Gli utenti avanzati che trascorrono molto tempo nella riga di comando potrebbero voler regolare il timeout della password sudo per aumentare la sicurezza (o, al contrario, estendere il periodo di tolleranza della password). Questo in genere significa rimuovere qualsiasi timeout della password, così da evitare la cache predefinita di cinque minuti e richiedere l’immissione della password di root ogni volta che un comando viene eseguito con sudo.
Per modificare o rimuovere il timeout della password sudo, utilizzeremo il comando visudo, una pratica valida sia su Mac OS X che su Linux.
Questa guida è destinata solo agli utenti esperti della riga di comando. Se non sei sicuro di cosa stai facendo con sudo, vim o visudo, e hai poca esperienza con la riga di comando, ti consiglio di non tentare di apportare modifiche. Un file sudoers danneggiato può causare una serie di problemi e potrebbe richiedere un ripristino da un backup. Procedi con cautela e a tuo rischio.
Regolazione del timeout della password Sudo
Dalla riga di comando, modificheremo il file sudoers utilizzando visudo – non tentare di modificare /etc/sudoers senza visudo.
Esegui il comando:
sudo visudo
Usa i tasti freccia per navigare fino alla fine del file sudoers e quindi inserisci la seguente sintassi su una nuova riga (puoi anche aggiungere un commento preceduto da un hash # per riferimento futuro):
Defaults timestamp_timeout = 0
In questo esempio, stiamo impostando ‘0’ come periodo di tolleranza, il che significa che sudo funzionerà solo per il singolo comando e non ci sarà alcuna memorizzazione nella cache della password per i cinque minuti predefiniti. Il numero è in minuti, quindi puoi impostarlo come preferisci, ma qui stiamo usando 0 per rimuovere completamente il periodo di tolleranza della password sudo. Puoi anche optare per ‘-1’, ma questo non è raccomandato in nessuna circostanza, poiché renderebbe infinito il periodo di grazia.
Una volta completato, premi il tasto ESC (ESC), seguito da due punti, quindi digita «wq» senza virgolette e premi Invio per salvare ed uscire da visudo.
Riavvia il terminale e ora avrai zero periodo di grazia con sudo. Provalo modificando il file hosts o eseguendo qualsiasi altra operazione che richieda l’accesso root e noterai che il prossimo comando richiederà di nuovo l’autorizzazione di root.
È anche possibile regolare i timeout per utenti specifici, utile se hai aggiunto un utente a sudoers e desideri stabilire un periodo di tolleranza per la password per un singolo account. Per farlo, aggiungi il nome utente alla stringa defaults in questo modo:
Defaults: utente timestamp_timeout = XX
Ricorda che puoi utilizzare ‘sudo -k’ per una regolazione temporanea del timeout della password sudo, il che può essere utile per chi ha impostato il timeout su 0 per maggiore sicurezza.
C’è ancora molto da esplorare riguardo al file sudoers, che può rivelarsi rilevante per gli utenti esperti su Mac OS X e Linux. Dare un’occhiata alla pagina man è utile e offre molte altre opzioni.
Aggiornamenti per il 2024
Nel 2024, la gestione della sicurezza su Mac OS X continua a evolversi. È importante rimanere aggiornati sulle pratiche migliori per l’uso di sudo, specialmente con l’aumento delle minacce informatiche. Considera di abilitare l’autenticazione a due fattori per il tuo account di amministratore, che offre un ulteriore strato di sicurezza. Inoltre, mantieni il tuo sistema operativo sempre aggiornato per beneficiare delle ultime patch di sicurezza.
Un altro aspetto da considerare è l’uso di strumenti di monitoraggio delle attività, che possono aiutarti a tenere traccia delle operazioni eseguite con i privilegi di root. Questo non solo migliora la sicurezza, ma offre anche una visibilità su eventuali modifiche non autorizzate che potrebbero avvenire sul sistema.
Infine, non dimenticare di consultare regolarmente la documentazione ufficiale di Apple e le comunità online per rimanere informato sulle novità e sugli aggiornamenti relativi alla sicurezza e alla gestione degli utenti su Mac OS X.
