Product SiteDocumentation Site

8.9. Other Configurations: Time Synchronization, Logs, Sharing Access…

È bene conoscere i molti elementi elencati in questa sezione per chiunque voglia padroneggiare tutti gli aspetti di configurazione di un sistema GNU/Linux. Tuttavia sono trattati brevemente e i riferimenti alla documentazione sono frequenti.

8.9.1. Fuso orario

The timezone, configured during initial installation, is a configuration item for the tzdata package. To modify it, use the dpkg-reconfigure tzdata command, which allows you to choose the timezone to be used in an interactive manner. Its configuration is stored in the /etc/timezone file. Additionally, the corresponding file in the /usr/share/zoneinfo directory is copied into /etc/localtime; this file contains the rules governing the dates where daylight saving time is active, for countries that use it.
Quando si necessita di cambiare temporaneamente il fuso orario si può utilizzare la variabile d'ambiente TZ che ha priorità rispetto alla configurazione predefinita di sistema:
$ date
Thu Feb 19 11:25:18 CET 2015
$ TZ="Pacific/Honolulu" date
Thu Feb 19 00:25:21 HST 2015

8.9.2. Sincronizzazione del tempo

La sincronizzazione del tempo, che può sembrare superflua in un computer, è molto importante in una rete. Poiché gli utenti non hanno permessi per poter modificare data ed ora è importante che questa informazione sia precisa per evitare confusione. Inoltre, avere tutti i computer sincronizzati sulla rete permette di ottenere comparazioni migliori tra le informazioni dei log sulle varie macchine. Così, in caso di attacco, è più semplice ricostruire la sequenza cronologica delle azioni sulle varie macchine interessate dalla compromissione. I dati raccolti sulle varie macchine per propositi statistici avrebbero hanno un gran senso se non fossero sincronizzati.

8.9.2.1. Per le postazioni di lavoro

Poiché le postazioni di lavoro sono regolarmente riavviate (anche solo per risparmiare energia) sincronizzarle con NTP all'avvio è sufficiente. Per farlo si può installare il pacchetto ntpdate. Se è necessario bisogna cambiare il server NTP usato modificando il file /etc/default/ntpdate.

8.9.2.2. Per i server

I server sono riavviati raramente ed è estremamente importante che il loro tempo di sistema sia corretto. Per mantenere costantemente corretto il tempo si dovrebbe installare un server NTP locale, un servizio offerto dal pacchetto ntp. Nella configurazione predefinita il server si sincronizza con pool.ntp.org e fornisce il tempo in risposta alle richieste che arrivano dalla rete locale. È possibile configurarlo modificando il file /etc/ntp.conf e la modifica più significativa riguarda il cambio dei server NTP a cui fa riferimento. Se la rete ha molti server può essere interessante avere un server del tempo locale che si sincronizza con i server pubblici e viene usato come sorgente del tempo dagli altri server nella rete.

8.9.3. Ruotare i file di log

I file di log crescono, velocemente, ed è necessario archiviarli. Lo schema più comune è «ruotare» gli archivi: i file log vengono regolarmente archiviati e solo gli ultimi X archivi vengono mantenuti. logrotate, il programma responsabile di queste rotazioni, segue le direttive specificate nel file /etc/logrotate.conf ed in tutti i file all'interno della directory /etc/logrotate.d/. L'amministratore può modificare questi file, se desidera adattare le politiche di rotazione definite da Debian. La pagina di manuale logrotate(1) descrive tutte le opzioni disponibili per questi file di configurazione. Si potrebbe desiderare l'incremento del numero di file mantenuti nella rotazione dei log oppure spostare i file di log in una directory dedicata specifica per archiviarli anziché cancellarli. I log si possono anche inviare via email per archiviarli in altro luogo.
Il programma logrotate viene eseguito giornalmente dal software di programmazione cron (descritto in Sezione 9.7, «Pianificare attività con cron e atd»).

8.9.4. Condivisione dei privilegi di amministrazione

Frequentemente diversi amministratori lavorano nella stessa rete. Condividere le password di root non è molto elegante ed apre le porte ad abusi legati all'anonimato che questa condivisione genera. La soluzione a questo problema è il programma sudo che consente a certi utenti di eseguire determinati comandi con privilegi speciali. Nel caso d'uso più comune sudo consente ad un utente fidato di eseguire qualsiasi comando come root. Per farlo l'utente esegue semplicemente sudo comando e si autentica utilizzando la propria password personale.
When installed, the sudo package gives full root rights to members of the sudo Unix group. To delegate other rights, the administrator must use the visudo command, which allows them to modify the /etc/sudoers configuration file (here again, this will invoke the vi editor, or any other editor indicated in the EDITOR environment variable). Adding a line with username ALL=(ALL) ALL allows the user in question to execute any command as root.
Configurazioni più sofisticate consentono l'autorizzazione solo su specifici comandi per specifici utenti. Tutti i dettagli circa le varie possibilità sono offerti nella pagina di manuale sudoers(5).

8.9.5. Lista dei punti di mount

Il file /etc/fstab fornisce la lista di tutti i possibili montaggi che possono avvenire sia automaticamente all'avvio, sia manualmente per i dispositivi di archiviazione removibili. Ogni punto di montaggio è descritto da una riga con diversi campi separati da spazi:
  • dispositivo da montare: può essere una partizione locale (disco rigido, CD-ROM) o un filesystem remoto (come NFS).
    Questo campo è frequentemente sostituito con l'ID univoco del filesystem (che può essere determinato con blkid dispositivo) ed è preceduto da UUID=. Questo mette al riparo da un eventuale cambio nel nome del device in caso di aggiunta o rimozione di dischi, o se i dischi vengono individuati in un ordine diverso.
  • punto di montaggio: questa è la posizione nel filesystem locale dove il dispositivo, sistema remoto, o partizione dev'essere montata.
  • type: this field defines the filesystem used on the mounted device. ext4, ext3, vfat, ntfs, btrfs, xfs are a few examples.
    Una lista completa dei filesystem conosciuti è disponibile nella pagina di manuale mount(8). Il valore speciale swap è per le partizioni di swap. Il valore speciale auto comunica al programma mount di individuare automaticamente il filesystem (cosa particolarmente utile per i lettori e le chiavette USB, poiché ognuna può avere un filesystem diverso dall'altra).
  • opzioni: ne esistono molte, in base al filesystem, e sono documentate nella pagina di manuale mount. Le più comuni sono
    • rw o ro, significano rispettivamente che il dispositivo può essere montato con i permessi di lettura/scrittura oppure sola lettura.
    • noauto disattiva il montaggio automatico all'avvio.
    • nofail allows the boot to proceed even when the device is not present. Make sure to put this option for external drives that might be unplugged when you boot, because systemd really ensures that all mount points that must be automatically mounted are actually mounted before letting the boot process continue to its end. Note that you can combine this with x-systemd.device-timeout=5s to tell systemd to not wait more than 5 seconds for the device to appear (see systemd.mount(5)).
    • user autorizza tutti gli utenti a montare questo filesystem (un'operazione che sarebbe altrimenti consentita al solo utente root).
    • defaults imposta un insieme di opzioni predefinite: rw, suid, dev, exec, auto, nouser e async, ognuna delle quali può essere singolarmente disabilitata dopo defaults aggiungendo nosuid, nodev e così via per bloccare rispettivamente suid, dev ecc. Aggiungere l'opzione user la riattiva, dato che defaults include nouser.
  • backup: questo campo è quasi sempre impostato a 0. Quando è pari a 1 comunica allo strumento dump che la partizione contiene dati che devono essere soggetti a backup.
  • ordine di controllo: questo ultimo campo indica quando l'integrità del filesystem dev'essere controllata all'avvio, e in che ordine questo controllo dev'essere eseguito. Se è 0 nessun controllo viene eseguito. Il filesystem radice dovrebbe sempre avere il valore 1 mentre altri filesystem permanenti dovrebbero avere il valore 2.

Esempio 8.5. Example /etc/fstab file

# /etc/fstab: informazioni sui filesystem statici.
#
# <filesystem> <punto di montaggio>   <tipo>  <opzioni>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
# / era su /dev/sda1 durante l'installazione
UUID=c964222e-6af1-4985-be04-19d7c764d0a7 / ext3 errors=remount-ro 0 1
# swap era su /dev/sda5 durante l'installazione
UUID=ee880013-0f63-4251-b5c6-b771f53bd90e none swap sw  0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto 0       0
/dev/fd0        /media/floppy   auto    rw,user,noauto  0       0
arrakis:/shared /shared         nfs     defaults        0       0
L'ultima riga di questo esempio corrisponde ad un filesystem di rete (NFS): la directory /shared/ sul server arrakis è montata in /shared/ nella macchina locale. Il formato del file /etc/fstab è documentato nella pagina di manuale fstab(5).

8.9.6. locate e updatedb

The locate command can find the location of a file when you only know part of the name. It sends a result almost instantaneously, since it consults a database that stores the location of all the files on the system; this database is updated daily by the updatedb command. There are multiple implementations of the locate command and Debian picked mlocate for its standard system.
mlocate is smart enough to only return files which are accessible to the user running the command even though it uses a database that knows about all files on the system (since its updatedb implementation runs with root rights). For extra safety, the administrator can use PRUNEDPATHS in /etc/updatedb.conf to exclude some directories from being indexed.