="literal">/etc/sudoers</code>". Vedere esempi di configurazione in
"<code class="literal">/usr/share/doc/sudo/examples/sudoers</code>" e <a class="xref" href="ch01.it.html#_sudo_configuration" title="1.1.12. Configurazione di sudo">Sezione 1.1.12, «Configurazione di sudo»</a>.</p>
<p>Il mio uso di <code class="literal">sudo</code> per un sistema con un singolo utente
(vedere <a class="xref" href="ch01.it.html#_sudo_configuration" title="1.1.12. Configurazione di sudo">Sezione 1.1.12, «Configurazione di sudo»</a>) è mirato a proteggere me
stesso dalla mia stupidità. Personalmente condidero l'uso di
<code class="literal">sudo</code> come un'alternativa migliore all'uso costante del
sistema dall'account root. Per esempio, il comando seguente cambia il
proprietario di "<code class="literal"><span class="emphasis"><em>un_certo_file</em></span></code>" in
"<code class="literal"><span class="emphasis"><em>mio_nome</em></span></code>".</p>
<pre class="screen">$ sudo chown <span class="emphasis"><em>my_name</em></span> <span class="emphasis"><em>some_file</em></span></pre>
<p>Naturalmente se si conosce la password di root (come accade per ogni utente
Debian che ha installato il proprio sistema), qualsiasi comando può essere
eseguito come utente root da qualsiasi account utente usando "<code class="literal">su
-c</code>".</p>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_policykit"/>4.7.2. PolicyKit</h3>
</div>
</div>
</div>
<p><a class="ulink" href="https://it.wikipedia.org/wiki/PolicyKit">PolicyKit</a> è un componente del sistema
operativo per controllare privilegi a livello di sistema in sistemi
operativi simil-Unix.</p>
<p>Le applicazioni GUI più recenti non sono pensate per essere eseguite come
processi privilegiati. Per effettuare operazioni amministrative comunicano
con processi privilegiati attraverso PolicyKit.</p>
<p>PolicyKit limita tali operazioni agli account utente che appartengono al
gruppo <code class="literal">sudo</code>, in sistemi Debian.</p>
<p>Vedere <code class="literal">polkit</code>(8).</p>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_restricting_access_to_some_server_services"/>4.7.3. Limitare l'accesso ad alcuni servizi server</h3>
</div>
</div>
</div>
<p>Per la sicurezza del sistema è una buona idea disabilitare il maggior numero
di programmi server possibile. Questo aspetto diventa critico per i server
di rete. Avere server inutilizzati, attivati direttamente come <a class="ulink" href="https://it.wikipedia.org/wiki/Demone_(informatica)">demoni</a> o attraverso un programma <a class="ulink" href="https://en.wikipedia.org/wiki/Super-server">super-server</a>, è considerato un rischio per la
sicurezza.</p>
<p>Molti programmi, come <code class="literal">sshd</code>(8), usano un controllo degli
accessi basato su PAM. Ci sono molti modi per limitare gli accessi ad un
qualche servizio server.</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> file di configurazione:
"<code class="literal">/etc/default/<span class="emphasis"><em>nome_programma</em></span></code>" </p>
</li>
<li class="listitem">
<p> configurazione dell'unità di servizio di systemd per il <a class="ulink" href="https://it.wikipedia.org/wiki/Demone_(informatica)">demone</a> </p>
</li>
<li class="listitem">
<p> <a class="ulink" href="https://it.wikipedia.org/wiki/Pluggable_authentication_modules">PAM (Pluggable
Authentication Modules)</a> </p>
</li>
<li class="listitem">
<p> "<code class="literal">/etc/inetd.conf</code>" per il <a class="ulink" href="https://en.wikipedia.org/wiki/Super-server">super-server</a> </p>
</li>
<li class="listitem">
<p> "<code class="literal">/etc/hosts.deny</code>" e "<code class="literal">/etc/hosts.allow</code>"
per il <a class="ulink" href="https://en.wikipedia.org/wiki/TCP_Wrapper">wrapper TCP</a>,
<code class="literal">tcpd</code>(8) </p>
</li>
<li class="listitem">
<p> "<code class="literal">/etc/rpc.conf</code>" per <a class="ulink" href="https://en.wikipedia.org/wiki/Open_Network_Computing_Remote_Procedure_Call">Sun RPC</a> </p>
</li>
<li class="listitem">
<p> "<code class="literal">/etc/at.allow</code>" e "<code class="literal">/etc/at.deny</code>" per
<code class="literal">atd</code>(8) </p>
</li>
<li class="listitem">
<p> "<code class="literal">/etc/cron.allow</code>" e "<code class="literal">/etc/cron.deny</code>"
per <code class="literal">crontab</code>(1) </p>
</li>
<li class="listitem">
<p> il <a class="ulink" href="https://it.wikipedia.org/wiki/Firewall">firewall di rete</a> della
infrastruttura <a class="ulink" href="https://it.wikipedia.org/wiki/Netfilter">netfilter</a> </p>
</li>
</ul>
</div>
<p>Vedere <a class="xref" href="ch03.it.html#_system_management_operations" title="3.5. Gestione del sistema">Sezione 3.5, «Gestione del sistema»</a>, <a class="xref" href="ch04.it.html#_configuration_files_accessed_by_pam_and_nss" title="4.5.1. File di configurazione letti da PAM e NSS">Sezione 4.5.1, «File di configurazione letti da PAM e NSS»</a> e <a class="xref" href="ch05.it.html#_netfilter_infrastructure" title="5.6. Infrastruttura netfilter">Sezione 5.6, «Infrastruttura netfilter»</a>.</p>
<div class="tip" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Tip">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Suggerimento]" src="images/tip.png"/>
</td>
<th align="left">Suggerimento</th>
</tr>
<tr>
<td align="left" valign="top">
<p>I servizi <a class="ulink" href="https://en.wikipedia.org/wiki/Open_Network_Computing_Remote_Procedure_Call">Sun RPC</a> devono essere attivi per i
programmi <a class="ulink" href="https://it.wikipedia.org/wiki/Network_File_System">NFS</a> ed altri programmi basati su RPC.</p>
</td>
</tr>
</table>
</div>
<div class="tip" style="margin-left: 0.5in; margin-right: 0.5in;">
<table border="0" summary="Tip">
<tr>
<td rowspan="2" align="center" valign="top">
<img alt="[Suggerimento]" src="images/tip.png"/>
</td>
<th align="left">Suggerimento</th>
</tr>
<tr>
<td align="left" valign="top">
<p>Se si hanno problemi con l'accesso remoto in sistemi Debian recenti,
commentare la configurazione responsabile come "ALL: PARANOID" in
"<code class="literal">/etc/hosts.deny</code>", se esiste. (Essere però consapevoli
dei rischi per la sicurezza che questo tipo di azione comporta.)</p>
</td>
</tr>
</table>
</div>
</div>
<div class="section">
<div class="titlepage">
<div>
<div>
<h3 class="title"><a id="_linux_security_features"/>4.7.4. Funzionalità di sicurezza di Linux</h3>
</div>
</div>
</div>
<p>Il kernel Linux si è evoluto e gestisce funzionalità di sicurezza che non
sono presenti nelle implementazioni UNIX tradizionali.</p>
<p>Linux gestisce gli <a class="ulink" href="https://it.wikipedia.org/wiki/Attributi_estesi">attributi
estesi</a> che estendono gli attributi UNIX tradizionali (vedere
<code class="literal">xattr</code>(7)).</p>
<p>Linux divide i privilegi tradizionalmente associati con il superutente in
unità distinte, note come <code class="literal">capabilities</code>(7), che possono
essere abilitate e disabilitate in modo indipendente. Le capabilities sono
un attributo per singolo thread a partire dalla versione 2.2 del kernel.</p>
<p>L'<a class="ulink" href="https://en.wikipedia.org/wiki/Linux_Security_Modules">infrastruttura Linux
Security Module (LSM)</a> fornisce un <a class="ulink" href="https://it.wikipedia.org/wiki/Mandatory_Access_Control">meccanismo per vari controlli di
sicurezza</a> in modo che nuove estensioni del kernel si aggancino ad
essi. Per esempio:</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> <a class="ulink" href="https://en.wikipedia.org/wiki/AppArmor">AppArmor</a></p>
</li>
<li class="listitem">
<p> <a class="ulink" href="https://it.wikipedia.org/wiki/Security-Enhanced_Linux">Security-Enhanced Linux
(SELinux)</a> </p>
</li>
<li class="listitem">
<p> <a class="ulink" href="https://en.wikipedia.org/wiki/Smack_(software)">Smack (Simplified Mandatory
Access Control Kernel)</a> </p>
</li>
<li class="listitem">
<p> <a class="ulink" href="https://en.wikipedia.org/wiki/Tomoyo_Linux">Tomoyo Linux</a> </p>
</li>
</ul>
</div>
<p>Dato che queste estensioni possono restringere il modello dei privilegi in
modo più stringente delle politiche del normale modello di sicurezza in
stile Unix, anche i poteri di root possono essere ristretti. È consigliato
leggere la <a class="ulink" href="https://www.kernel.org/doc/html/latest/admin-guide/LSM/index.html">documentazione
dell'infrastruttura Linux Security Module (LSM) su kernel.org</a>.</p>
<p>Gli <a class="ulink" href="https://en.wikipedia.org/wiki/Linux_namespaces">spazi dei nomi</a> Linux creano un
involucro (wrap) per una risorsa di sistema globale come astrazione che fa
sembrare ai processi all'interno dello spazio dei nomi di avere una propria
istanza isolata della risorsa globale. Le modifiche alla risorsa globale
sono visibile agli altri processi che sono membri dello spazio dei nomi, ma
sono invisibili agli altri processi. A partire dalla versione 5.6 del
kernel, ci sono 8 tipi di spazi dei nomi (vedere
<code class="literal">namespaces</code>(7), <code class="literal">unshare</code>(1),
<code class="literal">nsenter</code>(1)).</p>
<p>In Debian 11 Bullseye (2021) Debian usa la gerarchia cgroup unificata (alias
<a class="ulink" href="https://www.kernel.org/doc/html/latest/admin-guide/cgroup-v2.html">cgroups-v2</a>).</p>
<p>Esempi di uso di <a class="ulink" href="https://en.wikipedia.org/wiki/Linux_namespaces">spazi dei nomi</a> con <a class="ulink" href="https://en.wikipedia.org/wiki/Cgroups">cgroups</a> per isolare i loro processi e permettere il
controllo delle risorse sono:</p>
<div class="itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<p> <a class="ulink" href="https://en.wikipedia.org/wiki/Systemd">Systemd</a>. Vedere <a class="xref" href="ch03.it.html#_systemd_init" title="3.2. Init systemd">Sezione 3.2, «Init systemd»</a>.</p>
</li>
<li class="listitem">
<p> <a class="ulink" href="https://it.wikipedia.org/wiki/Sandbox_(sicurezza_informatica)">Ambiente sandbox</a>. Vedere <a class="xref" href="ch07.it.html#_sandbox" title="7.6. Sandbox">Sezione 7.6, «Sandbox»</a>. </p>
</li>
<li class="listitem">
<p> <a class="ulink" href="http://lxc.sourceforge.net/">Contenitori Linux</a> come <a class="ulink" href="https://it.wikipedia.org/wiki/Docker">Docker</a>, <a class="ulink" href="https://it.wikipedia.org/wiki/LXC">LXC</a>. Vedere <a class="xref" href="ch09.it.html#_virtualized_system" title="9.11. Sistema virtualizzato">Sezione 9.11, «Sistema virtualizzato»</a>. </p>
</li>
</ul>
</div>
<p>Queste funzionalità non possono essere realizzate con. Questi argomenti
avanzati sono per lo più al di fuori di questo documento introduttivo.</p>
</div>
</div>
</div>
<div class="navfooter">
<hr/>
<table width="100%" summary="Navigation footer">
<tr>
<td align="left"><a accesskey="p" href="ch03.it.html"><img src="images/prev.png" alt="Indietro"/></a> </td>
<td align="center"> </td>
<td align="right"> <a accesskey="n" href="ch05.it.html"><img src="images/next.png" alt="Avanti"/></a></td>
</tr>
<tr>
<td align="left" valign="top">Capitolo 3. Inizializzazione del sistema </td>
<td align="center">
<a accesskey="h" href="index.it.html">
<img src="images/home.png" alt="Partenza"/>
</a>
</td>
<td align="right" valign="top"> Capitolo 5. Impostazione della rete</td>
</tr>
</table>
</div>
</body>
</html>