Product SiteDocumentation Site

8.9. Altre configurazioni: Sincronizzazione Ora, Log, Condivisione dell'accesso…

È bene conoscere i molti elementi elencati in questa sezione per chiunque voglia padroneggiare tutti gli aspetti di configurazione di un sistema GNU/Linux. Tuttavia sono trattati brevemente e i riferimenti alla documentazione sono frequenti.

8.9.1. Fuso orario

Il fuso orario, configurato durante l'installazione iniziale, è un elemento di configurazione per il pacchetto tzdata. Per modificarlo, usare il comando dpkg-reconfigure tzdata, che consente di scegliere il fuso orario da utilizzare in maniera interattiva. La rispettiva configurazione è conservata nel file /etc/timezone. Inoltre, il file corrispondente nella directory /usr/share/zoneinfo viene copiato in /etc/localtime: questo file contiene le regole per determinare i giorni in cui l'ora legale è attiva, per i paesi che la utilizzano.
Quando si necessita di cambiare temporaneamente il fuso orario si può utilizzare la variabile d'ambiente TZ che ha priorità rispetto alla configurazione predefinita di sistema:
$ date
Thu Feb 19 11:25:18 CET 2015
$ TZ="Pacific/Honolulu" date
Thu Feb 19 00:25:21 HST 2015

8.9.2. Sincronizzazione del tempo

La sincronizzazione del tempo, che può sembrare superflua in un computer, è molto importante in una rete. Poiché gli utenti non hanno permessi per poter modificare data ed ora è importante che questa informazione sia precisa per evitare confusione. Inoltre, avere tutti i computer sincronizzati sulla rete permette di ottenere comparazioni migliori tra le informazioni dei log sulle varie macchine. Così, in caso di attacco, è più semplice ricostruire la sequenza cronologica delle azioni sulle varie macchine interessate dalla compromissione. I dati raccolti sulle varie macchine per propositi statistici avrebbero hanno un gran senso se non fossero sincronizzati.

8.9.2.1. Per le postazioni di lavoro

Poiché le postazioni di lavoro sono regolarmente riavviate (anche solo per risparmiare energia) sincronizzarle con NTP all'avvio è sufficiente. Per farlo si può installare il pacchetto ntpdate. Se è necessario bisogna cambiare il server NTP usato modificando il file /etc/default/ntpdate.

8.9.2.2. Per i server

I server sono riavviati raramente ed è estremamente importante che il loro tempo di sistema sia corretto. Per mantenere costantemente corretto il tempo si dovrebbe installare un server NTP locale, un servizio offerto dal pacchetto ntp. Nella configurazione predefinita il server si sincronizza con pool.ntp.org e fornisce il tempo in risposta alle richieste che arrivano dalla rete locale. È possibile configurarlo modificando il file /etc/ntp.conf e la modifica più significativa riguarda il cambio dei server NTP a cui fa riferimento. Se la rete ha molti server può essere interessante avere un server del tempo locale che si sincronizza con i server pubblici e viene usato come sorgente del tempo dagli altri server nella rete.

8.9.3. Ruotare i file di log

I file di log crescono, velocemente, ed è necessario archiviarli. Lo schema più comune è «ruotare» gli archivi: i file log vengono regolarmente archiviati e solo gli ultimi X archivi vengono mantenuti. logrotate, il programma responsabile di queste rotazioni, segue le direttive specificate nel file /etc/logrotate.conf ed in tutti i file all'interno della directory /etc/logrotate.d/. L'amministratore può modificare questi file, se desidera adattare le politiche di rotazione definite da Debian. La pagina di manuale logrotate(1) descrive tutte le opzioni disponibili per questi file di configurazione. Si potrebbe desiderare l'incremento del numero di file mantenuti nella rotazione dei log oppure spostare i file di log in una directory dedicata specifica per archiviarli anziché cancellarli. I log si possono anche inviare via email per archiviarli in altro luogo.
Il programma logrotate viene eseguito giornalmente dal software di programmazione cron (descritto nella Sezione 9.7, «Pianificare attività con cron e atd»).

8.9.4. Condivisione dei privilegi di amministrazione

Frequentemente diversi amministratori lavorano nella stessa rete. Condividere le password di root non è molto elegante ed apre le porte ad abusi legati all'anonimato che questa condivisione genera. La soluzione a questo problema è il programma sudo che consente a certi utenti di eseguire determinati comandi con privilegi speciali. Nel caso d'uso più comune sudo consente ad un utente fidato di eseguire qualsiasi comando come root. Per farlo l'utente esegue semplicemente sudo comando e si autentica utilizzando la propria password personale.
Quando installato, il pacchetto sudo concede completi privilegi di root ai membri del gruppo Unix sudo. Per delegare questi privilegi, l'amministratore deve usare il comando visudo, che gli consente di modificare il file di configurazione /etc/sudoers (ancora una volta, questo esegue l'editor vi o qualsiasi altro editor indicato nella variabile d'ambiente EDITOR). Aggiungere una riga con nome-utente ALL=(ALL) ALL consente all'utente in questione di eseguire qualsiasi comando come root.
Configurazioni più sofisticate consentono l'autorizzazione solo su specifici comandi per specifici utenti. Tutti i dettagli circa le varie possibilità sono offerti nella pagina di manuale sudoers(5).

8.9.5. Lista dei punti di mount

Il file /etc/fstab fornisce la lista di tutti i possibili montaggi che possono avvenire sia automaticamente all'avvio, sia manualmente per i dispositivi di archiviazione removibili. Ogni punto di montaggio è descritto da una riga con diversi campi separati da spazi:
  • dispositivo da montare: può essere una partizione locale (disco rigido, CD-ROM) o un filesystem remoto (come NFS).
    Questo campo è frequentemente sostituito con l'ID univoco del filesystem (che può essere determinato con blkid dispositivo) ed è preceduto da UUID=. Questo mette al riparo da un eventuale cambio nel nome del device in caso di aggiunta o rimozione di dischi, o se i dischi vengono individuati in un ordine diverso.
  • punto di montaggio: questa è la posizione nel filesystem locale dove il dispositivo, sistema remoto, o partizione dev'essere montata.
  • tipo: questo campo definisce il filesystem usato sul dispositivo da montare. ext4, ext3, vfat, ntfs, btrfs, xfs sono solo alcuni esempi.
    Una lista completa dei filesystem conosciuti è disponibile nella pagina di manuale mount(8). Il valore speciale swap è per le partizioni di swap. Il valore speciale auto comunica al programma mount di individuare automaticamente il filesystem (cosa particolarmente utile per i lettori e le chiavette USB, poiché ognuna può avere un filesystem diverso dall'altra);
  • opzioni: ne esistono molte, in base al filesystem, e sono documentate nella pagina di manuale mount. Le più comuni sono
    • rw o ro, significano rispettivamente che il dispositivo può essere montato con i permessi di lettura/scrittura oppure sola lettura.
    • noauto disattiva il montaggio automatico all'avvio.
    • nofail permette all'vvio del sistema di procedere anche quando non è presente alcun dispositivo. Assicurasi di abilitare questa opzione per i dischi esterni che potrebbero essere scollegati all'avvio, poichè systemd garantisce che realmente tutti i pinti di mount che devono montati automaticamente siano effettivamente montati prima di lasciare che il processo di avvio continui fino alla fine. Si noti che è possibile combinare questa opzione con x-systemd.device-timeout=5s per dire a systemd di aspettare non più di 5 secondi che venga rilevato il dispositivo (si veda systemd.mount(5)).
    • user autorizza tutti gli utenti a montare questo filesystem (un'operazione che sarebbe altrimenti consentita al solo utente root).
    • defaults imposta un insieme di opzioni predefinite: rw, suid, dev, exec, auto, nouser e async, ognuna delle quali può essere singolarmente disabilitata dopo defaults aggiungendo nosuid, nodev e così via per bloccare rispettivamente suid, dev ecc. Aggiungere l'opzione user la riattiva, dato che defaults include nouser.
  • backup: questo campo è quasi sempre impostato a 0. Quando è pari a 1 comunica allo strumento dump che la partizione contiene dati che devono essere soggetti a backup.
  • ordine di controllo: questo ultimo campo indica quando l'integrità del filesystem dev'essere controllata all'avvio, e in che ordine questo controllo dev'essere eseguito. Se è 0 nessun controllo viene eseguito. Il filesystem radice dovrebbe sempre avere il valore 1 mentre altri filesystem permanenti dovrebbero avere il valore 2.

Esempio 8.5. Esempio di file /etc/fstab

# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
# / was on /dev/sda1 during installation
UUID=c964222e-6af1-4985-be04-19d7c764d0a7 / ext3 errors=remount-ro 0 1
# swap was on /dev/sda5 during installation
UUID=ee880013-0f63-4251-b5c6-b771f53bd90e none swap sw  0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto 0       0
/dev/fd0        /media/floppy   auto    rw,user,noauto  0       0
arrakis:/shared /shared         nfs     defaults        0       0
L'ultima riga di questo esempio corrisponde ad un filesystem di rete (NFS): la directory /shared/ sul server arrakis è montata in /shared/ nella macchina locale. Il formato del file /etc/fstab è documentato nella pagina di manuale fstab(5).

8.9.6. locate e updatedb

Il comando locate può trovare la posizione di un file quando se ne conosce solo parte del nome. Fornisce il risultato quasi istantaneamente, poiché consulta un database che conserva la posizione di tutti i file sul sistema; questo database è aggiornato giornalmente dal comando updatedb. Ci sono molte implementazioni del comando locate e Debain ha scelto mlocate per il proprio standard di sistema.
mlocate è abbastanza intelligente da restituire solo i file che sono accessibili all'utente che esegue il comando anche se utilizza un database in cui sono presenti tutti i file del sistema (sin dalla sua implementazione updatedb viene eseguito con i privilegi di root). Per una maggiore sicurezza, l'amministratore può utilizzare PRUNEDPATHS in /etc/updatedb.conf per escludere alcune directory dall'indicizzazione.