1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
|
<?xml version="1.0" ?>
<!DOCTYPE book PUBLIC "-//KDE//DTD DocBook XML V4.2-Based Variant V1.1//EN"
"dtd/kdex.dtd" [
<!ENTITY kappname "&tdesu;">
<!ENTITY package "tdebase">
<!ENTITY % addindex "IGNORE">
<!ENTITY % Catalan "INCLUDE"
> <!-- change language only here -->
]>
<book lang="&language;">
<bookinfo>
<title
>El manual de &tdesu;</title>
<authorgroup>
<author
>&Geert.Jansen; &Geert.Jansen.mail;</author>
<othercredit role="translator"
><firstname
>Antoni</firstname
><surname
>Bella</surname
><affiliation
><address
><email
>bella5@teleline.es</email
></address
></affiliation
><contrib
>Traductor</contrib
></othercredit
>
</authorgroup>
<copyright>
<year
>2000</year>
<holder
>&Geert.Jansen;</holder>
</copyright>
<legalnotice
>&FDLNotice;</legalnotice>
<date
>2005-06-07</date>
<releaseinfo
>1.00.00</releaseinfo>
<abstract
><para
>&tdesu; és una interfície gràfica per al comandament <command
>su</command
> de &UNIX;.</para
></abstract>
<keywordset>
<keyword
>KDE</keyword>
<keyword
>su</keyword>
<keyword
>contrasenya</keyword>
<keyword
>root</keyword>
</keywordset>
</bookinfo>
<chapter id="introduction">
<title
>Introducció</title>
<para
>Benvingut a &tdesu;! &tdesu; és una interfície gràfica per a l'entorn d'escriptori K per al comandament <command
>su</command
>. Aquesta us permetrà executar un programa com a un usuari diferent indicant la contrasenya per aquest usuari. &tdesu; és un programa sense privilegis; aquest empra el sistema de <command
>su</command
>.</para>
<para
>&tdesu; disposa d'una característica addicional: aquest pot conservar les contrasenyes. Si esteu emprant aquesta característica, tan sols us caldrà introduir la contrasenya una vegada per a cada comandament. Consulteu <xref linkend="sec-password-keeping"/> per a més informació quant això i una anàlisi de seguretat.</para>
<para
>Aquest programa està principalment dissenyat per a ser executat des de la línia de comandaments o des de fitxers <filename
>.desktop</filename
>. Tot i que després demana per la contrasenya de <systemitem class="username"
>root</systemitem
> emprant un diàleg &GUI;, de fet considero més un pegat de línia de comandaments <-> &GUI; en comptes d'un programa de &GUI; pur.</para>
</chapter>
<chapter id="using-tdesu">
<title
>Ús de &tdesu;</title>
<para
>L'ús de &tdesu; és fàcil. La sintaxi és com la següent:</para>
<cmdsynopsis
><command
>tdesu</command
> <group choice="opt"
><option
>-c</option
></group
> <group choice="opt"
><option
>-d</option
></group
> <group choice="opt"
><option
>-f</option
> <replaceable
> fitxer</replaceable
></group
> <group choice="opt"
><option
>-i</option
> <replaceable
> nom icona</replaceable
></group
> <group choice="opt"
><option
>-n</option
></group
> <group choice="opt"
><option
>-p</option
> <replaceable
> prioritat</replaceable
></group
> <group choice="opt"
><option
>-r</option
></group
> <group choice="opt"
><option
>-s</option
></group
> <group choice="opt"
><option
>-t</option
></group
> <group choice="opt"
><option
>-u</option
> <replaceable
> usuari</replaceable
></group
> <group choice="opt"
><option
>--nonewdcop</option
></group
> <group
><arg choice="req"
><replaceable
>comandament</replaceable
> <arg
><replaceable
>arg1</replaceable
></arg
> <arg
><replaceable
>arg2</replaceable
></arg
> <arg rep="repeat"
><replaceable
></replaceable
></arg
></arg
></group
> </cmdsynopsis>
<cmdsynopsis
><command
>tdesu</command
> <arg choice="opt"
>Opcions genèriques del &kde;</arg
> <arg choice="opt"
>Opcions genèriques de Qt</arg
> </cmdsynopsis>
<para
>Les opcions per a la línia de comandaments s'expliquen a sota.</para>
<variablelist>
<varlistentry>
<term
><option
>-c <replaceable
>programa</replaceable
></option
></term>
<listitem
><para
>Això especifica el programa a executar com a root. Aquest se li ha d'especificar com a un únic argument. De manera que, per exemple, si voleu executar un nou gestor de fitxers, haureu d'introduir a l'indicatiu: <userinput
><command
>tdesu <option
>-c <replaceable
>kfm -sw</replaceable
></option
></command
></userinput
></para
></listitem>
</varlistentry>
<varlistentry>
<term
><option
>-d</option
></term>
<listitem
><para
>Mostra informació de depuració.</para
></listitem>
</varlistentry>
<varlistentry>
<term
><option
>-f <replaceable
>fitxer</replaceable
></option
></term>
<listitem
><para
>Aquesta opció permet un ús eficient de &tdesu; en els fitxers <filename
>.desktop</filename
>. Aquesta li indica a &tdesu; que examini el fitxer especificat per <parameter
>fitxer</parameter
>. Si aquest fitxer és d'escriptura per a l'usuari actual, &tdesu; executarà el comandament com a dit l'usuari. Si no fos d'escriptura, el comandament seria executat com a l'usuari <parameter
>usuari</parameter
> (per omissió el root).</para>
<para
>El paràmetre <parameter
>fitxer</parameter
> s'avalua de la següent manera: si <parameter
>FITXER</parameter
> comença per <literal
>/</literal
>, es pren com a un nom de fitxer absolut. D'altra manera, es pren com al nom d'un fitxer de configuració global del &kde;. Per exemple: Per a configurar el gestor d'accés K, <application
>kdm</application
>, podríeu emprar <command
>tdesu <option
>-c kdmconfig -f kdmrc</option
></command
></para
></listitem>
</varlistentry>
<varlistentry>
<term
><option
>-i</option
> <replaceable
>nom icona</replaceable
></term>
<listitem
><para
>Especifica la icona a usar en el diàleg de contrasenya. Podeu especificar el nom sense cap extensió.</para>
<para
>Per exemple, per executar <command
>kfmclient</command
> i mostrar la icona de &konqueror; en el diàleg de contrasenya:</para>
<screen
><userinput
><command
>tdesu</command
> <option
>-i konqueror</option
> <command
>kfmclient</command
></userinput
></screen>
</listitem>
</varlistentry>
<varlistentry>
<term
><option
>-n</option
></term>
<listitem
><para
>No demana la contrasenya. Això deshabilita la caixa de selecció <guilabel
>Conserva la contrasenya</guilabel
> del diàleg de contrasenyes.</para
></listitem>
</varlistentry>
<varlistentry>
<term
><option
>-p</option
> <replaceable
>prioritat</replaceable
></term>
<listitem>
<para
>Estableix el valor de la prioritat. La prioritat és un número arbitrari entre 0 i 100. El valor per omissió és 50.</para>
</listitem>
</varlistentry>
<varlistentry>
<term
><option
>-r</option
></term>
<listitem
><para
>Usa planificació en temps real.</para>
</listitem>
</varlistentry>
<varlistentry>
<term
><option
>-s</option
></term>
<listitem
><para
>Atura el dimoni tdesu. Veure <xref linkend="sec-password-keeping"/>.</para
></listitem>
</varlistentry>
<varlistentry>
<term
><option
>-t</option
></term>
<listitem
><para
>Habilita l'eixida de terminal. També deshabilita el requeriment de la contrasenya. És molt recomanable per a propòsits de depuració, si desitgeu executar una aplicació en mode consola, en comptes d'aquest empreu el <command
>su</command
> estàndard.</para
> </listitem>
</varlistentry>
<varlistentry>
<term
><option
>-u</option
> <replaceable
> usuari</replaceable
></term>
<listitem
><para
>L'ús més comú per a &tdesu; es executar un comandament com a superusuari, tot i que ase li pot indicar un nom d'usuari i la contrasenya apropiada.</para>
</listitem>
</varlistentry>
</variablelist>
</chapter>
<chapter id="Internals">
<title
>Interioritats</title>
<sect1 id="x-authentication">
<title
>Autenticació X</title>
<para
>El programa que executeu ho farà sota la ID d'usuari del root i generalment no està autoritzat a accedir a la vostra pantalla X. &tdesu; evita aquest problema afegint una galeta d'autenticació per a la pantalla a un fitxer temporal <filename
>.Xauthority</filename
>. Després de que aquest comandament finalitzi, aquest fitxer serà eliminat. </para>
<para
>Si no empreu galetes X, haureu de resoldre aquest problema pel vostre compte. &tdesu; ho detectarà i no afegirà cap galeta però us haureu d'asegurar de que root té permés l'accés a la vostra pantalla.</para>
</sect1>
<sect1 id="interface-to-su">
<title
>Interfície per a <command
>su</command
></title>
<para
>&tdesu; usa el sistema de <command
>su</command
> per adquirir privilegis. En aquesta secció s'expliquen els detalls de com es fa això. </para>
<para
>A causa d'algunes implementacions de <command
>su</command
> (&pex; la de &RedHat;) no volen llegir la contrasenya des de <literal
>stdin</literal
>, &tdesu; crea un parell pty/tty i executa <command
>su</command
> amb els seus descriptors de fitxer (filedescriptors) estàndards connectats a la tty.</para>
<para
>Per executar el comandament seleccionat pel usuari, en comptes d'un intèrpret de comandaments interactiu, &tdesu; usa l'argument <option
>-c</option
> amb <command
>su</command
>. Aquest argument és entès per tots els intèrprets de comandament coneguts pel que hauria de funcionar. <command
>su</command
> passa aquest argument a l'intèrpret de comandaments de l'usuari de destí, i aquest executa el programa. Comandament d'exemple: <command
>su <option
>root -c <replaceable
>el_programa</replaceable
></option
></command
>.</para>
<para
>En comptes d'executar directament el comandament de l'usuari amb <command
>su</command
>, &tdesu; executa un petit programa intermedi anomenat <application
>tdesu_stub</application
>. Aquest intermediari (que s'executa com a usuari de destí), requereix quelcom d'informació de &tdesu; a sobre del canal pty/tty (l'entrada i eixida estàndard de l'intermediari) i després executa el programa de l'usuari. La informació que es passa és: la pantalla X, una galeta d'autenticació X (si està disponible), la variable d'entorn <envar
>PATH</envar
> i el comandament a executar. El motiu pel que s'empra un programa intermedi és que la galeta X és informació privada i per això no es pot passar a través de la línia de comandaments.</para>
</sect1>
<sect1 id="password-checking">
<title
>Comprovació de la contrasenya</title>
<para
>&tdesu; comprovarà la contrasenya introduïda i generarà un missatge d'error si no és correcta. La comprovació es realitza executant un programa de prova: <filename
>/bin/true</filename
>. Si el resultat és positiu, s'asumeix que la contrasenya és correcta.</para>
</sect1>
<sect1 id="sec-password-keeping">
<title
>Conserva la contrasenya</title>
<para
>Per al vostre confort, &tdesu; implementa una característica per a <quote
>conservar la contrasenya</quote
>. Si esteu interessat en la seguretat, hauríeu de llegir aquest paràgraf.</para>
<para
>Si permeteu que &tdesu; conservi les contrasenyes estareu obrint un (petit) forat de seguretat en el vostre sistema. Òbviament, &tdesu; no permet més que a l'identificador del vostre usuari utilitzar les seves contrasenyes, però si es fa sense precaució, s'estaria baixant el nivell de seguretat de <systemitem class="username"
>root</systemitem
> al d'un usuari normal (com ara vos). Un intrús que aconsegueixi accés al vostre compte, podria aconseguir accés automàtic a <systemitem class="username"
>root</systemitem
>. &tdesu; intenta previndre això. L'esquema de seguretat que s'usa és, en la meva opinió, raonablement segur i s'explica tot seguit.</para>
<para
>&tdesu; usa un dimoni, anomenat <application
>tdesud</application
>. El dimoni escolta a un socket de &UNIX; en <filename
>/tmp</filename
> a punt per executar comandaments. El mode del socket és 0600 de tal manera que només el seu identificador d'usuari s'hi pugui connectar. Si s'habilita el conservar la contrasenya, &tdesu; executarà comandaments a través d'aquest dimoni. Escriurà el comandament i la contrasenya de <systemitem class="username"
>root</systemitem
> en el socket i el dimoni executarà el comandament emprant <command
>su</command
>, tal i com s'ha descrit anteriorment. Després d'aquesta operació el comandament i la contrasenya no es descarten. Es registren durant un cert temps. Aquest temps és el valor temps d'expiració que apareix en el mòdul de control. Si li arriba un altre requeriment per al mateix comandament durant aquest periode de temps, el client no tindrà que tornar a introduir la contrasenya. Per evitar que possibles intrusos al vostre compte robin dita contrasenya des del dimoni (per exemple afegint-li un depurador), el dimoni s'instal·la com a set-group-id nogroup. Això hauria de previndre l'obtenció de contrasenyes des del procés <application
>tdesud</application
> per a tots els usuaris normals (vos inclòs). A més a més, el dimoni també estableix la variable d'entorn <envar
>DISPLAY</envar
> al valor que tenia quan s'inicià. L'únic que un intrús pot fer és executar una aplicació sobre la vostra pantalla.</para>
<para
>Un possible problema amb aquest disseny és que els programes que executeu probablement no estan escrits tenint en compte la seguretat (com els programes setuid <systemitem class="username"
>root</systemitem
>). Això principalment vol dir que poden tenir desbordaments de la memòria intermitja o d'altres problemes que un intrús podria explotar.</para>
<para
>L'ús de conservar les contrasenyes és un compromís entre seguretat i comoditat. Us encoratjo a que us ho penseu detingudament i decidiu si voleu o no usar-lo.</para>
</sect1>
</chapter>
<chapter id="Author">
<title
>Autor</title>
<para
>&tdesu;</para>
<para
>Copyright 2000 &Geert.Jansen;</para>
<para
>&tdesu; ha estat escrit per &Geert.Jansen;. Està d'alguna manera basat en la versió 0.3 de &tdesu; d'en Pietro Iglio. En Pietro i jo vàrem acordar que en el futur aquest programa el mantindria jo mateix.</para>
<para
>Es pot contactar amb l'autor a través de correu electrònic en &Geert.Jansen.mail;. Si us plau, informeu de qualsevol error que trobeu de manera que el pugui solventar. Si teniu cap suggeriment, troveu-vos lliure d'enviarme'l, també.</para>
&underFDL; &underArtisticLicense; </chapter>
</book>
<!--
Local Variables:
mode: sgml
sgml-omittag: nil
sgml-shorttag: t
End:
-->
|