[ubuntu-it] bug kubuntu

[Conte Mascetti]

Alle 09:20, venerdì 1 dicembre 2006, Alessandro Pironi ha scritto:

> Mi si è verificato quando sono andato in modalità amministratore dal
> pannello di controllo; a quel punto ho provato con diverse applicazioni,
> con lo stesso risultato.
> In realtà, dopo aver rifatto il boot non si verificava più.
> La mia ipotesi è che la prima volta io avessi inserito la pwd corretta, a
> quel punto ero autenticato (credo che per qualche minuto venga cachata
> l'autorizzazione), e quindi passavo il controllo, anche con la pwd
> sbagliata.

Si, ho verificato, è cosi anche per me.
Avrebbe molto più senso che al limite non si presentasse affatto la richiesta 
della password se e' ancora presente nella cache.

> Appena posso verificherò...
>
> A proposito del caching dell'autorizzazione di kdesu: qualcuno mi sa
> spiegare come funziona veramente? e c'e' modo di disabilitarla? il fatto
> che un'azione una volta mi chieda la pwd e dopo un minuto non me la chieda
> più mi urta i nervi....

Non sono sicurissimo che l'azione di kdesu sia legata alla configurazione di 
sudo e dei sudoers. Infatti avvia un demone (kdesud) che si occupa della 
memorizzazione. Arrestando il demone, dimentica le password. E' possibile 
stando a man kdesu avviarlo specificando di non memorizzare nulla, ma non ho 
idea di dove sia il file di configurazione per impostare il comportamento di 
default (azzerare il tempo per cui si ricorda, modificarlo)...

Dal manuale di kdesu:
*****
Memorizzare la Password
Per comodità, KDE su implementa una funzionalità di “ricorda password”. Se ti 
interessa la sicurezza, dovresti leggere questo paragrafo.
Permettere a KDE su di ricordare le password apre un (piccolo) buco di 
sicurezza nel tuo sistema. Ovviamente, KDE su non permette a chiunque ma solo 
al tuo id utente di usare le password, ma, se fatto senza cautela, ciò 
abbasserebbe il livello di sicurezza di root a quello dell'utente normale 
(tu). Un hacker che irrompe nel tuo account, otterrebbe l'accesso di root. 
KDE su cerca di prevenire ciò. Lo schema di sicurezza che utilizza, almeno 
secondo me, è ragionevolmente sicuro ed è qui spiegato.
KDE su utilizza un demone, chiamato kdesud. Il demone sta in ascolto di 
comandi ad un socket UNIX® in /tmp. I permessi del socket sono 0600 così che 
solo il tuo id utente può connettervisi. Se è attivata la memorizzazione 
delle password, KDE su esegue il comando attraverso questo demone. Scrive il 
comando e la password di root a questo socket e il demone esegue il comando 
utilizzando su, come descritto sopra. Fatto questo, il comando e la password 
non sono gettati via. Sono, invece, memorizzati per una quantità di tempo 
specificata. Questo è il valore di timeout del modulo di controllo. Se 
un'altra richiesta per lo stesso comando arriva entro questo periodo di 
tempo, il client non deve fornire nuovamente la password. Per evitare che gli 
hacker che irrompono nel tuo account rubino le password dal demone (per 
esempio, connettendo un debugger), il demone è installato con l'id di gruppo 
nogroup. Questo previene tutti i normali utenti (inclusi tu) dall'ottenere 
password dal processo kdesud. Inoltre il demone imposta la variabile di 
ambiente DISPLAY al valore che aveva quando è stato lanciato. L'unica cosa 
che un hacker può fare è eseguire un applicazione sul tuo display.
Un punto debole in questo schema è che i programmi che esegui, probabilmente, 
potrebbero non essere stati scritti con la sicurezza in mente (come i 
programmi setuid root). Questo significa che potrebbero avere dei buffer 
overrun o altri problemi ed un hacker potrebbe sfruttarli.
L'utilizzo della memorizzazione delle password è un compromesso tra la 
sicurezza e la comodità. Ti incoraggio a pensarci e a decidere tu stesso se 
vuoi usarlo o no.
*****

Ciao,
Vittorio