Amministrare GNU/Linux - Cia

1.4. IL CONTROLLO DEGLI ACCESSI 41l’amministratore del sistema, tradizionalmente identificato dall’username root, per il quale nonviene effettuato nessun controllo, e tutti gli altri utenti per i quali invece vengono effettuati varicontrolli previsti per le operazioni che li richiedono.In genere ogni utente è identificato con un numero, lo user-ID o uid. Questo è nullo perl’amministratore e diverso da zero per tutti gli altri utenti. I controlli vengono effettuati sullabase di questo numero, se è diverso da zero si verifica se corrisponde a quello per cui la richiestaè consentita, e nel caso si nega o concede l’accesso. Si noti il se, qualora l’uid sia nullo il controllonon viene neanche effettuato: è per questo che root è sempre in grado di compiere qualunqueoperazione. 61Per questo motivo tutti i sistemi unix-like prevedono una procedura di autenticazione chepermette di riconoscere l’utente che si collega al sistema. Questa nella sua forma più elementareè fatta dal programma login, che richiede all’utente il nome che lo identifica di fronte al sistema(detto username) ed una password che ne permette di verificare l’identità (torneremo sullagestione di questi aspetti in sez. 4.3).Gli utenti poi possono venire raggruppati in gruppi, ogni gruppo ha un nome (detto groupname) ed un relativo identificatore numerico, il group-ID o gid. Inoltre ogni utente è sempreassociato almeno un gruppo, detto gruppo di default; di norma si fa si che questo contenga solol’utente in questione e abbia nome uguale all’username. Un utente può comunque appartenere apiù gruppi, che possono così venire usati per permettere l’accesso ad una serie di risorse comuniagli utenti dello stesso gruppo.Ogni processo, quando viene lanciato, eredita dal padre l’informazione relativa all’utente chelo ha creato (e a tutti i gruppi cui questo appartiene). In questo modo una volta entrati nelsistema tutti i programmi verranno eseguiti per conto dell’utente che ha effettuato il login. Ilsistema può così provvedere al controllo degli accessi, e porre una serie di limitazioni a quelloche l’utente può fare, impedendo l’esecuzione di tutte le operazioni non consentite; si evita cosìche utenti diversi possano danneggiarsi fra loro o danneggiare il sistema.Il comando che permette di verificare chi è l’utente che lo sta eseguendo (identificando cosìle proprie credenziali) è whoami, che stampa il nome di login (comunemente detto username)con qualcosa del tipo:piccardi@monk:~/truedoc/corso$ whoamipiccardiPer verificare invece di quali gruppi si fa parte si può usare il comando groups; questo,invocato da un utente normale, non vuole parametri e stampa i gruppi cui questo appartiene,ad esempio:piccardi@anarres:~/gapil$ groupspiccardi cdrom audiose invece il comando viene usato dall’amministratore può prendere come parametro un username,nel qual caso stampa i gruppi cui appartiene detto utente. Entrambi i comandi non hanno opzionise non quelle standard GNU che vedremo in sez. 2.2.1.Infine il comando id permette di stampare in generale tutti i vari identificatori associatiad un processo, sia di gruppi che degli utenti, sia reali che effettivi ed in forma sia letteraleche numerica. Il comando prende molte opzioni che permettono di specificare nei dettagli qualiinformazioni stampare, al solito si può fare riferimento alla pagina di manuale, accessibile conman id, per la documentazione completa.61 e per questo è da evitare assolutamente l’uso di root per qualunque compito che non sia strettamente connessoall’amministrazione del sistema.