Administración de Redes ADMINISTRACIÓN DE USUARIOS EN LINUX Profesor Eduardo Blanco Departamento de Computación y T. I. USB Usuarios Aun cuando sea para uso personal, en Linux existen varios usuarios (root, ftp, apache, etc.) Es importante conocer el sistema de cuentas de Linux para manejar servicios de red y configurar las cuentas correctamente La seguridad del sistema depende de un manejo apropiado de las cuentas Veremos el modelo de usuarios, y luego algunas herramientas de manejo de usuarios /etc/passwd Contiene lista de usuarios reconocidos por el sistema, consultado por el sistema en un login login (nombre) password encriptado (puede estar en archivo shadow) UID GID por defecto GECOS directorio home shell por defecto Ejemplo /etc/passwd login: passwd: UID:GID:GECOS: home: shell root: bin: daemon: apache: eduardo: /bin/bash /sbin/nologin /sbin/nologin /sbin/nologin /bin/bash x: 0: 0: x: 1: 1: x: 2: 2: x: 48: 48: x: 501: 501: root: bin: daemon: Apache: : /root: /bin: /sbin: /var/www: /home/eduardo: /etc/shadow Login name, encrypted password Days since Jan 1, 1970 that password was last changed Days before password may be changed Days after which password must be changed Days before password is to expire that user is warned Days after password expires that account is disabled Days since Jan 1, 1970 that account is disabled A reserved field Ejemplo /etc/shadow root:$1$NMUDjz2Z$Uy.u0syob/JVGM7yjMf3F/:12476:0:99999: 7::: eduardo: $1$7KApuyKV$6NP/RrIieZtF/vetT2yYM/:12476:0:99999: 7 ::: Nombres (login) Hasta 32 caracteres (todos excepto “:” y LF) Recomendado límite de 8. Viejos UNIX limitan a 8 (adoptado por NIS) Se recomienda usar reglas para asignar cuentas (¡nombres se usan en email!) /etc/mail/aliases puede ser usado para equivalencias entre email y login Password encriptado Se usa DES (usa 8 caracteres) o MD5 Cuando se crea una cuenta, debe asignársele un password usando comando passwd Un * en /etc/passwd (o /etc/shadow) significa que no se puede hacer login. Vacío significa que no requiere password!! UID y GID UID de 32 bits (0 reservado para root) Pseudo-usuarios (bin, daemon, etc.) se les asigna los número bajos Usuarios normales: recomendado UID > 100 Conveniente usar mismo UID para el mismo usuario en la red (NFS!!) Los grupos están definidos en /etc/group Un usuario puede estar hasta en 32 grupos GECOS General Electric Comprehensive Operating System. Usado para mandar login en trabajos batch de Unix a mainframe en Bell Puede estar vacío Se usa para información personal (nombre, telefono, oficina, etc.) El comando finger interpreta el campo como nombre, oficina, etc. El comando chfn permite modificarlo Otros campos de /etc/passwd El directorio home es el directorio asignado cuando se hace login (/ si no hay ninguno) El shell es el usado por defecto cuando se hace login. Hay varios: sh, csh, ksh, bash, tcsh chsh permite cambiar de shell Es una aplicación que corre cuando se hace login! /etc/group Contiene Nombre del grupo Password encriptado (no se usa!) GID Lista de miembros Usuario cambia de grupo con newgrp – bin:x:2: – sys:x:3: – adm:x:4:syslog,eduardo Agregar usuario a mano Editar /etc/passwd y /etc/shadow (con vi o vipw) Colocar password inicial (copia o con passwd) Crear el directorio home del usuario, colocándolo como dueño (chown), y poniendo los permisos apropiados (chmod) > mkdir /home/jperez > chown jperez:finanzas /home/jperez > chmod 750 /home/jperez Agregar usuario a mano: pasos secundarios Copiar archivos de inicialización por defecto en el directorio home del usuario (p.e., de /etc/skel) Asignar un directorio para el email del usuario, y establecer los alias apropiados (p.e., qué máquina recibe su correo) Agregar usuario en /etc/group Configurar cuotas (edquota) Verificar cuenta, registrar usuario en BD usuarios Algunos archivos de inicialización bash: .bash_profile (inicializa variables de ambiente) .bashrc (alias de comandos, PATH, umask, prompt, ...) Vi: .exrc Emacs: .emacs Utilitarias useradd (o adduser): crea cuenta. Acepta opciones para todos los campos de /etc/passwd usermod: modifica algún parámetro de cuenta existente userdel Utilitarias (GUI!!!!)