Guida all'autodifesa digitale

# 6

1

Sommario

Ricette ­ Installare un sistema cifrato

Scegliere, verificare e installare unprogramma

2

32

Autoproduzione spinta & No­copyright: stampate,riproducete, diffondete.

2

installare un sistema cifrato

Aggiornamento: i software evolvono, per questoè vivamente consigliato di utilizzare la versionepiù recente di questa ricetta, che è disponibile sulsito https://guide.boum.org/.

Durata: mettete in conto una giornata, conmolti momenti d’attesa (a volte lunghi).

Abbiamo visto che tutti i computer, tranne quellicon alcuni sistemi live, lasciano ovunque traccedei file aperti, dei lavori effettuati, delleconnessioni Internet, ecc. Abbiamo anche vistoche un modo per esporre un po’ di meno i daticonservati sul computer è quello di cifrare in totoil sistema sul quale lavoriamo.

Quello che possiamo fare è installare un sistemaoperativo GNU/Linux come Debian o Ubuntu, su

3

una partizione cifrata dell’hard disk. Ad ogniavvio il computer ci chiederà una passphrase persbloccare la decifratura del disco, dopodichépermetterà l’accesso ai dati e l’avvio del sistema.Senza quella passphrase, chiunque vogliaaccedere al contenuto di quel disco si troverà difronte a dei dati indecifrabili.Questo è ciò che faremo con questa ricetta.

LIMITIAttenzione! Questa installazione cifrata semplicenon risolve tutti i problemi di confidenzialità conun colpo di bacchetta magica. Protegge i datisolo in determinate condizioni.

LIMITI DI UN SISTEMA CIFRATOVi raccomandiamo caldamente le letturepreliminari seguenti:

. il capitolo che riguarda la cifratura (e i suoilimiti) (cfr. Guida in italiano #2). il caso di studio “una nuova partenza” (cfr.

4

Guida in italiano #3), che affronta nel dettaglio ilimiti pratici di questo tipo di sistema e gli attacchipossibili.

Ignorando questi limiti, l’installazione di unsistema cifrato può generare un falso senso disicurezza, fonte di grossi problemi.

LIMITI DI UNA NUOVA INSTALLAZIONEQuando si installa un nuovo sistema, si parte dazero.Non c’è alcun modo semplice di verificare che ilCD d’installazione che stiamo utilizzando siaaffidabile e non contenga per esempio deisoftware malevoli. Potremo accorgercene inseguito, ma potrebbe essere troppo tardi.

LIMITI NEL RICONOSCIMENTODELL’HARDWAREUtilizzare un sistema operativo libero comeDebian ha uno svantaggio: i costruttori dicomponenti hardware ci fanno generalmente

5

poca attenzione. A volte potrebbe essere difficile,o anche impossibile, utilizzare un computer o unadelle sue periferiche sotto Debian.

La situazione negli ultimi anni sta migliorando: ilriconoscimento dell’hardware tende a essere piùomogeneo, e sopratutto, la diffusione dei sistemiliberi sta spingendo sempre di più i costruttori afare in modo, indirettamente o no, che i propricomponenti vengano riconosciuti. (1)

Nonostante ciò, prima di sostituire un sistemaoperativo, potrebbe essere una buona ideaaccertarsi che i componenti hardware necessarifunzionino bene, con l’aiuto di un sistema live. Ilsistema Tails, per esempio, è basato su Debian. Icomponenti che funzionano con l’unofunzioneranno senza difficoltà anche con l’altro.

NOTE(1) Per alcuni componenti, potrebbero esserci deiproblemi derivati da difetti di funzionamento nei

6

firmware integrati. Questi problemi a voltevengono corretti tramite degli aggiornamentiforniti dai costruttori stessi. Potrebbe quindiessere una buona idea fare l’aggiornamento delfirmware (BIOS o UEFI), dell’EmbeddedController o di altri componenti, prima diprocedere con l’installazione. Purtroppo questeprocedure sono troppo diverse l’una dall’altra perpoterle dettagliare in questa guida, mageneralmente si possono trovare le istruzioni sulsito dei costruttori.

SCARICARE UN’IMMAGINE PERL’INSTALLAZIONEPer realizzare l’installazione del sistema, la viapiù semplice è quella di utilizzare una pennaUSB, un CD o un DVD. Debian ne propone moltevarianti, e dunque è necessario iniziarescegliendo il metodo che ci sembra il più adattoalla nostra situazione.

7

CON O SENZA DRIVER PROPRIETARI?Alcune periferiche del computer possono averbisogno, per funzionare, che il sistema sia fornitodi un driver non libero. Ma questo non succedesempre.

UN DRI-COSA?Questi driver sono dei programmi che hanno laparticolarità di poter essere eseguiti su dei chipall’interno della periferica e non all’interno delprocessore del computer. E’ il caso per esempiodel programma che controlla il movimento delleparti meccaniche di un hard disk o ilfunzionamento del sistema radio di una schedaWi­Fi. Possiamo benissimo anche non accorgercidella loro esistenza, perché la maggior parte deidriver sono rilasciati direttamente con l’hardware.Ma nel caso di altre periferiche, il sistemaoperativo deve poter inviare il driver a uncomponente mentre si avvia.

I driver liberi sono rilasciati con il programma

8

d’installazione di Debian. Purtroppo la maggiorparte dei driver non sono liberi. Quindi siamo noiche dobbiamo mettere a disposizione delprogramma d’installazione di Debian tutti i driverproprietari necessari al funzionamento delcomputer: questo è il caso tipicamente di alcuneschede Wi­Fi.

UN’ALTRA STORIA DI COMPROMESSISe vogliamo installare il nostro sistema cifrato suun computer portatile, è molto probabile chesiano necessari dei driver per far andare lascheda Wi­Fi o per avere una buona risoluzionedel monitor.

Su un computer fisso senza Wi­Fi, è abbastanzaplausibile che il nostro sistema cifrato possafunzionare correttamente senza dover aggiungeredriver.

Anche se non ne abbiamo prove, potremmotemere che il driver proprietario di una scheda Wi­

9

Fi possa spiarci a nostra insaputa. D’altra parte,senza quel driver la scheda semplicemente nonfunzionerà. Ancora una volta si tratta di scenderea compromessi.

L’IMMAGINE PER L’INSTALLAZIONE VIARETEIl modo piu’ rapido è quello di utilizzareun’immagine d’installazione via rete, che contienesolo le primissime parti iniziali del sistema.L’installer si scaricherà in seguito, tramiteInternet, il software da installare. E’ dunquenecessario che il computer sul quale vogliamoinstallare Debian sia connesso a Internet,preferibilmente attraverso un cavo di rete (e noncon il Wi­Fi, che all’interno del softwared’installazione funziona solo raramente).

Esistono vari file (chiamati “immagini”) checontengono una copia dell’immagined’installazione, a seconda dell’architettura delprocessore. Nella maggior parte dei casi,

10

occorrerà scaricare quello il cui nome finisce peramd64­i386­netinst.iso, detto “multi­architettura”,che supporta le architetture a 32 e 64 bit e chefunzionerà sulla maggior parte dei computerdomestici costruiti dopo il 2006 (1)

Poi bisogna scegliere tra la versione contenentidriver proprietari (2) e quella interamente libera,senza software proprietario (3).

L’IMMAGINE CON L’AMBIENTEGRAFICOSe non possiamo connettere a Internet ilcomputer sul quale vogliamo installare Debian,possiamo scaricare un DVD contenente tutto ilsistema di base, compreso il nostro abitualeambiente grafico. Per fare ciò dobbiamo avereaccesso a un masterizzatore DVD o a una pennaUSB di almeno 4 GB.

Come per l’installazione via rete, dobbiamoscegliere l’immagine corrispondente alla nostra

11

architettura (4).

Per l’installazione è necessario soltanto il primoDVD. Il nome del file da scaricare può finisce con­i386­DVD­1.iso (32 bit), o con ­amd64­DVD­1.iso (64 bit).

NOTE1) Alcuni computer portatili utilizzanol’archittettura ARM, ma gli autori di questa guidanon l’hanno mai incontrati per poterli testare.2) Immagini multi­architettura per l’installazionevia rete contenenti i driver proprietari sul sito diDebian —> http://cugulo.vado.li/3) Immagini multi­architettura ufficiali perl’installazione via rete sul sito di Debian —>http://becozu.vado.li/4) Immagini DVD per l’installazione di Debian suvarie architetture —> http://mitapu.vado.li/

12

VERIFICARE L’IMMAGINEE’ buona norma assicurarsi che il downloaddell’immagine si sia svolto correttamentecontrollando il checksum dell’installer, perverificarne l’integrità e l’autenticità (cfr. Guida initaliano #2). Dobbiamo allora procedere in duefasi, nella prima ci assicuriamo dell’integrità, nellaseconda dell’autenticità.

Per farlo, è necessario avviare un sitema giàinstallato. Se abbiamo accesso a un computercon GNU/Linux, per esempio quello di un’amica,benissimo. Se disponiamo soltanto di un sistemalive, possiamo copiare l’immagine scaricatadentro una penna USB e poi verificarla all’internodel sistema live.

VERIFICARE L’INTEGRITA’Per fare questa cosa dobbiamo seguire la ricettache riguarda i checksum (cfr. Guida in italiano #2). Dovremo calcolare il checksum SHA512dell'immagine che abbiamo scaricato e verificare

13

se corrisponde a quella contenuto nel fileSHA512SUMS contenuto nella stessa directorydove abbiamo trovato l'immagine da scaricare.

VERIFICARE L'AUTENTICITA'Se la verifica dell'integrità è andata bene, dopoaver visto che i due checksum corrispondono,possiamo continuare nel processo verificandol'autenticità. Un avversario avrebbe potuto fornirciun'immagine associata a un checksum, entrambifalsi. La verifica precedente ci permette soltantodi controllare che il file scaricato è proprio quelloche era disponibile sul sito, ma non se è proprioquello che volevamo ottenere. Più avanti laGuida spiegherà come assicurarsi dell'autenticitàdell'immagine scaricata, affidandosi al fatto che ilchecksum è firmato con GnuGP, che utilizza lacrittografia asimmetrica. Dovremo quindiaspettare la ricetta che riguarda la verifica di unafirma (oppure precorrere i tempi consultando laGuida in francese, non ancora tradotta:http://petati.vado.li/ NDT). Dopo aver scaricato il

14

file SHA1SUMS.sign, seguire i passi chepermettono di verificare la firma crittografica delfile SHA512SUMS.

PREPARARE I SUPPORTI PERL'INSTALLAZIONEUna volta che abbiamo scelto l'immagine,l'abbiamo scaricata e verificata, non ci resta cheinstallarla su una penna USB, un CD o un DVD.

CREARE UNA PENNA USB PERL'INSTALLAZIONEIl caso più facile è quello in cui disponiamo di unapenna USB vuota, o che contiene soltanto dati aiquali non teniamo, e in cui abbiamo accesso a unsistema basato su Linux, come Debian o Tails.

Attenzione: i dati eventualmente presenti sullapenna andranno perduti. E invece sarà facileanalizzare la penna per ritrovare i file il cuicontenuto non era stato cancellato davvero inprecedenza.. (cfr. Guida in italiano #2)

15

Aprire Volumi, a partire dalla vista d'insieme delleAttività: premere il tasto ( suMac), poi scrivere "volume" e cliccare su"Volumi".

Una volta aperta la finestra Volumi, possiamoattaccare la nostra penna USB. Nell'elenco asinistra apparirà una voce corrispondente.Clicchiamoci per selezionarla.

Clicchiamo poi sul menu e selezioniamoRipristino dell'immagine del volume.. DentroImmagine da ripristinare, selezioniamo l'immagineISO che abbiamo scaricato. Clicchiamo suAvviare il ripristino.

Ci apparirà un messaggio che ci chiede sevogliamo veramente riscrivere l'immagine sullaperiferica. Controlliamo che le dimensioni e ilmodello della periferica corrispondano alledimensioni e al modello della nostra penna USB.Se è così, clicchiamo su Ripristina.

16

A questo punto ci viene chiesta la password diamministrazione, gliela diamo e ci autentichiamoper lanciare la scrittura sulla penna. Una voltafinito il ripristino, cliccare su per espellere lapenna.

MASTERIZZARE L'IMMAGINE SU UN CDO UN DVDSe non abbiamo una penna USB o non abbiamoaccesso a un sistema Linux, possiamomasterizzare l'immagine su un CD o un DVD.

Il file che abbiamo scaricato è un'"immagineISO", ovvero un formato di file che la maggiorparte dei programma di masterizzazionericonoscono con questo nome. In generale, seinseriamo un disco vuoto nel lettore, ilprogramma di masterizzazione si occuperà giàda solo di trasformare questa immaginescrivendola sul disco ­ in ogni caso, funziona cosìsu Tails, e in genere anche su Debian e Ubuntu.

17

Sotto Windows, se non abbiamo già installato unprogramma capace di masterizzare immaginiISO, il programma libero InfraRecorder farà alcaso vostro.

LA VERA E PROPRIA INSTALLAZIONEPer installare una Debian cifrata, bisogna farpartire la nostra immagine (che sia su CD, DVD openna USB) seguendo la ricetta corrispondentesull'avvio da supporto esterno (cfr. Guida initaliano #5).

Adesso l'installazione vera e propria può iniziare:mettete in conto un po' di tempo e un po' diparole crociate, perché il computer potrà doverlavorare per diverso tempo senza che voidobbiate fare niente di particolare.

Controllate, nel caso di un'immagined'installazione via rete, che il cavo di rete siaattaccato bene. E se si tratta di un portatile,controllate che sia attaccato bene anche il cavo

18

dell'alimentatore, perché durante l'installazionenon vi appariranno le notifiche per la batteria chesi sta scaricando.

Il programma di installazione di Debian ha unasua propria documentazione (1). In caso di dubbisui passi che stiamo per spiegare, potete darciun'occhiata. Tenete anche presente che per lamaggior parte delle scelte che ci verrà chiesto dicompiere, il programma di installazione ciproporrà automaticamente una risposta chegeneralmente funziona..

LANCIARE L'INSTALLERFacciamo insomma avviare l'immagine (da CD,DVD o penna USB). Ci apparirà un primo menùchiamato Debian GNU/Linux installer boot menu.

Nel caso in cui abbiamo scelto un CD multi­architettura, l'opzione selezionata in automaticoall'inizio sarà "Graphical install" e troveremoun'altra opzione disponibile "32­bit install

19

options"; in questo caso, l'installer si è accortoche il nostro processore è compatibile conl'architettura amd64, il che comporta qualchevantaggio in termini di sicurezza. Premete invioper proseguire.

SCEGLIERE LA LINGUA E LADISPOSIZIONE DELLA TASTIERADopo un po' di pazienza, apparirà un menùchiamato Select a language: l'installer ci proponedi scegliere la lingua dell'installazione.Selezionare italiano. Per passare alle tappesuccessive, bisognerà ogni volta cliccare suContinua. Un altro menù ci chiederà il paese, peraffinare l'adattamento del sistema. Scegliamo ilnostro luogo gegrafico. In Configurare la tastiera,conviene lasciare la scelta di default IT, a menoche non abbiamo esigenze particolari. A questopunto l'installer caricherà i file di cui ha bisogno.

20

CONFIGURAZIONE DELLA RETE EBATTESIMO DELLA MACCHINAL'installer si prende quindi un po' di tempo perconfigurare la rete. Se il nostro computer ha piùdi una scheda di rete, bisogna scegliere quella dicui vogliamo servirci durante l'installazione. Lascelta di default generalmente è quella giusta, sitratterà di una scheda di rete Ethernet. Di seguitoci verrà chiesto il Nome della macchina.Scegliamo un nome breve per il nostro computer,tenendo presente che questo nome in seguitorisulterà visibile in rete e potrà anche esserescritto nei file creati o modificati. L'installer cichiede poi un Dominio. Senza entrare neidettagli, è meglio lasciare questo campo vuoto(cancellando quindi quello che l'installer haeventualmente pre­compilato).

CREARE GLI UTENTI E SCEGLIERE LEPASSWORDL'installer ci chiederà adesso di scegliere lapassword dell'amministratore (root). Si tratta di

21

una password necessaria per compiere leoperazioni di amministrazione del computer:aggiornamenti, installazione di nuovo software,modifiche importanti al sistema..

E' però più semplice risparmiare un'ulteriorepassword e permettere che il primo utente creatosul sistema abbia i diriti di compiere le operazionidi amministrazione (2), ridomandandogli lapassword ogni volta. Per fare questo, basta noninserire alcuna password per l'amministratore:lasciamo quindi semplicemente vuoto il campo eclicchiamo su Continua.In Nome completo del nuovo utente scegliamo ilnome associato al primo utente creato sulsistema. Questo nome verrà spesso salvato neidocumenti creati o modificati; potrebbe quindiessere interessante scegliere un nuovopseudonimo. In Nome utente, scegliere un nomeper il login dell'utente. Viene pre­compilato didefault, ma potete modificarlo. L'installer fa inmodo che, nel caso in cui vogliate cambiarlo, che

22

il nome utente cominci con una lettera minuscolaseguita da un numero qualsiasi di numeri elettere minuscole. L'installer ci chiede unapassword per l'utente. Sarà la password con cuisi avranno i diritti di amministrare il computer,sempre che in precedenza non abbiamo sceltouna password per l'utente amministratore.

PARTIZIONARE I DISCHIA questo punto partirà lo strumento per ilpartizionamento. Verranno trovate le partizionipresenti e ci verrà proposto di modificarle.Nel menù Metodo di partizionamento, scegliereGuidato ­ usa l'intero disco e imposta LVMcifrato. Tra i dischi da partizionare scegliere ildisco sul quale vogliamo installare DebianGnu/Linug. Se vogliamo cancellare il sistemaattualmente installato, si tratta generalmente delprimo disco della lista. Le dimensioni del discosono un indicatore che permette di nonsbagliare, per evitare per esempio di installareDebian sulla penna USB da cui stiamo facendo

23

girare l'installer. Ci vengono poi proposti diversiMetodi di partizionamento. Segliamo Tutt i file inuna partizione. L'installer ci avverte quindi chestiamo per applicare lo schema dipartizionamento che abbiamo scelto, e che ciòsarà irreversibile. Visto che ci siamo prima salvatii dati che volevamo conservare, possiamorispondere Si alla domanda se vogliamo scriverele modifiche sui dischi e passare allaconfigurazione di LVM. A questo punto l'installerprocede rimpiazzando il vecchio contenuto deldisco con dei dati aleatori. E' un'operazionelunga ­ alcune ore per un disco molto grande ­ ilche ci lascia il tempo per fare altre cose. Unavolta finito, l'installer ci chiederà una passphraseper la cifratura. Scegliamo una buonapassphrase (cfr. Guida in italiano #5), digitarla epoi confermarla riscrivendola una seconda volta.L'installer mostrerà un elenco di tutte le partizioniche sta per creare. Diamogli fiducia e lasciamoche termini il partizionamento e applichi icambiamenti. L'installer ci avvertirà che sta per

24

scrivere le modifiche sul disco. Il disco a questopunto è già stato riempito con dati aleatori, quindise ci avevamo lasciato sopra dei dati importanti liabbiamo già persi. Possiamo quindi rispondereSi alla domanda se appplicare o no icambiamenti sul disco. Vengono create lepartizioni, il che prenderà un po' di tempo.

INSTALLAZIONE DEL SISTEMA BASEAdesso verrà installato un sistema GNU/Linuxminimal. Lasciamolo fare..

CONFIGURARE IL GESTORE DEI PACCHETTISe l'installer ci propone di utilizzare una fontediversa da quella che stiamo usando, lasciamo lascelta di default, ovvero No.

La domanda seguente riguarda il server dalquale scaricare i programmi. Se non compare inquesto momento non dobbiamo preoccuparci,succede solo perché l'installer che stiamousando non ha bisogno della rete per proseguire.

25

In questo caso, ce lo chiederà più tardi nel corsodell'installazione.L'installer ci chiederà di scegliere il paese delmirror dell'archivio Debian. La scelta di defaultper l'Italia può andare bene se ci troviamo inItalia. Ci chiede poi il mirror dell'archivio Debianche vogliamo utilizzare. La scelta di defaultftp.it.debian.org va benissimo. Ci viene chiestopoi se abbiamo bisogno di un Proxy HTTP.Lasciamo il campo vuoto. A questo puntol'installer proseguirà scaricandosi i file di cui habisogno per continuare.

SCELTA DEI PACCHETTILa prossima domanda riguarda il ConcorsoPopolarità Pacchetti Debian e ci chiede sevogliamo partecipare allo studio statisticosull'utilizzo dei pacchetti. Possiamo rispondere disi senza rischiare di divulgare troppeinformazioni supplementari: dato che iprogrammi verranno in ogni caso scaricati daiserver Debian, potrebbero già sapere quali

26

pacchetti stiamo utilizzando, se volessero.

Ora dobbiamo scegliere quali programmiinstallare. In genere le scelte di base sono:ambiente desktop Debian, server di stampa eUtilità di sistema standard.

L'installer si scaricherà tutto il resto del sistemaDebian GNU/Linux e l'installerà­ E' un processolungo, c'è il tempo di andare a fare qualcos'altro.

INSTALLAZIONE DEL BOOTLOADERGRUBL'installer propone di impostare il bootloader, ilprogramma che permette di lanciare Linux, suuna parte dell'hard disk chiamata "Master BootRecord (MBR)". Quando ci viene chiesto seinstallare il bootloader GRUB nel Master BootRecord, rispondiamo di si.

L'installer chiederà di scegliere la periferica in cuiinstallare il bootloader. Scegliamo l'hard disk

27

interno, che in genere sarà /dev/sda. Seabbiamo dubbi, un buon indizio è quello discegliere il primo disco nella lista il cui nomecontiene ata o sata.

Quando ha finito, l'installer propone di riavviare ilcomputer verificando prima che il supportod'installazione (CD, DVD, penna USB) non siapiù inserito al momento del riavvio. ScegliereContinua.

AVVIARE IL NUOVO SISTEMAIl computer riavvia il nuovo sistema. A un certopunto ci chiederà la passphrase su unaschermata nera: "Please unlock disk".Scriviamola, senza preoccuparci del fatto chenon si vede cosa stiamo scrivendo, e poi dareinvio. (3)

Dopo l'avvio di un certo numero di programmi,apparirà una schermata con il nome dellamacchina e il nome dell'utente che abbiamo

28

scelto in precedenza. Selezioniamo l'utente eimmettiamo la password associata.

Ecco qua, un nuovo sistema Debian cifrato èpronto per essere utilizzato. Per chi non ne hamai usato uno può essere una buona idea farsiun giro intorno per familiarizzarcisi. La vistad'insieme delle Attività, che si apre cliccando suAttività in alto a sinistra sullo schermo opremendo il tasto ( su Mac) permette diaccedere a molti programmi già installati. Pertrovare un programma, si scrive una parola chene descriva la funzione (per esempio "immagine"per trovare i programmi che lavorano con leimmagini). Per visualizzare tutti i programmiinstallati, clicchiamo su in basso a sinistra.Cliccando su Aiuto,nella vista d'insieme delleAttività, possiamo accedere a delle pagine diaiuto contenenti diversi consigli e trucchi.

1) Il manuale d'installazione è disponibile indiverse versioni. Dovremo seguire quello

29

corrispondente all'architettura del processore. ­­>http://ligenu.vado.li/

2) Questa modalità è chiamata sudo, perchédentro il terminale sarà possibile, aggiungendosudo all'inizio della riga, eseguire un comando inqualità di amministratore.

3) Se non abbiamo molta dimesticheza con latastiera, nei primi tempi potrebbe spesso capitaredi fare errori nella frase, per cui non verrà fuoriniente. Non preoccupiamoci per i ripetuti errori,insistiamo finchè non riusciamo a scriverlagiusta. Dopo qualche tempo ci verrà automatico,e gli errori di battitura saranno più rari. Detto ciò,non costa niente verificare sempre di non averpremuto per sbaglio il tasto CapsLock per lamaiuscole, altrimenti potrebbe passare moltotempo prima di riuscire a sbloccare l'hard disk.

30

QUALCHE CONSIGLIO PERCONTINUAREPotrebbe essere utile a questo punto imparare afare il backup dei propri dati (cfr. Guida in italiano#8) e a cancellarli davvero (cfr. Guida in italiano#7).

E' importante anche imparare a mantenereaggiornato il proprio sistema. Regolarmentevengono scoperti problemi che riguardano i variprogrammi, ed è importante installare lecorrezioni nella misura in cui vengono resedisponibili.

UN PO' DI DOCUMENTAZIONE SUDEBIAN E GNU/LINUXEcco qualche riferimento per la documentazionedi Debian e GNU/Linux:La guida di riferimento ufficiale di Debian ­­>http://revuza.vado.li/La pagina iniziale della documentazione ufficialeper l'utilizzo di Debian ­­>

31

http://zafica.vado.li/La guida all'amministrazione di Debian ­­>http://lotusa.vado.li/

Sull'utilizzo di GNU/Linux si trova moltissimadocumentazione. Queste risorse spesso sonomolto utili, ma, come succede sovente suInternet, sono purtroppo anche di varia qualità. Inparticolare, molte di esse smettono di funzionarequando una parte del sistema viene modificato, oterranno poco in considerazione l'intimità chedesideriamo preservare nel nostro sistema.Bisogna quindi premunirsi di spirito critico ecercare di capirle bene prima di metterle inpratica.

Detto ciò, ecco qualche altra risorsa di wiki eforum:Il wiki ufficiale di Debian (tradotto parzialmentedall'inglese) ­­>https://wiki.debian.org/it/FrontPageIl forum italiano su Debian ­­> debianitalia.org

32

Scegliere, verificare e installareun programma

Questa parte propone qualche ricetta riguardoalla gestione dei programmi:

­ Come si trova un pacchetto Debian?Quando vogliamo realizzare nuovi progetti conun computer, spesso dobbiamo installare deinuovi programmi.. ecco qualche consiglio pertrovare quel che cerchiamo su Debian;­ Con quali criteri scegliere?A volte dobbiamo scegliere un programma chefaccia una determinata cosa e finisce spesso checi sentiamo spersi nella moltitudine dellesoluzioni disponibili.Vediamo quindi qualche criterio che puòpermetterci di prendere la giusta decisione.­ Come si installa un pacchetto Debian?Una volta che sappiamo quale pacchettocontiene il programma che vogliamo usare, nonresta che installarlo correttamente;

33

­ Come si modificano i propri repository Debian?I pacchetti Debian che contengono i programmisi trovano in ciò che viene chiamato repository.Anche se quelli forniti da Debian contengonoquasi tutti i programmi di cui possiamo averbisogno, a volte è utile potere aggiungere nuovirepository.

TROVARE UN PROGRAMMA

Aggiornamento: i software evolvono, per questoè vivamente consigliato di utilizzare la versionepiù recente di questa ricetta, che è disponibilesul sito https://guide.boum.org/.

Durata: da 5 minuti (se sappiamo il nome delprogramma che stiamo cercando) a unamezz’ora (se partiamo invece da zero).

Talvolta sappiamo già il nome del programmache vogliamo installare – perché ce l’hannoconsigliato, perché l’abbiamo trovato su Internet..

34

– e vogliamo sapere se si trova già dentroDebian. Altre volte sappiamo soltanto quello concui vorremmo il programma ci aiutasse. In ognicaso, il database dei software disponibili dentroDebian risponderà di sicuro alla nostra domanda.

Per compiere delle scelte oculate, dato che cisono vari programmi che fanno la stessa cosa,potete consultare la ricetta “Scegliere unprogramma” (nelle pagine seguenti).

­ Aprire il Gestore dei pacchetti: accedere allavista d’insieme delle Attività premendo il tasto

( su Mac), poi scrivere “pacchetto”e cliccare su “Gestore dei pacchetti Synaptic”.­ Dato che il gestore dei pacchetti consente dimodificare i programmi installati nel computer, edunque di scegliere di quali programmi fidarsi, cisentiremo rassicurati dal fatto che per aprirlo civerrà chiesta la nostra password.­ Una volta dentro il gestore dei pacchetti,iniziamo aggiornando la lista dei pacchetti

35

disponibili cliccando sull’icona “Aggiorna”. Ilgestore di pacchetti si scaricherà da un serverDebian le ultime informazioni sui pacchettidisponibili.­ A questo punto ci sono due tecniche percercare un pacchetto:a) cliccare sull’icona “Cerca” nella barra deglistrumenti. Qui verificare che in “Cerca in” siaselezionato “Descrizione e nome”. Scrivere delleparole chiave o il nome dell’applicazione nelcampo “Cerca” (per esempio “dizionario tedescoopenoffice”). Le descrizioni dei programmi pocousati raramente sono tradotti dall’inglese, provatequindi anche in inglese. Cliccare su “Cerca” perlanciare la ricerca;b) selezionare una categoria nella colonna disinistra.

­ I risultati della ricerca o i pacchetti dellacategoria saranno visualizzati nella lista in alto adestra. Cliccando sul nome di un pacchetto,apparirà la sua descrizione nel riquadro in basso

36

a destra.­ Non resta adesso che installare il pacchettocorrispondente (vedi pagine seguenti).

CRITERI DI SCELTA

Aggiornamento: i software evolvono, per questoè vivamente consigliato di utilizzare la versionepiù recente di questa ricetta, che è disponibilesul sito https://guide.boum.org/.

Durata: da una mezz’ora a un’ora.

Abbiamo già spiegato i motivi per cui sceglieredei software liberi invece che proprietari. Nellepagine seguenti vedremo quindi solo qualiscegliere tra questi.

METODI DI INSTALLAZIONEIn genere è meglio installare il software fornitodalla propria distribuzione GNU/Linux (adesempio Debian). Per due fondamentali motivi.

37

Prima di tutto per una questione pratica: ladistribuzione fornisce gli strumenti per installaree aggiornare, in modo più o meno automatico, uninsieme di programmi; in questo modo veniamoanche messi in guardia quando viene trovatauna falla di sicurezza in uno dei programmi chestiamo utilizzando. Quando invece installiamo unsoftware che non è fornito con la nostradistribuzione, siamo lasciati a noi stessi:dobbiamo ricordarci noi di aggiornarlo, tenerciinformati sugli eventuali buchi di sicurezza chepossono venire scoperti, gestire le dipendenzetra programmi. Questo comporta energie, tempoe competenze.

Poi c’è anche una questione di sicurezza:quando si sceglie una distribuzione GNU/Linux sidecide implicitamente di fidarci di una comunità,di un processo di produzione. Installare unsoftware che non è fornito con quelladistribuzione vuol dire prendere di nuovo unasimile decisione riguardo a un’altra comunità e a

38

un altro processo di produzione. Questadecisione non va presa alla leggera: quando sidecide di installare un programma che nonappartiene alla nostra distribuzione, stiamoallargando l’insieme di persone e di procedure dicui ci stiamo fidando, aumentando quindi i rischi.

MATURITÀL’attrazione verso il nuovo, spesso è unatrappola.

Quando è possibile, sarebbe invece meglioscegliere un programma che abbia raggiunto unacerta maturità: è probabile che all’interno di unsoftware sviluppato attivamente e utilizzatoalmeno da qualche anno, i principali problemisiano già stati scoperti e corretti.. compresi ibuchi di sicurezza.Per rendersene conto basta consultare lo storicodi ciascun programma, sul rispettivo sito web odentro un file chiamato Changelog,generalmente distribuito insieme al software.

39

PROCESSO DI PRODUZIONE E COMUNITÀLa dicitura software libero è un criterioessenzialmente giuridico, che non deve maibastarci per ispirarci fiducia.Certo, il fatto che un software venga rilasciatosotto una licenza libera, apre la possibilità a untipo di sviluppo rassicurante.Ma le persone che sviluppano questo softwarepotrebbero benissimo, intenzionalmente o no,scoraggiare ogni tipo di cooperazione e lavorarein modo isolato. Cosa importa allora che ilprogramma sia giuridicamente libero se, di fatto,nessun altro potrà mai leggerne il codice?

Bisogna quindi studiarsi rapidamente il processodi produzione dei software che stiamo prendendoin esame, aiutandosi con le domande qui sotto,che ci permetteranno inoltre di giudicarne ildinamismo:

­ Chi è che lo sviluppa? Una persona, piùpersone, un intero gruppo?

40

­ Il numero di persone che contribuisce al codicesta aumentando o diminuendo?­ Lo sviluppo è attivo? In questo caso non sitratta di velocità, ma di reattività, dimantenimento nel lungo termine, di resistenza.Lo sviluppo di un software è una maratona, nonuno sprint.

E riguardo gli strumenti di comunicazionecollettiva sui quali si appoggia lo sviluppo(mailing­list e forum di discussione, peresempio):

­ Si può accedere con facilità alle discussioni cheriguardano lo sviluppo del codice?­ Queste discussioni coinvolgono molte persone?­ Sono solo gli utenti a partecipare a questediscussioni?­ Che atmosfera c’è? Calma piatta, silenziotombale, una gioiosa cacofonia, serietà glaciale,braccia aperte, implicita ostilità, teneracomplicità, etc. ?

41

­ Il volume delle discussioni, negli ultimianni/mesi, sta diminuendo o aumentando? Piùche il rumore di fondo, ciò che importa sonosopratutto i messaggi che ottengono unarisposta: un software maturo, stabile e bendocumentato non sarà necessariamente fonte didiscussione, ma se non c’è nessuno pronto arispondere alle domande dei neofiti, questopotrebbe essere un brutto segno.­ Si trovano dei feedback, dei suggerimenti dimiglioramento? Se sì, vengono presi inconsiderazione?­ Le risposte vengono date sempre da unnumero ridotto di persone, oppure esistono dellepratiche più larghe di mutuo aiuto?

POPOLARITÀLa popolarità è un criterio delicato in materia disoftware. Il fatto che la maggior parte deicomputer negli uffici funzionino attualmente conWindows non significa affatto che Windows sia ilmiglior sistema operativo a disposizione.

42

Ma d’altra parte, se un software non è utilizzatoda nessuno viene da mettere in dubbio la suasopravvivenza nel lungo periodo: se il team disviluppo smettesse di lavorare su questosoftware, cosa ne sarebbe? Chi se ne farebbecarico?

Come regola generale, dobbiamo quindiscegliere un software usato da un numerosufficientemente importante di persone, ma nonper forza il più utilizzato.

Per misurare la popolarità di un programma, èpossibile da un lato utilizzare gli stessi criteri cheabbiamo descritto sopra riguardo il dinamismodella comunità che ha intorno. Dall’altro, Debianpubblica i risultati del suo popularity contest (1),che permette di confrontare non solo il numero dipersone che hanno installato questo o quelprogramma, ma anche e sopratutto l’evoluzionenel tempo della loro popolarità.

43

LO STORICO SULLA SICUREZZAEcco un altro criterio a doppio taglio.

Si può cominciare dando un’occhiata agli avvisidi sicurezza (2) proposti da Debian. Cercando unprogramma con il suo nome, si ottiene la lista deiproblemi di sicurezza che sono stati scoperti e avolte risolti.

Se un programma ha uno storico sulla sicurezzaperfettamente immacolato, potrebbeimplicitamente voler dire o che tutti se nefregano, o che il codice è stato scritto in modoestremamente rigoroso.

Se invece sono stati trovati dei buchi disicurezza, ci possono essere diverseimplicazioni, a volte contraddittorie tra loro.

­ I buchi sono stati scoperti e corretti:­> quindi non esistono più, a priori;­> quindi qualcuno si è preoccupato di

44

trovarli e qualcun altro di correggerli: si supponeun’attenzione alla questione.

­ Questi buchi esistevano:­> il codice potrebbe essere stato scritto

senza una cura particolare alla sicurezza;­> potrebbero esisterne altri, non ancora

scoperti o peggio, non ancora resi pubblici.

Per affinare il nostro intuito rispetto a unsoftware, potrebbe essere utile fare affidamentosul criterio del “tempo”: per esempio, non è unacosa drammatica se all’inizio dello sviluppo di unsoftware vengono scoperti dei buchi e poi non nesono stati scoperti altri per un po’ di anni;potremmo considerarli errori di giovinezza. Alcontrario, se vengono regolarmente scopertenuove falle, da anni e anche recentemente, èragionevole pensare che il software abbia ancoramolti problemi di sicurezza totalmentesconosciuti.. o non resi pubblici. Ma un numerorelativamente alto di problemi, anche recenti, può

45

indicare una comunità di sviluppo attiva ed è unsegno migliore rispetto a nessuna falla, perché inquel caso vorrebbe dire che nessuno se neoccupa.

TEAM DI SVILUPPOChi ha scritto questo software? Se siamo ingrado di rispondere a questa domanda, ci sonodiversi fattori che possono aiutarci a determinareche grado di fiducia accordare al team disviluppo. Per esempio:

Le stesse persone hanno scritto anche un altrosoftware, che stiamo già usandofrequentemente; le nostre impressioni suquest’altro software sono molto utili per farciun’idea.

Membri del team di sviluppo hanno dei indirizzimail che finiscono per @debian.org, e hannoquindi il permesso di modificare i programmiforniti da Debian GNU/Linux; se stiamo usando

46

questa distribuzione, stiamo già fidandoci, inqualche modo, di queste persone.

Membri del team di sviluppo hanno degli indirizzimail che finiscono per @google.com, questoindica che li paga Google; anche se non vi èalcun dubbio sulle loro competenze tecniche,possiamo chiederci fino a che punto il loro lavorovenga manovrato dai loro datori di lavoro che,invece, non meritano nessuna fiducia riguardoalla salvaguardia dei vostri dati personali.

NOTE:

1) https://popcon.debian.org

2) Il Security Team di Debian mantiene leinformazioni riguardo ciascun pacchetto nelSecurity Tracker.https://security­tracker.debian.org

47

INSTALLARE UN PACCHETTO DEBIAN

Aggiornamento: i software evolvono, per questoè vivamente consigliato di utilizzare la versionepiù recente di questa ricetta, che è disponibilesul sito https://guide.boum.org/.

Durata: 5 minuti, più il tempo di scaricamentoe installazione (da qualche secondo adalcune ore, a seconda della grandezza delsoftware da installare e dalla velocità dellaconnessione).

APRIRE IL GESTORE DEI PACCHETTIUna volta che sappiamo in quale pacchetto ècontenuto il programma che vogliamo utilizzare,non resta che installarlo.Per farlo utilizzeremo il gestore dei pacchettiSynaptic, che possiamo aprire partendo dallavista d’insieme delle Attività e premendo il tasto

( su Mac), poi scrivendo“pacchetto” e cliccando su “Gestore dei pacchetti

48

Synaptic”.Dato che il gestore dei pacchetti consente dimodificare i programmi installati sul computer,per aprirlo viene richiesta una password.

AGGIORNARE LA LISTA DEI PACCHETTIDISPONIBILIUna volta dentro al gestore dei pacchetti,iniziamo aggiornando la lista dei pacchettidisponibili cliccando sull’icona “Aggiorna”. Ilgestore dei pacchetti si scaricherà dai serverDebian le ultime informazioni sui pacchettidisponibili.

CERCARE IL PACCHETTO DA INSTALLAREA questo punto va trovato il pacchetto chevogliamo installare. Clicchiamo sull’icona “Cerca”nella barra degli strumenti. Qui, se conosciamo ilnome di questo pacchetto lo scriviamo nelcampo “Cerca”, dopo aver selezionato “Nome”nel menù a tendina “Cerca in”.

49

SELEZIONARE IL PACCHETTO DAINSTALLAREAdesso arriva la fase vera e propriad’installazione del pacchetto che abbiamoprecedentemente trovato. Ci sono diversi modiper farlo, a seconda che preferiamo utilizzare laversione disponibile nei repository ufficiali oppureun pacchetto proveniente da un altro repository,per averne ad esempio una versione più recente.

INSTALLARE LA VERSIONE PREDEFINITANormalmente il pacchetto cercato si trova daqualche parte all’interno della lista dei pacchetti.Una volta trovata la riga corrispondente, ciclicchiamo sopra con il destro e nel menù cheappare scegliamo “Installa”.Se questo pacchetto dipende da altri pacchetti, ilgestore dei pacchetti apre una finestra dove cichiede di “Selezionare le ulteriori modificherichieste”. In genere le sue proposte sonosensate, possiamo quindi accettare cliccando su“Aggiungi alla selezione”.

50

INSTALLARE UNA VERSIONE PARTICOLAREA volte capita di dover installare una versioneparticolare di un pacchetto. Per esempio nelcaso in cui siano stati aggiunti dei repositoryspecifici. Invece di scegliere “Installa” nel menùcontestuale, selezioniamo il pacchetto desideratocliccando col sinistro, senza cliccare sulla casellaaccanto, e poi nel menù “Pacchetto” scegliere“Forza versione…”. Selezioniamo quindi laversione desiderata. Il resto non cambia.

UTILIZZARE DEI BACKPORT

Aggiornamento: i software evolvono, per questoè vivamente consigliato di utilizzare la versionepiù recente di questa ricetta, che è disponibilesul sito https://guide.boum.org/.

Durata: da un quarto d’ora a una mezz’ora.

I pacchetti Debian che contengono i programmisi trovano dentro quello che viene chiamato un

51

repository. Se i repository forniti con Debiancontengono quasi tutti i programmi di cuipotremmo aver bisogno, a volte è invece utileinstallare dei programmi più recenti rispetto aquelli contenuti nell’ultima versione stabile diDebian. Questi pacchetti vengono chiamatibackport.

Attenzione: aggiungere un nuovo repositoryDebian su un computer significa fidarsi dellepersone che se ne occupano. Anche se irepository backport di cui parliamo qui di seguitosono mantenuti da membri di Debian, per moltialtri repository non è così. La decisione di fidarsidi loro non deve essere presa alla leggera: se ilrepository in questione contiene del softwaremalevolo, ce lo ritroveremo installato sulcomputer senza neanche rendercene conto.

APRIRE IL GESTORE DEI PACCHETTIAprire il Gestore dei pacchetti: accedere allavista d’insieme delle Attività premendo il tasto

52

( su Mac), poi scrivere"pacchetto" e cliccare su "Gestore dei pacchettiSynaptic".Dato che il gestore dei pacchetti consente dimodificare i programmi installati nel computer, edunque di scegliere di quali programmi fidarsi, cisentiremo rassicurati dal fatto che per aprirlo civerrà chiesta la nostra password.

CONFIGURARE I REPOSITORYCliccare sulla voce “Repository” nel menù“Impostazioni” e poi cliccare sul menù “New”.Nella riga che inizia per “URI” scrivere l’indirizzoAPT aggiungendo:

deb http://ftp.it.debian.org/debian/ stretch­backports main

In questo caso, la versione del repository èstretch­backports e la categoria è main. Sevolessimo installare anche del software nonlibero possiamo aggiungere anche contrib e non­

53

free alla fine dell’indirizzo:

deb http://ftp.it.debian.org/debian/ stretch­backports main contrib non­free

Una volta fatto questo, clicchiamo su OK.

AGGIORNARE I PACCHETTI DISPONIBILIA questo punto clicchiamo su “Esci”, nel menù“File”. Probabilmente si aprirà una finestra“Repository modificati”, nel qual caso basteràcliccare su “Aggiorna”. Se non succedesse,bisogna cliccare su “Aggiorna” per aggiornare lalista dei pacchetti.

Nell’estate del 2017, un bug ha fatto sì chevenisse fuori una finestra con un messaggiod’errore di questo tipo:

W: http://ftp.it.debian.org/debian/dists/stretch­backports/ InRelease: The key(s) in the keyring/etc/apt/trusted.gpg are ignored as the file in not

54

Nel prossimo numero:Le ricette: cancellare dei dati "per davvero"...

readable by user ‘_apt’ executing apt­key

Non si tratta di un errore bloccante, ma di unavvertimento. Basta cliccare sul bottone “Chiudi”e ignorarlo.

Quello che avete tra le mani è il settimo numerodella traduzione a puntate della Guide

d'autodéfence numerique.L'edizione originale integrale (in francese) èleggibile online e scaricabile liberamente qui:

http://guide.boum.orgTrovate invece le puntate precedenti della

traduzione in italiano qui:http://numerique.noblogs.org