Login sul sistema, utenti normali e root

Il login su un sistema Unix/Linux

Linux, come ogni Unix, è un sistema operativo multiutente, dove differenti utenti possono avere, contemporaneamente, accesso al sistema avendo i propri dati, documenti e impostazioni completamente separati da quelli di altri utenti oltre ad avere la possibilità di accedere alla risorse del sistema simultaneamente ed eseguire i programmi disponibili.

L'accesso ad un sistema Unix può avvenire tramite un'interfaccia grafica a finestre, paragonabile a quella di Windows e basata sull'X Window System, o una interfaccia testuale, a riga di comando, tramite un programma che ha lo scopo di interpetare i comandi digitati dall'utente: la shell

Essendo un sistema operativo orientato alle reti, si può accedere a Linux, come ad altri dialetti Unix, sia direttamente tramite console (la tastiera direttamente collegata al computer) sia da una postazione remota, via rete.

L'accesso al sistema è subordinata all'inserimento, da parte dell'utente, di una login (nome utente) e della relativa password. Questa operazione di autenticazione dell'utente è detta login.
Il login può quindi essere eseguito in ambienti diversi, grafici o testuali da locale o da remoto ma ha sempre lo stesso scopo: permettere all'utnete di accedere ed interagire con il sistema dopo averne verificate le credenziali (login e password).

Il logout è esattamente l'opposto del login: se si è in modalità testuale si chiude la shell aperta con il precedente login, se si è in un ambiente grafico, si esce da questo. In entrambi i casi dopo il logout si ha la possibilità di ripetere una operazione di login, eventualmente con un nome utente diverso.

Per eseguire il login da remoto su un sistema Unix si utilizzano generalmente programmi con telnet (nome di un protocollo e del relativo comando, ampiamente usato, sopratutto in passato) o ssh (una alternativa a telnet con le stesse funzionalità ma la possibilità di criptare i dati in transito e quindi, di questi tempi, preferito al telnet).

Usare telnet

Per usare telnet (da prompt DOS, shell UNIX e qualsiasi altra CLI (Command Line Interface) che presenti questo comando) basta scrivere: telnet seguito dall'indirizzo o dal nome dell'host da raggiungere.
Per esempio: telnet www.whitehouse.gov

Scrivendo semplicemente telnet senza specificare l'host remoto, si entra in modalità comandi, da cui è possibile aprire o chiudere connessioni o effettuare altre operazioni (digitare help per l'elenco dei comandi in ambiente telnet).
Per chiudere una sessione telnet basta digitare logout (sulla macchina remota).
Se per qualche motivo la connessione telnet risulta bloccata, è possibile premere CTRL + ] per entrare in modalità comandi e da li scrivere quit per chiudere la sessione telnet bloccata. Se si hanno più sessioni telnet in successione, scrivere send escape per passare dalla prima aperta all'ultima.

La porta a cui risponde un telnet server è la 23 (TCP) e viene data per sottointesa.
E' comunque possibile effettuare un telnet ad altre porte TCP e digitare direttamente dei comandi validi per il protocollo utilizzato dal server a cui ci si è connessi.
Per esempio, un sistema rapido, disponibile ovunque e piuttosto utile, per diagnosticare velocemente il funzionamento di un server web è scrivere:
telnet www.server.net 80
GET / (o qualsiasi altro comando HTTP)
Premendo INVIO due volte si visualizza il codice html della pagina richiesta (l'home page, in questo caso) e ci si assicura che il server web sta rispondendo e non ci sono problemi di connettività a raggiungerlo.

Riavvio e chiusura del sistema

Eseguire lo spegnimento o il riavvio del proprio Linux da interfaccia grafica è intuitivo quanto su Windows: nel menu delle applicazioni, di solito, in basso a sinistra, esistono le adeguate icone.
Anche con Linux, come con Windows e tutti i sistemi operativi moderni, che fanno largo e costante uso dell'hard disk per scrivere file anche temporanei, è consigliabile evitare di spegnere brutalmente il computer direttamente con l'interruttore ed è meglio seguire la procedure di spegnimento "soft" prevista dal sistema.

I comandi per spegnere il sistema, operando in modalità testuale, sono vari, a volte sono semplici alias:
shutdown -h
halt
poweroff
init 0 (passa al runlevel 0, corrisponde ad un spegnimento del sistema).

Per riavviare il sistema si possono usare i seguenti comandi:
shutdown -r
reboot
init 6 (passa al runlevel 6, reboot)
In molte distribuzioni è attivata la combinazione di tasti CTRL+ALT+CANC, associata al comando "shutdown -t3 -r now" (o analoghi) che esegue un reboot entro 3 secondi.
Per disabilitare la possibilità di fare un reboot da console (anche senza essere loggati sul sistema!) con i tre famigerati tasti, si deve editare il file /etc/inittab.

Utente root e operazioni da superuser

Alcuni sysadm particolarmente sensibili a problematiche di sicurezza e controllo ritengono che non si dovrebbe mai amministrare la macchina come utente root, ma utilizzare esclusivamente un utente normale e, quando è necessario, "diventare" root per eseguire funzioni da superuser.

Con il comando su si può impersonificare (sapendo la password) qualsiasi utente (di default, se non viene specificato "su nomeutente", questo comando si utilizza per diventare root).
Se si è già loggati come root è possibile impersonificare qualsiasi utente senza dover digitare la password.
E' raccomandabile non permettere l'accesso remoto, via telnet, ssh o analoghi, direttamente all'utente root.

Il comando sudo permette di accordare a semplici utenti la possibilità di eseguire comandi che solo root potrebbe lanciare. Le policy su chi può fare cosa sono definite nel suo file di configurazione /etc/sudoers.
Quando si usa sudo viene richiesta la password dell'utente stesso (non quella di root), sempre se l'utente è autorizzato ad eseguire il comando richiesto.
Con sudo -s di fatto viene aperta una shell di root, dalla quale è poi possibile operare con i diritti del superuser.

Su alcuni sistemi, la password di root può essere disattivata e ogni attività da superuser viene fatta tramite sudo.

Debian: eseguire il login come root avendo perso la password

Molto spesso capita di perdere la password di root di qualche macchina, qualche vecchio desktop o una qualsiasi altro sistema che monta come distribuzione Debian, qui presentiamo una soluzione per riottenere accesso da root e reimpostare la password.

Questa procedura richiede unicamente accesso alla tastiera della macchina in questione, e non richiede nessuna modifica nel BIOS o nel bootloader, per cui è utilizzabile in recovery locali.

Se usiamo Lilo
Utilizzando lilo aspettiamo che stampi a schermo boot: e poi digitiamo come segue:
boot: Linux init=/bin/sh

Se usiamo GRUB
Se usiamo invece grub, una volta caricato lo screen di boot, schiacciamo "e", selezioniamo la voce del kernel che vogliamo lanciare, premiamo ancora "e" e alla fine della voce aggiungiamo "single". Schiacciamo enter e facciamo eseguire il boot.

Con questi metodi modifichiamo il normale boot del kernel ed avviamo direttamente una shell da root alla fine del caricamento.

Una volta ottenuta quindi la shell dobbiamo andare a operare per eliminare la password precedente e poter eseguire il login come root senza password e poter riavviare il sistema nella normale modalità.
Eseguito il boot come presentato sopra, solo / è montato in read-only mentre molte delle altre partizioni non sono montate ancora, avendo modoficato il corso del boot.
Per questo motivi dobbiamo dare i seguenti comandi:
# mount -o remount,rw /
# mount -avt nonfs,noproc,nosmbfs
# vim /etc/passwd
# vim /etc/shadow

Apriamo il file /etc/passwd e se vediamo che che il sistema utilizza delle shadow passwords andiamo ad aprire il file /etc/shadow ed eliminiamo le voci in modo da lasciare vuota la password.

A questo punto riavviamo il sistema ed eseguiamo il login come root senza nessuna password da inserire, e successivamente la modifichiamo con il comando:
# passwd

Ed ecco che abbiamo recuperato il sistema e modificato la password di root.

Login remoto: telnet, ssh, X Window

Accedere a Unix in modalità testuale direttamente da console (tramite una tastiera direttamente collegata al computer) o da remoto, via rete, è fondamentalmente la stessa cosa e permette di operare con la shell in modo analogo.

Di fatto è molto più comune accedere a dei server da remoto che tramite console, che a volte viene usato solo per interventi straordinari o guasti, quando la macchina non è interconnessa in rete.
Il metodo più comune, in passato, per accedere ad una macchina Unix era tramite telnet.
Telnet è un semplice programma di terminale oltre ad essere il nome del protocollo che viene utilizzato da questo programma.
Il suo uso primario è quello di aprire connessioni su macchine remote per permettere il login e quindi accedere alla shell come se fosse un'operazione eseguita in locale.

Con telnet i pacchetti contenenti login e password passano in chiaro nella rete, con i relativi rischi in termini di sicurezza informatica (esistono sniffer specifici per sessioni telnet, che evidenziano le password senza nemmeno la fatica di andare ad analizzare i singoli pacchetti telnet).
Un' alternativa valida e ormai molto diffusa per l'accesso ad host remoti via command-line è ssh, con il quale i dati trasferiti vengono criptati.
Il protocollo SSH (ora giunto alla versione 2, sensibilmente più affidabile e sicura della versione 1) su Linux è generalmente implementato con il pacchetto openssh, che ha sia una componente client che una server.

E' possibile usare un sistema remoto operando anche in modalità grafica. Il sistema X Window, alla base dell'interfaccia grafica di Linux, di fatto è basato su una architettura client-server che rende possibile l'esecuzione di un programma su un computer remoto e la sua visualizzazione sul proprio schermo (normalmente server e client X operano sulla stessa macchina).
Esistono inoltre tecnologie che permettono la gestione dell'ambiente grafico fra sistemi operativi diversi:
- rdesktop è un client Linux per accedere ad un Desktop Remoto Windows.
- Vnc è una tecnologia, disponibile su tutti i principali sistemi operativi, per visualizzare l'output di un sistema remoto.
- NX è un sistema di ottimizzazione di X Window che permette l'accesso a sistemi Linux anche da macchine Windows.

Redirezionare su porta seriale la console di Linux

Una necessità comune che si ha quando si gestiscono server remoti è la possibilità di ottenere l'accesso alla console di Linux senza usufruire di un terminale virtuale disponibile via telnet o ssh.
Questo è utile sia quando ci sono problemi di rete che impediscono l'accesso all'host, sia quando ci sono problemi hardware o di avvio del sistema, che impediscono che Linux faccia avviare i servizi telnet o ssh, sia quando, per errore o svista, si introduce una regola di firewalling che impedisce l'accesso remoto.

Il modo più semplice e comune per farlo è tramite porta seriale facendo in modo che tutti gli output del sistema, oltre che alle console virtuali, accessibili direttamente via tastiera, vengano direzionati alla porta seriale del PC, a cui può essere collegato un terminal server come Amnex o un Cisco 2511 che con il suo octal camble si presta particolarmente bene ad essere riciclato per agire da terminal server.
Abbondante e completa spiegazione su come procedere è presente nel Remote Serial Console HOWTO, fonte principale di questo breve riassunto.
Di seguito utilizzeremo come parametri per la seriale una velocità di 9600 baud, 8 bit per carattere, un bit di stop e nessuna parità (il classico 8N1), senza controllo di flusso. La porta seriale utilizzata è la /dev/ttyS0 corrispondente alla COM1 su Dos.
E' senz'altro possibile aumentare la velocità e il numero della porta seriale, mentre è bene mantenere le altre impostazioni.
I punti su cui intervenire sono diversi, e si riferiscono sostanzialmente alle diverse fasi del processo di boot su un sistema Intel compatibile.

Bios
Il redirezionamento su interfaccia seriale dell'output di Bios e del POST sono una feature che dipende esclusivamente dal proprio hardware: i Bios di macchine destinate all'uso server spesso hanno questa feature, che invece è generalmente assente sulle motherboad usate su sistemi desktop.

Linux Loader
La visualizzazione del prompt del Linux Loader spesso è attivabile direttamente dai Bios che supportano il redirezionamento su seriale. Alternativamente Lilo o Grub (i Linux Loader più comuni) vanno esplicitamente configurati:
Grub: Nel file di configurazione grub.conf inserire:
serial --unit=0 --speed=9600 --word=8 --parity=no --stop=1
terminal --timeout=10 serial console
Rimuovere inoltre la riga con spalshimage visto che l'uso di grafica nell'output via seriale può dare problemi.
Lilo: Nel file lilo.conf inserire:
serial=0,9600n8
timeout=100

Kernel
Per visualizzare i messaggi del kernel all'avvio, basta passare come argomento la stringa console=tty0 console=ttyS0,9600n8 (si mantiene l'output sulla console tty0).
Questo viene fatto nella configurazione di Lilo o Grub, nella parte relativa al path del kernel.
Ad esempio, su grub.conf (modificare device di root e nome e versione del kernel):
kernel /vmlinuz-2.4.9-21 ro root=/dev/hda6 console=tty0 console=ttyS0,9600n8
e su lilo.conf, nella label relativa al kernel di cui si vuole redirezionare l'output:
append="console=tty0 console=ttyS0,9600n8".
Notare che il Kernel deve essere compilato con il supporto della console su seriale, dal menu di configurazione attivare: device driver->character device->serial driver->enable serial console.

Init
Nel file di configurazione di init, /etc/inittab, va indicato dove redirezionare la console e presentare un prompt di login tramite un programma getty. Ne esistono diverse versioni con sintassi leggermente diverse, aggiungere a inittab UNA delle seguenti righe, sulla base del getty disponibile sul proprio sistema.
Getty: co:2345:respawn:/sbin/getty ttyS0 CON9600 vt102
Agetty: co:2345:respawn:/sbin/agetty -h -t 60 ttyS0 9600 vt102
Mgetty: co:2345:respawn:/sbin/mgetty ttyS0
In mgetty i parametri della seriale vanno aggiunti nel file di configurazione /etc/mgetty+sendfax/mgetty.config:
port ttyS0
speed 9600
direct yes
data-only yes
toggle-dtr yes
need-dsr yes
port-owner root
port-group root
port-mode 600
login-prompt @ \P login:\040
login-time 60
term vt102
Notare che mingetty, che viene fornito di default su alcune distribuzioni, non ha il supporto per linee seriali, per cui è necessario usare una delle alternative sopra riportate.

Note
- L'accesso diretto con utente root solitamente non è possibile di default su una linea seriale, se lo si vuole permettere (per evitare che l'amministratore debba prima loggarsi con un utente normale e poi fare su) si deve aggiungere la riga /dev/ttyS0 al file /etc/securetty (che appunto indica al sistema quali sono i terminali ritenuti sicuri per un accesso root diretto).
- Su sistemi RedHat Linux è opportuno disabilitare la possibilità da parte di Kudzu di disabilitare i parametri preimpostati sulla porta seriale durante la fase di riconoscimento dell'hardware. In /etc/sysconfig/kudzu impostare: SAFE=yes

last

Visualizza l'elenco degli ultimi accessi al sistema, elencando nome utente, data, console utilizzata, IP e durata della sessione. Ottiene queste le informazioni da /var/log/wtmp.
Una versione leggermente diversa è lastb che visualizza le login di accesso al sistema fallite (ha bisogno del file /var/log/btmp, se esiste).

last [-R] [-righe] [-adx] [ -f file ] [nome_utente] [tty]
-righe, -n righe Specifica quante righe mostrare (es: -n 10)
-f file Specifica un file alternativo a /var/log/wmtp dove trovare le informazioni relative ai login.
nome_utente Visualizza solo le informazioni di login dell'utente specificato.
tty Visualizza solo le informazioni di login del terminale specificato (es: pts/0 )

mesg

Gestisce l'accesso in scrittura al proprio terminale.

Tramite mesg è possibile, abilitare o disabilitare la ricezione di messaggi via terminale invaiti dagli altri utenti del sistema, tranne root.

La sintassi è la seguente:  
mesg [y|n]   
y: abilita la ricezione dei messaggi;  
n: disabilita la ricezione dei messaggi;  

Esempio:  
[homer@vagante homer]$ mesg  
is y  
Se lanciato senza parametri mesg visualizza lo stato corrente  
[homer@vagante homer]$ mesg n  
Ora la ricezione dei messaggi da parte degli altri utenti è disabilitata  

wall

Invia un messaggio a tutti gli utenti connessi al sistema.

Il comando wall permette di inviare un messaggio a tutti gli utenti connessi ad un sistema in un determinato istante. E' utile in caso di occorra avvisare gli utenti per esempio in casi di amministrazione straordinaria della macchina. L'inserimento dei messaggi avviene tramite lo standard input e devono essere terminati mediante la combinazione CTRL-D.

La sintassi è la seguente:
wall [messaggio]

Esempio:
[root@vagante homer]# wall
Eseguire il logout dal sistema entro 20 minuti. Causa manutenzione straordinaria. Grazie.

A tutti gli utenti che sono presenti sul sistema apparirà il messaggio:
[homer@vagante homer]$
Broadcast message from root (pts/0) (Wed Jun 30 19:58:37 2004):

Eseguire il logout dal sistema entro 20 minuti. Causa manutenzione straordinari
a. Grazie

La lunghezza massima di un messaggio è di 20 linee.

/sbin/shutdown [ -t sec ] [-rkhncf ] tempo [messaggio]
tempo Può essere now (Esegue immediatamente lo shutdown) o un numero in minuti in formato +m(es: +2) o un'ora specifica in formato hh.mm (es: 20.30)
-r Effettua il reboot del sistema al termine dello shutdown (Corrisponde ad un init 6
-h Spegne il sistema al termine dello shutdown (Corrisponde ad un init 0
-f Effettua un reboot rapido, sopprimendo il filesystem check al riavvio
-c Interrompe lo shutdown in corso (comodo per rimediare ad un shutdown lanciato troppo avventurosamente)
messaggio E' un testo alternativo a quello di default che viene visualizzato su tutti i terminali di tutti gli utenti per avvertirli dell'imminente shutdown.