Asennuksia ilman tunnussanaa? [RATKAISTU]

[Hajakenttä]

On jo pitkään pitänyt kysyä foorumilla sellaista Ubuntun perusfilosofiaan kuuluvaa asiaa kuin nämä erilaisten verkon yli asennettavien ohjelmien asennus ja etenkin niiden asennusoikeudet.

Olen ymmärtänyt, että Ubuntun, kuten kaikkien Linuxien turvallisuus ja palomuuri perustuu paljolti siihen, että mitään ei tule sisään ilman vankkaa aikomusta käyttäjän taholta.

Kun Ubuntun omasta pakettivarastosta ladataan ja asennetaan äärimmäisen luotettuja paketteja, tarvitaan aina pääkäyttäjän oikeudet. Siis kuka tahansa käyttäjä, joka silloin puikoissa on, ottaa pääkäyttäjän oikeudet antamalla oman tunnussanansa ihan sitä varten aukeavaan kyselyyn. Tämähän on Ubuntun perus toimintatapa ja ihan oikein.

Kuitenkin ladattaessa ja asennettaessa verkon yli web selaimella jotain ihan muiden osapuolien ohjelmia, joista ei aina voi sanoa luotettavuudesta mitään, voi kuka tahansa nappuloita painelemaan kykenevä asentaa ohjelmapaketteja ilman pääkäyttäjän oikeuksia, siis salasanakyselyä ja vastausta.

Siis se kysymys: Miksi luotetuilta vaaditaan rootin oikeudet, mutta epäluotetuilta ei vaadita?

Vai olenko aivan väärässä ja:
1. Koneessani on jotain asetuksia aivan väärin.
2. Teen jotain väärällä tavalla.
3. Rootin oikeudet periytyvät jostain aikaisemmasta toimenpiteestä, jota en vaan muista tehdyn.
4. Asia vaan on näin ja käyttöä on valvottava, että lapset ja muut ymmärtämättömät eivät tunaroi.

Juuri äskettäin tuttava lähetti tunnetun valmistajan joulukalenteriohjelman latauslinkin lahjaksi. Linkistä klikkaamalla tuli kehoitus asentaa ensin Adobe Air. Se asennettiin Adoben sivulta latauslinkistä ilman salasanakyselyä. Sitten latautui joulukalenteri ja taas ilman salasanakyselyä. Ja ihan hyvin toimii kaunis kalenteri, joka on aika iso ohjelma ja teki koneelle paljon asetteluja, mm itsensä bootissa käynnistyväksi.

Olisin tietysti voinut olla ottamatta sitä vastaan. Oma syy jos pilaa käyttöjärjestelmänsä. Mutta kuinka estetään lasten ymmärtämätön epäluotettavien ohjelmalinkkien availu?

Niiin... ja se Adobe Air oli Synapticin mielestä huutomerkin arvoinen. Kun se päivitettiin Synapticilla se tietenkin tehtiin roottina. Totta puhuen en edes tiedä mikä on Adobe Air.  

[Ville Pöntinen]

Kuitenkin ladattaessa ja asennettaessa verkon yli web selaimella jotain ihan muiden osapuolien ohjelmia, joista ei aina voi sanoa luotettavuudesta mitään, voi kuka tahansa nappuloita painelemaan kykenevä asentaa ohjelmapaketteja ilman pääkäyttäjän oikeuksia, siis salasanakyselyä ja vastausta.

...

Juuri äskettäin tuttava lähetti tunnetun valmistajan joulukalenteriohjelman latauslinkin lahjaksi. Linkistä klikkaamalla tuli kehoitus asentaa ensin Adobe Air. Se asennettiin Adoben sivulta latauslinkistä ilman salasanakyselyä. Sitten latautui joulukalenteri ja taas ilman salasanakyselyä. Ja ihan hyvin toimii kaunis kalenteri, joka on aika iso ohjelma ja teki koneelle paljon asetteluja, mm itsensä bootissa käynnistyväksi.

Käyttäjä voi asentaa ohjelmia itselleen ts. omaan kotikansioonsa, useimmiten kai .piilohakemistoon. Lisäksi käyttäjä voi laittaa ohjelman käynnistymään automaattisesti ko. käyttäjän kirjautuessa sisään koneeseen.

Järjestelmänlaajuisten ohjelmien asentaminen tai yleisiin boottiasetuksiin vaikuttaminen vaatii sudo-oikeuksia (tai sitten tiedostojen oikeudet ovat sekaisin).

Kun itse hain googlella "adobe air", sain linkin lataussivulle, josta latasin .deb-paketin jonka sain vielä auki asennusohjelmalla, mutta asetaminen ei onnistu ilman salasanan antamista. Eli homma meni niinkuin pitääkin.

Miten/mistä sinä sen asensit?

[Ganymedes]

Havainnollistamaan:

Käyttäjä voi tehdä oman ohjelman, scriptin, joka esimerkiksi antaa komennon "tuhoa kaikki tiedostot juuresta alaspäin kaikkine hakemistoineen" (en anna täsmällistä komentoa tässä). Kun käyttäjä määrää tällaisen tekstitiedoston ajettavaksi, niin siinä on ohjelma.

Tietysti myös netistä voi ladata itselleen samanlaisen ohjelman pelkillä käyttäjän oikeuksilla.

Eri asia on sitten se, että mitä tämä ohjelma tekee jos sitä ajaa - ei se ainakaan tuhoa "juuresta alaspäin kaikkia tiedostoja", koska käyttäjän oikeudet eivät siihen riitä. Eikä tämä ohjelma, netistäkään ladattuna lähde yksistään toimimaan, koska siihenkään käyttäjän oikeudet eivät riitä.

Tokihan varomattomasti ladattu ohjelma, jota itse ajaa, voi tehdä suurta haittaa - aivan samalla tavalla kuin itse tehtykin ohjelma.

[Asmo Koskinen]

[--] Adobe Air. Se asennettiin Adoben sivulta latauslinkistä ilman salasanakyselyä. Sitten latautui joulukalenteri ja taas ilman salasanakyselyä.

Sudo-käyttäjän salasana on voimassa saman istunnon aikana 15 minuuttia.

"X is the timeout expiration in minutes. If you specify 0 you will always be asked the password."

https://help.ubuntu.com/community/RootSudoTimeout

Olit siis antanut sudo-salasanan aikaisemmin ja 15 minuutin sisällä asensit Airin. Näin sudo-salasana toimii aivan oikein.

Voit siis lisätä turvallisuutta lyhentämällä tuon ajan nollaan, Silloin jokaisen ylläpitotoimenpiteen kohdalla kysytään salasanaa. Etkä anna sudo-oikeuksia lapsille/muille käyttäjille. Etkä edes kirjaudu sisään sudo-käyttäjän tunnuksella, vaan luot tavis-tunnuksen myös itsellesi. Näin et vahingossa k(l)ikkaile deb-paketteja 15 minuutin sudo-aikaikkunassa.

Joudut kirjautumaan sudo-käyttäjänä sisään, kun toden teolla on tarkoitus lisätä paketteja/muuttaa järjestelmää.

Ystävällisin terveisin Asmo Koskinen.

[Hajakenttä]

Nyt on läksyt tehty.

Kun itse hain googlella "adobe air", sain linkin lataussivulle, josta latasin .deb-paketin jonka sain vielä auki asennusohjelmalla, mutta asetaminen ei onnistu ilman salasanan antamista. Eli homma meni niinkuin pitääkin.

Miten/mistä sinä sen asensit?

Asensin sen kalenterin valmistajan tarjoamasta linkistä avautuvalta... Adoben sivulta. Tietenkin se asentuu GDebei asentajalla joka tietenkin kysyy pääkäyttäjän tunnussanan. Paitsi jos on juuri jotain roskaa putsattu sudo komentojen avulla.

Tuo varttitunnin sääntö oli vähän uutta.

[Hajakenttä]

[--] Adobe Air. Se asennettiin Adoben sivulta latauslinkistä ilman salasanakyselyä. Sitten latautui joulukalenteri ja taas ilman salasanakyselyä.

Sudo-käyttäjän salasana on voimassa saman istunnon aikana 15 minuuttia.

"X is the timeout expiration in minutes. If you specify 0 you will always be asked the password."

https://help.ubuntu.com/community/RootSudoTimeout

Olit siis antanut sudo-salasanan aikaisemmin ja 15 minuutin sisällä asensit Airin. Näin sudo-salasana toimii aivan oikein.

Voit siis lisätä turvallisuutta lyhentämällä tuon ajan nollaan, Silloin jokaisen ylläpitotoimenpiteen kohdalla kysytään salasanaa. Etkä anna sudo-oikeuksia lapsille/muille käyttäjille. Etkä edes kirjaudu sisään sudo-käyttäjän tunnuksella, vaan luot tavis-tunnuksen myös itsellesi. Näin et vahingossa k(l)ikkaile deb-paketteja 15 minuutin sudo-aikaikkunassa.

Joudut kirjautumaan sudo-käyttäjänä sisään, kun toden teolla on tarkoitus lisätä paketteja/muuttaa järjestelmää.

Ystävällisin terveisin Asmo Koskinen.

Näin todellakin näyttää olevan.

Tiesin kyllä tuon 15 minuutin säännön, mutta kuvittelin (kaikki nämä vuodet), että päätteen tai Synapticin tai GDebein sulkeminen päättäisi sen pääkäyttäjänä olemisen ja koneen voisi antaa kakaroille. Ja että se 15 minuuttia tarkoittaisi auki olevan Synapticin pääkäyttäjä oikeutta, joka siis pitää uusia jos viivyttelee sen ajan. On tainnut olla väärä käsitys siitäkin, että päätteessä sudo pitää kirjoittaa aina uudelleen, en ole tullut kokeilleeksi säilyykö se sen varttitunnin. Tai ehkä sitä vaan ei huomaa kun keskittyneesti jotain säätää.

Asensin siis Adobe Airin uudelleen ja annoin koneen seistä koskematta 16 minuuttia. Sitten asensin sen joulukalenterin, joka on aika raskas ohjelma, ja sen tultua Ubuntu tosiaan kysyi tunnussanan ja asia on selvä kuin pläkki.

Tuli siis opetuskeskustelu Kaikille käyttäjille pitää tehdä oma tunnus ja tili, vaikka olisi kuinka sopuisa perhe. Muuten saattaa tulla juuri tuo tilanne, että asennetaan jotain harkitsematonta. Tai sitten asettaa se sudo oikeuden viiveaika nollaksi.

Kiitos kaikille tukiopetuksesta taas kerran. Ehkä tämäkin keskustelu on jollekin aloittelijalle hyödyksi.

[Tomin]

On tainnut olla väärä käsitys siitäkin, että päätteessä sudo pitää kirjoittaa aina uudelleen, en ole tullut kokeilleeksi säilyykö se sen varttitunnin. Tai ehkä sitä vaan ei huomaa kun keskittyneesti jotain säätää.

Siis kyllä se suo pitäää joka käskyyn, jonka haluaa roottina suorittaa, laittaa.

Nykyään Ubuntusta pitäisi löytyä tuolta ilmoitusalueelta semmoinen painike, josta nuo rootin oikudet voi perua eli säätämisen jälkeen sen kyselyn voi laittaa uudestaan päälle. Lisää turvallisuutta, jos sitä käyttää.

[Hajakenttä]

On tainnut olla väärä käsitys siitäkin, että päätteessä sudo pitää kirjoittaa aina uudelleen, en ole tullut kokeilleeksi säilyykö se sen varttitunnin. Tai ehkä sitä vaan ei huomaa kun keskittyneesti jotain säätää.

Siis kyllä se suo pitäää joka käskyyn, jonka haluaa roottina suorittaa, laittaa.

Nykyään Ubuntusta pitäisi löytyä tuolta ilmoitusalueelta semmoinen painike, josta nuo rootin oikudet voi perua eli säätämisen jälkeen sen kyselyn voi laittaa uudestaan päälle. Lisää turvallisuutta, jos sitä käyttää.

Kuinka sen painikkeen pitäisi näkyä? Kokeilin mennä rootiksi, enkä kyllä huomannut mitään sellaista. Tarvitaanko siihen jotain panelien lisukkeiden asennusta? Vai onko se 10.10 uudistuksia? Tämä on 10.04.

Ihan hyvä olisi olla semmonen nappi.

[peran]

Tiesin kyllä tuon 15 minuutin säännön, mutta kuvittelin (kaikki nämä vuodet), että päätteen tai Synapticin tai GDebein sulkeminen päättäisi sen pääkäyttäjänä olemisen ja koneen voisi antaa kakaroille.

Minä en kyllä antaisi kakaroille käytettäväksi omaa tunnusta, enkä muutenkaan sudo-oikeuksilla olevaa tunnusta, vaikka he eivät tietäisi salasanaa. Tee kyseistä tapahtumaa varten lapsille oma tunnut, jossa ei ole sudo-oikeuksia, ja jonka salasanan lapsesi tietävät. Voit tosin laittaa kirjautumisen myös salasanattomana, jos niin haluat. Kun lapsilla on omat tunnukset, niin he varmaan oppivat heti tietoturvallisen käyttötavan tietokoneille.

Kannattaa toteuttaa, että lapsilla on yhteinen lapset-tunnus tai että jokaisella lapsella on oma tunnus. Sillä varmistat, etteivät lapset sotke tunnustasi, ja toisaalta lapset saavat tehdä itse omia säätöjä tunnukselleen, joita katsovat tarpeelliseksi.

[Hajakenttä]

Tiesin kyllä tuon 15 minuutin säännön, mutta kuvittelin (kaikki nämä vuodet), että päätteen tai Synapticin tai GDebein sulkeminen päättäisi sen pääkäyttäjänä olemisen ja koneen voisi antaa kakaroille.

Minä en kyllä antaisi kakaroille käytettäväksi omaa tunnusta, enkä muutenkaan sudo-oikeuksilla olevaa tunnusta, vaikka he eivät tietäisi salasanaa. Tee kyseistä tapahtumaa varten lapsille oma tunnut, jossa ei ole sudo-oikeuksia, ja jonka salasanan lapsesi tietävät. Voit tosin laittaa kirjautumisen myös salasanattomana, jos niin haluat. Kun lapsilla on omat tunnukset, niin he varmaan oppivat heti tietoturvallisen käyttötavan tietokoneille.

Kannattaa toteuttaa, että lapsilla on yhteinen lapset-tunnus tai että jokaisella lapsella on oma tunnus. Sillä varmistat, etteivät lapset sotke tunnustasi, ja toisaalta lapset saavat tehdä itse omia säätöjä tunnukselleen, joita katsovat tarpeelliseksi.

Taas on läksyjä tehty.

Meidän savussa on koneet henkilökohtaisia ja lapset olleet aikuisia jo toista kymmentä vuotta. Lapsenlapset toisinaan kyselevät lupaa käyttää vaarin tai mummon Ubuntua, kotona kun on vaan tylsä Windows.

Siitä vaan sitten tekemään uutta tiliä:

Järjestelmä > ylläpito > käyttäjät ja ryhmät. Sinne oikea tili oikealla käyttäjätunnuksella ja oikealla salasanalla. Muut asetukset > oikeudet: luettelosta ruksailin tarpeellisena pitämäni oikeudet, joista jätin ruksaamatta järjestelmän hallinta oikeudet.

(Tätä pääkäyttäjänä tehdessä näin ekan kerran sen avaimen kuvan ilmoitusalueella. Se poistui heti kun pääkäyttäjäoikeuksia tarvitseva sovellus suljettiin. Siinä ei ilmeisesti ole sitä varttitunnin viivettä, joka on loogista, sehän on ei-pääkäyttäjän tili.)

Kokeilin vielä sillä tilillä ollessa, että siellä ei todellakaan voi mitään pääkäyttäjän oikeuksilla tehdä, vaikka antaisikin oman tunnussanansa. (Oikein kehotetaan kääntymään pääkäyttäjän puoleen.) Se on vaan sen yhden ruksin varassa.

Päävalikon asetuksista poistin menu valikosta järjestelmä valikon alivalikot: asetukset ja ylläpito. Päätteen kyllä jätin, jotta saan kutsuttua niitä ohjelmia, jotka nyt ovat pimennossa, jos niitä joskus tarvitaan sen tilin säätöön. Toivottavasti sitten keksin niiden kutsumanimet.

Tosiaan... se on ihan oikea periaate, että lapset saavat käyttää tietokonetta ihan omilla käyttäjätunnuksilla ja ihan oikeilla tunnussanoilla heti kun oppivat kirjaimet. Se on tietotekniikka- ja tietoturvallisuuskasvatusta.

Tulipa tämäkin homma opetelluksi viimein. Ihan hyvin se on Ubuntussa ajateltu.