Password, perchè è importante?
Inviato: lunedì 9 gennaio 2012, 20:27
io ho un computer fisso con ubuntu, visto che al pc ci posso accedere solo io, perchè è importante che la password sia sicura??
Il forum della comunità italiana di Ubuntu.
https://forum.ubuntu-it.org/
quindi anche su linux un virus o qualcuno da remoto può provare a scoprire la password e avviarsi senza che io sappia niente??kommos ha scritto: perche ti identifichi come root.
Cosa vuol dire? che puoi dare permessi ad alcuni processi.
Perchè è importante?
semplice, eviti che il processo VIRUS si dia i permessi per aver accesso alle risorse o altro,all'interno della macchina
quindi la pass è importante.
Se c'è un unico utente non è importante. L'unica utilità della password è di impedire l'accesso ad un utente quando tu non sei al computer, immagino che il tuo fisso stia a casa, dove ti fidi delle persone. Non ha invece alcun effetto nel limitare i danni di malware. Tutti ti diranno "senza password i virus possono accedere solo alla tua home", ma chiediti dove sono file e documenti interessanti (risposta: nella tua home).Trik ha scritto: io ho un computer fisso con ubuntu, visto che al pc ci posso accedere solo io, perchè è importante che la password sia sicura??
No, le due password sono indipendenti, il sistema non sa nemmeno che sono la stessa.Trik ha scritto:e giacché ti chiedo un'altra cosa io ho impostato pure una password root, uguale a quella mia, se cambio a mia si cambia anche la root?
scusa se sono assillante ma voglio capire bene il concetto, ma se la password dell'utente non è sicura (es. 12345) però c'è un virus può fare qualcosa alla cartella home??dogedogia ha scritto: Tutti ti diranno "senza password i virus possono accedere solo alla tua home", ma chiediti dove sono file e documenti interessanti (risposta: nella tua home).
Trik ha scritto: quindi anche su linux un virus o qualcuno da remoto può provare a scoprire la password e avviarsi senza che io sappia niente??
Grazie
Un virus (o più generalmente un malware) viene eseguito dal tuo utente in qualche modo. Principalmente per un bug di qualche programma che usi (browser o client di posta) oppure perché hai eseguito un programma proveniente da una fonte non sicura (ad esempio scaricato da eMule). Il malware è eseguito dal tuo utente, accede liberamente a tutti i file del tuo utente, senza password, che serve per proteggersi dagli altri utenti.Trik ha scritto:scusa se sono assillante ma voglio capire bene il concetto, ma se la password dell'utente non è sicura (es. 12345) però c'è un virus può fare qualcosa alla cartella home??
Di che password parliamo ? pass di un normal user? o di root(sudoer in questa distro)?Trik ha scritto: io ho un computer fisso con ubuntu, visto che al pc ci posso accedere solo io, perchè è importante che la password sia sicura??
A questo serve la password utente: se una persona vuole accedere ai tuoi file contro la tua volontà cercherà di farlo quando non ci sei, e la password serve ad impedirlo. D'altronde lui ha detto che è l'unico che può accederci.dogedogia ha scritto:Se c'è un unico utente non è importante. L'unica utilità della password è di impedire l'accesso ad un utente quando tu non sei al computer
Non c'è bisogno di nessuna password per creare una botnet. Basta convincere un utente ad eseguire un programma infetto (e il modo più semplice è chiamare detto programma qualcosa come "Autocad 2012 crack"), questo programma rimane residente, si avvia da solo all'avvio (si può fare da utente), apre una connessione (si può fare da utente) ed attende comandi dall'esterno, apre connessioni per attacchi o DOS (si può fare da utente) o peggio per inviare informazioni locali (alcune si possono leggere da utente). In tutto ciò la password entra mai in gioco, né quella dell'utente né quella del superutente.harrykar ha scritto: Come credi che qualcuni riescono a formare eserciti(botnets) fatti da decine se non centinaia di migliaia di bots? Anche e sopratutto perchè mancano pass li ove dovrebbero esserci
Siamo d'accordo per l' accesso fisico(locale) ma c' è anche un altro tipo d' accesso quello da remoto(normalmente tramite ssh per esempio ma da ignoto anche per altre vie). Sin qui stiamo parlando di Autenticazione(fammi capire che sei quel che dici che tu sia e se è vero ti darò l' accesso) la prima A nel AAAdogedogia ha scritto: Ho scritto che non è importante, ma ho anche detto chedogedogia ha scritto:Se c'è un unico utente non è importante. L'unica utilità della password è di impedire l'accesso ad un utente quando tu non sei al computer
A questo serve la password utente: se una persona vuole accedere ai tuoi file contro la tua volontà cercherà di farlo quando non ci sei, e la password serve ad impedirlo. D'altronde lui ha detto che è l'unico che può accederci.
Qui siamo in completo disaccordo e stiamo parlando del livello privilegi ossia di Autorizzazione (seconda A nel modello AAA). I blacks usano la tecnica di privilege escalation per prendere il controllo del sistema e la pass root c'entra con i privilegiLa password di root invece su sistemi monoutente è (quasi) completamente inutile. Ciò che sta fuori dalla home dell'utente non è interessante: è una semplice installazione standard.
Discorso analogo per la pass utente normale ed accesso remoto(ssh per esempio) ad una macchina di cui parlavo più suBen diverse sono le password per servizi online, lì chiunque può tentare di accedere e quindi la password deve essere robusta.
Non c'è bisogno di nessuna password per creare una botnet. Basta convincere un utente ad eseguire un programma infetto (e il modo più semplice è chiamare detto programma qualcosa come "Autocad 2012 crack"),harrykar ha scritto: Come credi che qualcuni riescono a formare eserciti(botnets) fatti da decine se non centinaia di migliaia di bots? Anche e sopratutto perchè mancano pass li ove dovrebbero esserci
Per come lo descrivi sembra banale(potrebbe servire da esempio per far capire in linea di principio) in realtà sono sw complicati e usano delle tecniche più disparate. A grandi linee funzionaliquesto programma rimane residente, si avvia da solo all'avvio (si può fare da utente), apre una connessione (si può fare da utente) ed attende comandi dall'esterno, apre connessioni per attacchi o DOS (si può fare da utente) o peggio per inviare informazioni locali (alcune si possono leggere da utente).
In tutto ciò la password entra mai in gioco, né quella dell'utente né quella del superutente.
Se è meglio avere che non la pass non ne discutiamo dai. Partiamo dal presupposto di Proteggerci almeno da noi stessi quando siamo stressati, disattenti ecc per andare oltre .Di sicuro avere una password utente robusta non guasta, purché non si creda che aumenti la propria sicurezza.
Ok apprezzabile il gioco di parole ma quello li non vale più(a parte che per installare l' utility di default servirebbe la password eccetto se la installa nella /home. In tal caso basterebbe rigenerare la /home da un backup e finisce li). Ormai anche mia figlia 12enne sa che non deve prendere niente da fuori. I tempi e tecniche del settore sono evolute a passi da gigante e mettiamo sta benedetta pass è un ostacolo in più = tempo speso in più. Guadagnamo un po di tempo chi sa se non facciamo in tempo per rimediareUn po' di tempo fa su un forum per mac ho letto un thread interessante (lo so, lo racconto sempre, ma è utile per spiegare): un tizio ha postato un programma malevolo spacciandolo per una utility, gli utenti lo hanno provato e si sono trovati tutti i file personali cancellati. E tutti si chiedevano come fosse possibile senza aver messo nessuna password.
Vero, in effetti davo per scontato che non fosse abilitato nessun tipo di accesso remoto. In quel caso allora la password dovrebbe essere sicura.harrykar ha scritto:Siamo d'accordo per l' accesso fisico(locale) ma c' è anche un altro tipo d' accesso quello da remoto(normalmente tramite ssh per esempio ma da ignoto anche per altre vie)
Non è importante scalare i privilegi, si può fare una marea di danni anche da utente limitato. Anzi, una volta che l'utente è stato violato (in un sistema monoutente) è perfettamente inutile preoccuparsi di salvare il resto del sistema, i danni aggiuntivi sarebbero pochissimi.Qui siamo in completo disaccordo e stiamo parlando del livello privilegi ossia di Autorizzazione (seconda A nel modello AAA). I blacks usano la tecnica di privilege escalation per prendere il controllo del sistema e la pass root c'entra con i privilegi
Funziona ancora benissimo: convincere l'utente che il malware è software affidabile è il modo migliore per farglielo eseguire (ho appena portato l'esempio del forum mac). Poi ci sono ovviamente anche altre tecniche, ma questa ha il vantaggio di funzionare anche se non si trovano bug da sfruttare.LOL questo si faceva agli anni 80-90 adesso ci sono i worms +rootkits+modules(a seconda di cosa si ha intenzione di fare) et similia e il tutto si fa in automatico oltre che incognito senza l' intervento dell' utente
È banale. Sono tutte operazioni che un programmatore medio sa fare (mandare in background il programma, metterlo nell'avvio automatico, aprire connessioni di rete). Il problema è mandare in esecuzione il malware, una volta che ci sei riuscito è tutta strada in discesa (diventa complicato evitare di essere scoperti, ma fare danni è facile).Per come lo descrivi sembra banale(potrebbe servire da esempio per far capire in linea di principio) in realtà sono sw complicati e usano delle tecniche più disparate. A grandi linee funzionali
Non c'è bisogno di prendere il controllo della macchina, basta prendere il controllo dell'utente. L'utente ha abbastanza "potere" per usare la macchina, quindi anche il malware è in grado di usare la macchina.Aridaje. Se cosi fosse il rootkits si chiamerebbero userkits. Come fai a prendere il controllo della macchina non avendo privilegi di root?
L'utente ha la possibilità di eseguire software (a meno di macchine blindatissime che si usano solo in precisi e rari casi), non c'è bisogno di installare niente.(a parte che per installare l' utility di default servirebbe la password eccetto se la installa nella /home. In tal caso basterebbe rigenerare la /home da un backup e finisce li)
Codice: Seleziona tutto
salvatore@salvatore-P35-DS3L:~$ sudo passwd root
[sudo] password for salvatore:
Inserire nuova password UNIX:
Reinserire la nuova password UNIX:
passwd: password aggiornata correttamente
salvatore@salvatore-P35-DS3L:~$
Si, certo, è normale: root sa quello che fa e non serve chiedergli conferma (e con sudo si eseguono i comandi appunto a nome di root).toto17.03.88 ha scritto: Scusate :-[ so che è passato del tempo ma leggendo la discussione mi sembra sensato inserire questo mio problema qui.
Ho notato che io da amministratore del pc, posso modificare la password del root anche senza inserire la vecchia....
Mi chiede quella del mio user admin, come fa di solito il comando sudo, e poi posso cambiare la password del root...
Ora mi chiedo ha senso tutto ciò ?Codice: Seleziona tutto
salvatore@salvatore-P35-DS3L:~$ sudo passwd root [sudo] password for salvatore: Inserire nuova password UNIX: Reinserire la nuova password UNIX: passwd: password aggiornata correttamente salvatore@salvatore-P35-DS3L:~$
questa frase, conoscendo un minimo cosa sia sudo a a cosa serva non ha alcun senso, puoi approfondire qui: http://wiki.ubuntu-it.org/AmministrazioneSistema/Sudoma io dopo sudo ho messo la password dell'utente salvatore(che é un amministratore), non quella del root
Io starei attento pure a parlare di password non craccabili.harrykar ha scritto:Di che password parliamo ? pass di un normal user? o di root(sudoer in questa distro)?Trik ha scritto: io ho un computer fisso con ubuntu, visto che al pc ci posso accedere solo io, perchè è importante che la password sia sicura??
Dal punto di vista sec la pass è fondamentale anche se parliamo della tua macchina a casa; si parte dalla corretta abitudine/mind-setting
Anche se uno è novizio "non scafato" ne prende coscienza già da synaptic/apt-get. Ogni volta ti si presenta un update(cambiare qualcosa nelle dir/file del sistema quiindi importanti per il suo funzionamento) ti si chiede la pass perchè secondo te?
Perchè il sist. essendo un automa(=software programmato dagli umani) non potendo decidere non vuole responsabilità --dopo un update c' è la possibilità che non funzioni qualcosa che prima funzionava a dovere-- e quindi dandogli la pass per l' update/upgrade prendi te la responsabilità se qualcosa non funziona dopo.
Come credi che qualcuni riescono a formare eserciti(botnets) fatti da decine se non centinaia di migliaia di bots? Anche e sopratutto perchè mancano pass li ove dovrebbero esserci ;). Ricordati il furbo di turno nel wild preferisce sempre il percorso di minima resistenza(in questo caso macchine prive di pass).
Una volta sorpassato lo scalino della pass devi scegliere una pass che non sia banale (perchè facilmente crackabile leggi http://forum.ubuntu-it.org/viewtopic.php?t=498252). Fatti questi 2 passetti non hai finito ma entri --col piede giusto-- in un altro mondo che si chiama Sicurezza informatica
PS:
Ad ogni modo credo che riguardo Linux i testi di Giacomini e/o di Piccardi credo ti sarebbero utili per tutto cio(e ben altro ) che hai appena chiesto
@dogedogia non me ne volere ma io al posto tuo starei un pelo attento alle affermazioni che fai, per di più davanti a un novizio(tipo: "Se c'è un unico utente non è importante." vorrebbe IMO dire "Se c'è un unico utente ed è scollegato da qualsiasi rete si potrebbe anche fare a meno" o "È un po' come preoccuparsi della serratura della porta di casa quando il ladro è già dentro" beh anche in questo caso è meglio avere una resistenza in più che non avere niente no?!) :-)
Debian da netinstall e Ubuntu da mini, entrambe ti presentano la stessa schermata (quasi, cambia solo la descrizione del passaggio) che ti permette o meno di inserire la password per root.Wilson ha scritto: Debian è molto meno sicura con questo, IMHO, visto che basta indovinare la passwd di root (cosa che tentano anche i bot), mentre con Ubuntu questa non esiste proprio (salvo nel tuo caso, e infatti ti sto consigfliando di tornare in fretta sui tuoi passi).
Codice: Seleziona tutto
su nome_utente
Codice: Seleziona tutto
sudo nautilus