Password, perchè è importante?

io ho un computer fisso con ubuntu, visto che al pc ci posso accedere solo io, perchè è importante che la password sia sicura??

perche ti identifichi come root.
Cosa vuol dire? che puoi dare permessi ad alcuni processi.
Perchè è importante?
semplice, eviti che il processo VIRUS si dia i permessi per aver accesso alle risorse o altro,all'interno della macchina
quindi la pass è importante.

perche ti identifichi come root.
Cosa vuol dire? che puoi dare permessi ad alcuni processi.
Perchè è importante?
semplice, eviti che il processo VIRUS si dia i permessi per aver accesso alle risorse o altro,all'interno della macchina
quindi la pass è importante.

quindi anche su linux un virus o qualcuno da remoto può provare a scoprire la password e avviarsi senza che io sappia niente?? 
e giacché ti chiedo un'altra cosa io ho impostato pure una password root, uguale a quella mia, se cambio a mia si cambia anche la root?  se no come faccio a cambiarla?
Grazie

io ho un computer fisso con ubuntu, visto che al pc ci posso accedere solo io, perchè è importante che la password sia sicura??

Se c'è un unico utente non è importante. L'unica utilità della password è di impedire l'accesso ad un utente quando tu non sei al computer, immagino che il tuo fisso stia a casa, dove ti fidi delle persone. Non ha invece alcun effetto nel limitare i danni di malware. Tutti ti diranno "senza password i virus possono accedere solo alla tua home", ma chiediti dove sono file e documenti interessanti (risposta: nella tua home).

e giacché ti chiedo un'altra cosa io ho impostato pure una password root, uguale a quella mia, se cambio a mia si cambia anche la root?

No, le due password sono indipendenti, il sistema non sa nemmeno che sono la stessa.

Tutti ti diranno "senza password i virus possono accedere solo alla tua home", ma chiediti dove sono file e documenti interessanti (risposta: nella tua home).

scusa se sono assillante ma voglio capire bene il concetto, ma se la password dell'utente non è sicura (es. 12345) però c'è un virus può fare qualcosa alla cartella home??
 

se si, allora

quindi anche su linux un virus o qualcuno da remoto può provare a scoprire la password e avviarsi senza che io sappia niente?? 
Grazie

scusa se sono assillante ma voglio capire bene il concetto, ma se la password dell'utente non è sicura (es. 12345) però c'è un virus può fare qualcosa alla cartella home??

Un virus (o più generalmente un malware) viene eseguito dal tuo utente in qualche modo. Principalmente per un bug di qualche programma che usi (browser o client di posta) oppure perché hai eseguito un programma proveniente da una fonte non sicura (ad esempio scaricato da eMule). Il malware è eseguito dal tuo utente, accede liberamente a tutti i file del tuo utente, senza password, che serve per proteggersi dagli altri utenti.
È un po' come preoccuparsi della serratura della porta di casa quando il ladro è già dentro.

io ho un computer fisso con ubuntu, visto che al pc ci posso accedere solo io, perchè è importante che la password sia sicura??

Di che password parliamo ? pass di un normal user? o di root(sudoer in questa distro)?

Dal punto di vista sec la pass è fondamentale anche se parliamo della tua macchina a casa; si parte dalla corretta abitudine/mind-setting

Anche se uno è novizio "non scafato"  ne prende coscienza già da synaptic/apt-get. Ogni volta ti si presenta un update(cambiare qualcosa nelle dir/file del sistema quiindi importanti per il suo funzionamento) ti si chiede la pass perchè secondo te?
Perchè il sist. essendo un automa(=software programmato dagli umani) non potendo decidere non vuole responsabilità --dopo un update c' è la possibilità che non funzioni qualcosa che prima funzionava a dovere-- e quindi dandogli la pass per l' update/upgrade prendi te la responsabilità se qualcosa non funziona dopo.

Come credi che qualcuni riescono a formare eserciti(botnets) fatti da decine se non centinaia di migliaia di bots? Anche e sopratutto perchè mancano pass li ove dovrebbero esserci  ;). Ricordati il furbo di turno nel wild preferisce sempre il percorso di minima resistenza(in questo caso macchine prive di pass).

Una volta sorpassato lo scalino della pass devi scegliere una pass che non sia banale (perchè facilmente crackabile leggi http://forum.ubuntu-it.org/viewtopic.php?t=498252). Fatti questi 2 passetti non hai finito ma entri --col piede giusto--  in un altro mondo che si chiama Sicurezza informatica



PS:
Ad ogni modo credo che riguardo Linux i testi di Giacomini e/o di Piccardi credo ti sarebbero utili per tutto cio(e ben altro  ) che hai appena chiesto 

@dogedogia non me ne volere ma io al posto tuo starei un pelo attento alle affermazioni che fai, per di più davanti a un novizio(tipo: "Se c'è un unico utente non è importante." vorrebbe IMO dire "Se c'è un unico utente ed è scollegato da qualsiasi rete si potrebbe anche fare a meno" o "È un po' come preoccuparsi della serratura della porta di casa quando il ladro è già dentro" beh anche in questo caso è meglio avere una resistenza in più che non avere niente no?!)  :-)

Ho scritto che non è importante, ma ho anche detto che

Se c'è un unico utente non è importante. L'unica utilità della password è di impedire l'accesso ad un utente quando tu non sei al computer

A questo serve la password utente: se una persona vuole accedere ai tuoi file contro la tua volontà cercherà di farlo quando non ci sei, e la password serve ad impedirlo. D'altronde lui ha detto che è l'unico che può accederci.

La password di root invece su sistemi monoutente è (quasi) completamente inutile. Ciò che sta fuori dalla home dell'utente non è interessante: è una semplice installazione standard.

Ben diverse sono le password per servizi online, lì chiunque può tentare di accedere e quindi la password deve essere robusta.

Come credi che qualcuni riescono a formare eserciti(botnets) fatti da decine se non centinaia di migliaia di bots? Anche e sopratutto perchè mancano pass li ove dovrebbero esserci

Non c'è bisogno di nessuna password per creare una botnet. Basta convincere un utente ad eseguire un programma infetto (e il modo più semplice è chiamare detto programma qualcosa come "Autocad 2012 crack"), questo programma rimane residente, si avvia da solo all'avvio (si può fare da utente), apre una connessione (si può fare da utente) ed attende comandi dall'esterno, apre connessioni per attacchi o DOS (si può fare da utente) o peggio per inviare informazioni locali (alcune si possono leggere da utente). In tutto ciò la password entra mai in gioco, né quella dell'utente né quella del superutente.


Di sicuro avere una password utente robusta non guasta, purché non si creda che aumenti la propria sicurezza.
Un po' di tempo fa su un forum per mac ho letto un thread interessante (lo so, lo racconto sempre, ma è utile per spiegare): un tizio ha postato un programma malevolo spacciandolo per una utility, gli utenti lo hanno provato e si sono trovati tutti i file personali cancellati. E tutti si chiedevano come fosse possibile senza aver messo nessuna password.

Ho scritto che non è importante, ma ho anche detto che

Se c'è un unico utente non è importante. L'unica utilità della password è di impedire l'accesso ad un utente quando tu non sei al computer
A questo serve la password utente: se una persona vuole accedere ai tuoi file contro la tua volontà cercherà di farlo quando non ci sei, e la password serve ad impedirlo. D'altronde lui ha detto che è l'unico che può accederci.

Siamo d'accordo per l' accesso fisico(locale) ma c' è anche un altro tipo d' accesso quello da remoto(normalmente tramite ssh per esempio ma da ignoto anche per altre vie). Sin qui stiamo parlando di Autenticazione(fammi capire che sei quel che dici che tu sia e se è vero ti darò l' accesso) la prima A nel AAA

La password di root invece su sistemi monoutente è (quasi) completamente inutile. Ciò che sta fuori dalla home dell'utente non è interessante: è una semplice installazione standard.

Qui siamo in completo disaccordo e stiamo parlando del livello privilegi ossia di Autorizzazione (seconda A nel modello AAA). I blacks usano la tecnica di privilege escalation per prendere il controllo del sistema  e la pass root c'entra con i privilegi

Ben diverse sono le password per servizi online, lì chiunque può tentare di accedere e quindi la password deve essere robusta.

Discorso analogo per la pass utente normale ed  accesso remoto(ssh per esempio) ad una macchina di cui parlavo più su

Come credi che qualcuni riescono a formare eserciti(botnets) fatti da decine se non centinaia di migliaia di bots? Anche e sopratutto perchè mancano pass li ove dovrebbero esserci

Non c'è bisogno di nessuna password per creare una botnet. Basta convincere un utente ad eseguire un programma infetto (e il modo più semplice è chiamare detto programma qualcosa come "Autocad 2012 crack"),

 

LOL questo si faceva agli anni 80-90 adesso ci sono i worms +rootkits+modules(a seconda di cosa si ha intenzione di fare) et similia e il tutto si fa in automatico oltre che incognito senza l' intervento dell' utente 

questo programma rimane residente, si avvia da solo all'avvio (si può fare da utente), apre una connessione (si può fare da utente) ed attende comandi dall'esterno, apre connessioni per attacchi o DOS (si può fare da utente) o peggio per inviare informazioni locali (alcune si possono leggere da utente).

Per come lo descrivi sembra banale(potrebbe servire da esempio per far capire in linea di principio) in realtà sono sw complicati e usano delle tecniche più disparate. A grandi linee funzionali
Il worm si usa per la sola diffusione --si auspica la più veloce possibile-- ed è associato solitamente da un rootkit, keyloger, altri moduli et/o similia per tentare la privilege escalation oltre che tappare il buco da dove è entrato il worm, fare il hardening del sistema e proteggersi dai suoi simili oltre che da strumenti antimalware e ovviamente per cammufarsi/modificarsi all' occorrenza oltre che aprire un canale IRC o altro per comunicare col suo padrone

In tutto ciò la password entra mai in gioco, né quella dell'utente né quella del superutente.

Aridaje. Se cosi fosse il rootkits si chiamerebbero userkits  . Come fai a prendere il controllo della macchina non avendo privilegi di root?. Alla maggior parte dei black quando vanno a caccia non interessa la /home del utente normale eccetto se è un lavoro sotto commissione(ma non si fa per chiunque)

Di sicuro avere una password utente robusta non guasta, purché non si creda che aumenti la propria sicurezza.

Se è meglio avere che non la pass non ne discutiamo dai. Partiamo dal presupposto di Proteggerci almeno da noi stessi quando siamo stressati, disattenti ecc per andare oltre .

Un po' di tempo fa su un forum per mac ho letto un thread interessante (lo so, lo racconto sempre, ma è utile per spiegare): un tizio ha postato un programma malevolo spacciandolo per una utility, gli utenti lo hanno provato e si sono trovati tutti i file personali cancellati. E tutti si chiedevano come fosse possibile senza aver messo nessuna password.

Ok apprezzabile il gioco di parole ma quello li non vale più(a parte che per installare l' utility di default servirebbe la password eccetto se la installa nella /home. In tal caso basterebbe rigenerare la /home da un backup e finisce li). Ormai anche mia figlia 12enne sa che non deve prendere niente da fuori. I tempi e tecniche del settore sono evolute a passi da gigante e mettiamo sta benedetta pass è un ostacolo in più = tempo speso in più. Guadagnamo un po di tempo chi sa se non facciamo in tempo per rimediare

Siamo d'accordo per l' accesso fisico(locale) ma c' è anche un altro tipo d' accesso quello da remoto(normalmente tramite ssh per esempio ma da ignoto anche per altre vie)

Vero, in effetti davo per scontato che non fosse abilitato nessun tipo di accesso remoto. In quel caso allora la password dovrebbe essere sicura.

Qui siamo in completo disaccordo e stiamo parlando del livello privilegi ossia di Autorizzazione (seconda A nel modello AAA). I blacks usano la tecnica di privilege escalation per prendere il controllo del sistema e la pass root c'entra con i privilegi

Non è importante scalare i privilegi, si può fare una marea di danni anche da utente limitato. Anzi, una volta che l'utente è stato violato (in un sistema monoutente) è perfettamente inutile preoccuparsi di salvare il resto del sistema, i danni aggiuntivi sarebbero pochissimi.

LOL questo si faceva agli anni 80-90 adesso ci sono i worms +rootkits+modules(a seconda di cosa si ha intenzione di fare) et similia e il tutto si fa in automatico oltre che incognito senza l' intervento dell' utente

Funziona ancora benissimo: convincere l'utente che il malware è software affidabile è il modo migliore per farglielo eseguire (ho appena portato l'esempio del forum mac). Poi ci sono ovviamente anche altre tecniche, ma questa ha il vantaggio di funzionare anche se non si trovano bug da sfruttare.

Per come lo descrivi sembra banale(potrebbe servire da esempio per far capire in linea di principio) in realtà sono sw complicati e usano delle tecniche più disparate. A grandi linee funzionali

È banale. Sono tutte operazioni che un programmatore medio sa fare (mandare in background il programma, metterlo nell'avvio automatico, aprire connessioni di rete). Il problema è mandare in esecuzione il malware, una volta che ci sei riuscito è tutta strada in discesa (diventa complicato evitare di essere scoperti, ma fare danni è facile).

Aridaje. Se cosi fosse il rootkits si chiamerebbero userkits. Come fai a prendere il controllo della macchina non avendo privilegi di root?

Non c'è bisogno di prendere il controllo della macchina, basta prendere il controllo dell'utente. L'utente ha abbastanza "potere" per usare la macchina, quindi anche il malware è in grado di usare la macchina.

(a parte che per installare l' utility di default servirebbe la password eccetto se la installa nella /home. In tal caso basterebbe rigenerare la /home da un backup e finisce li)

L'utente ha la possibilità di eseguire software (a meno di macchine blindatissime che si usano solo in precisi e rari casi), non c'è bisogno di installare niente.
Fai sempre lo stesso errore: consideri la home meno importante del resto del sistema (che ha senso solo in un contesto multiutente). È il sistema che si può reinstallare nel giro di mezza giornata, invece un utente sveglio fa un backup settimanalmente (quindi perderebbe una settimana di lavoro), mentre un utente normale non fa mai nessun backup (quindi hai voglia, può perdere anni di lavoro). Inoltre il malware potrebbe non limitarsi solo a cancellare i tuoi file personali, magari invia a qualcuno tutte le tue foto, anche quelle più compromettenti, oppure scarica sul tuo computer roba illegale (tutte operazioni fattibili da utente limitato).

La home dell' utente è la cartella che contiene file e configurazioni dell' utente. La dentro ci sono tutti i tuoi file: musica, video, foto ma anche tesi magari, lavori, progetti.

Se mi si incasina linux o windows o qualsiasi altro sistema operativo, ci sono sempre strumenti di ripristino che permettono di rimetterlo in piedi alla svelta o al massimo esiste il reinstallarlo da zero, ma se una programma malevolo mi cancella tutti i miei dati o peggio ancora li invia ad un server di chissà chi, sinceramente è peggio.

E' sicuramente necessario proteggere il sistema ma molti danni si possono fare anche senza permessi con un account utente standard.
Ogni account utente standard ha i permessi di gestire la sua home, ne consegue che anche eventuali software lanciati dall' utente possono fare lo stesso. Sinceramente se oggi perdessi la mia home, perderei le configurazioni di: chrome,firefox,pidgin,vlc,ekiga,etc.. Oltre a circa 1 GB di foto mie e della mia ragazza. Sinceramente tra avere il sistema non accessibile per un pò (che poi con le live sarebbe veramente poco) o perdere i dati preferisco avere il sistema corrotto e i miei dati al sicuro.

La password infatti nei sistemi Unix e derivati non era nato come scopo di protezione ma solo per identificare chi avevi davanti. Si pensava giustamente che l' installazione e la rimozione dei programmi debba essere fatta da utenti con competenze e quindi da amministratori della macchina, e come riconoscere un amministratore da un utente normale. Con la password, tutto lì

@dogedogia ecco una discussione/intervista da IRC con l' autore(che non ha voluto riferissi altrove ne il sw ma neanche il suo nick  :P) di un cracking software che supporterebbe la tua tesi(no pass --> no fun per il cracker)

Io:
can you identify?

Cr:
I’m not a hacker or an exploiter. I just crack passwords
but still everyone calls me a hacker. Hacker, cracker; it’s all the same.

Io:
Why you do it?

Cr:
For trading, selling, sharing.
It gets me respect, and, hey, it’s fun and addicting, and I’m not the only
one doing this; it goes on all the time.


PS:
Per chi fosse interessato ad approfondire: http://forum.ubuntu-it.org/viewtopic.php?t=504239

Scusate  so che è passato del tempo ma leggendo la discussione mi sembra sensato inserire questo mio problema qui.
Ho notato che io da amministratore del pc, posso modificare la password del root anche senza inserire la vecchia....
Mi chiede quella del mio user admin, come fa di solito il comando sudo, e poi posso cambiare la password del root...
Ora mi chiedo ha senso tutto ciò ?

Codice: Seleziona tutto

salvatore@salvatore-P35-DS3L:~$ sudo passwd root
[sudo] password for salvatore:
Inserire nuova password UNIX:
Reinserire la nuova password UNIX:
passwd: password aggiornata correttamente
salvatore@salvatore-P35-DS3L:~$

Scusate  so che è passato del tempo ma leggendo la discussione mi sembra sensato inserire questo mio problema qui.
Ho notato che io da amministratore del pc, posso modificare la password del root anche senza inserire la vecchia....
Mi chiede quella del mio user admin, come fa di solito il comando sudo, e poi posso cambiare la password del root...
Ora mi chiedo ha senso tutto ciò ?

Codice: Seleziona tutto

salvatore@salvatore-P35-DS3L:~$ sudo passwd root
[sudo] password for salvatore:
Inserire nuova password UNIX:
Reinserire la nuova password UNIX:
passwd: password aggiornata correttamente
salvatore@salvatore-P35-DS3L:~$

Si, certo, è normale: root sa quello che fa e non serve chiedergli conferma (e con sudo si eseguono i comandi appunto a nome di root).
Ovviamente si può fare con la stessa facilità avviando il pc in modalità di ripristino o con una live.

ps: ora sarebbe prudente toglierla, la passwd di root, così non rischi che qualcuno la indovini

ma io dopo sudo ho messo la password dell'utente salvatore(che é un amministratore), non quella del root, poi mi chiede di inserire la password del root nuova senza chidere la precedente.
Per farti capire basta scovare la mia password per poter fare ciò che vuoi cn il root...
Puoi attivarlo cambiare password etc...
Su debian questo non accade...
Mi chiedo se é un impostazione che si può cambiare...

Debian è molto meno sicura con questo, IMHO, visto che basta indovinare la passwd di root (cosa che tentano anche i bot), mentre con Ubuntu questa non esiste proprio (salvo nel tuo caso, e infatti ti sto consigfliando di tornare in fretta sui tuoi passi).

Se non vuoi usare un utente coi poteri di root ti basta usarne un altro (crea un nuovo utente, dagli una passwd seria, mettilo nel gruppo admin e poi togli dal gruppo admin il tuo utente)

ma io dopo sudo ho messo la password dell'utente salvatore(che é un amministratore), non quella del root

questa frase, conoscendo un minimo cosa sia sudo a a cosa serva non ha alcun senso, puoi approfondire qui: http://wiki.ubuntu-it.org/AmministrazioneSistema/Sudo
Il punto principale è che la passwd di root non deve esistere, proprio per evitare che sia indovinata.

io ho un computer fisso con ubuntu, visto che al pc ci posso accedere solo io, perchè è importante che la password sia sicura??

Di che password parliamo ? pass di un normal user? o di root(sudoer in questa distro)?

Dal punto di vista sec la pass è fondamentale anche se parliamo della tua macchina a casa; si parte dalla corretta abitudine/mind-setting

Anche se uno è novizio "non scafato"  ne prende coscienza già da synaptic/apt-get. Ogni volta ti si presenta un update(cambiare qualcosa nelle dir/file del sistema quiindi importanti per il suo funzionamento) ti si chiede la pass perchè secondo te?
Perchè il sist. essendo un automa(=software programmato dagli umani) non potendo decidere non vuole responsabilità --dopo un update c' è la possibilità che non funzioni qualcosa che prima funzionava a dovere-- e quindi dandogli la pass per l' update/upgrade prendi te la responsabilità se qualcosa non funziona dopo.

Come credi che qualcuni riescono a formare eserciti(botnets) fatti da decine se non centinaia di migliaia di bots? Anche e sopratutto perchè mancano pass li ove dovrebbero esserci  ;). Ricordati il furbo di turno nel wild preferisce sempre il percorso di minima resistenza(in questo caso macchine prive di pass).

Una volta sorpassato lo scalino della pass devi scegliere una pass che non sia banale (perchè facilmente crackabile leggi http://forum.ubuntu-it.org/viewtopic.php?t=498252). Fatti questi 2 passetti non hai finito ma entri --col piede giusto--  in un altro mondo che si chiama Sicurezza informatica



PS:
Ad ogni modo credo che riguardo Linux i testi di Giacomini e/o di Piccardi credo ti sarebbero utili per tutto cio(e ben altro  ) che hai appena chiesto 

@dogedogia non me ne volere ma io al posto tuo starei un pelo attento alle affermazioni che fai, per di più davanti a un novizio(tipo: "Se c'è un unico utente non è importante." vorrebbe IMO dire "Se c'è un unico utente ed è scollegato da qualsiasi rete si potrebbe anche fare a meno" o "È un po' come preoccuparsi della serratura della porta di casa quando il ladro è già dentro" beh anche in questo caso è meglio avere una resistenza in più che non avere niente no?!)  :-)

Io starei attento pure a parlare di password non craccabili. 
Con i servizi cloud si è arrivati a meno di 800 anni per trovare la mia password, con meno di 50€ l'ora, magari fra un anno sarà 100 anni, fra 5 anni sarà un anno, fra 10 sarà un ora.
Spero che prima di allora, l'unico sistema di autenticazione usato sia la struttura dell'iride oculare tramite webcam.

Debian è molto meno sicura con questo, IMHO, visto che basta indovinare la passwd di root (cosa che tentano anche i bot), mentre con Ubuntu questa non esiste proprio (salvo nel tuo caso, e infatti ti sto consigfliando di tornare in fretta sui tuoi passi).

Debian da netinstall e Ubuntu da mini, entrambe ti presentano la stessa schermata (quasi, cambia solo la descrizione del passaggio) che ti permette o meno di inserire la password per root.
Se non la inserisci l'utente che installa è già nel file sudoers, in entrambi, come in entrambi non c'è root.

In entrambi, la parte comune della descrizione del passaggio dice:

Se non si inserisce password per root l'utente non verrà creato perché non può avere password nulla. (traduzione alla buona)

Forse ti confondi con Archlinux (almeno fino ad installazione fatta con la iso di questa estate) e altre distribuzioni dove a fine installazione sei root, unico utente del sistema.
Debian dalla 3 alla 6 l'ho installata, la 7 (testing) non l'ho installata da zero, ho solo modificato i repository di squeeze, quindi se cambierà con la prossima stable non saprei, fino all'attuale stable non c'è differenza fra i due sistemi.
L'unica differenza è che il LiveCD di Ubuntu non ti da possibilità di scegliere mentre la mini.iso si (advanced→expert command line install).

Ah, buono a sapersi, mi sono limitato a prendere per buona la testimonianza precedente

A conti fatti... Un admin tramite il comando sudo ha gli stessi poteri del root.
Per garantire una maggiore sicurezza al sistema bisogna annulare la password di root (che ho attivato io), usare il mio utente admin all'occorrenza e creare un utente desktop per le cose di tutti i giorni.
Dico bene ?
Tanto per le installazioni mi chiede sempre la password dell'admin, e se devo lavorare file che chiedono l'autenticazione dell'admin uso il comando

Codice: Seleziona tutto

su nome_utente

metto la password e poi inserisco il comando sudo se mi serve. Inoltre se voglio la comoda gestione delle risorse di nautilus faccio

Codice: Seleziona tutto

sudo nautilus

e si viaggia! 
Che ne pensate ?
Sembra una soluzione auspicabile