Gestión de usuarios

Anuncio
Gestión de usuarios
1.
2.
3.
4.
5.
6.
7.
8.
Introducción
El usuario root (superusuario)
Conceptos generales sobre usuarios
Gestión de usuarios
Cambio de la contraseña en un sistema
Unix
Gestión de grupos
Seguridad
Permisos de los ficheros
Gestión de usuarios
1
Introducción
„
„
Linux s.o multitarea y multiusuario
Mínimo dos cuentas:
• Administrador el sistema “root”, responsable de
mantener el sistema activo y en ejecución
• Usuario de “a pie”, trabajo cotidiano
„
„
„
Nombre de usuario lo identifica en el sistema
Cada usuario puede pertenecer a uno o varios
grupos
La identidad de cada usuario junto con el grupo
al que pertenece determinará los derechos de
acceso a ficheros y otros recursos del sistema
Gestión de usuarios
2
El usuario root
„
„
nombre superusuario proviene de la orden
su (sustituir usuario)
posee privilegios especiales:
• acceso completo a todos los ficheros y
recursos del sistema
• determinar quien y en que condiciones puede
acceder al sistema
„
„
„
prompt #
directorio home Æ /root
órdenes con capacidades ampliadas
Gestión de usuarios
3
Conceptos generales sobre usuarios
„
„
„
Login y password que le identifican
Uid (número del usuario), que es único y
correlativo para cada usuario
Gid (número del grupo al que pertenece)
• Usuario pertenecer a uno o varios grupos
• Permite asignar características a varios
usuarios y que hagan uso del sistema en las
mismas condiciones
„
HOME (directorio de trabajo), cada vez
que accedemos al sistema (generalmente
/home/login)
Gestión de usuarios
4
Gestión de usuarios
Las órdenes que usaremos para gestionar los usuarios del
sistema son:
„
passwd, para asignarle la contraseña a un usuario. Cada
vez que añadimos un usuario se modifica el archivo de
contraseñas de usuarios /etc/passwd, con una nueva
entrada, cada campo esta separado por “:”, ej:
pru:x:500:100:prueba:/home/pru:/bin/csh
hola:x:501:100::/home/hola:/bin/tcsh
ver:x:502:100::/home/ver:/bin/bash
usuario:contraseña_oculta:UID:GID:descripción:directo
rio_inicial:shell
• Las contraseñas ocultas, son contraseñas que se
almacenan en otro archivo (/etc/shadow), añaden un
nivel de seguridad adicional
• El archivo /etc/passwd, puede ser leído por cualquier
usuario del sistema pero sólo puede ser modificado por
el root (problema cifrado)
• Las utilidades pwconv y pwunconv sirven para habilitar
o inhabilitar el archivo passwd para contraseñas ocultas
Gestión de usuarios
5
Gestión de usuarios
„
„
„
useradd, para añadir un usuario, con la
opción –m se creará el directorio home del
usuario si este no existe, además se
crearán entradas en los ficheros
/etc/passwd, etc/shadow y /etc/group
userdel, permite eliminar un usuario,
además eliminamos a nuestro usuario de
los ficheros /etc/passwd y /etc/shadow.
Con la opción –r eliminamos el directorio
home del usuario
chfn, añadiremos información relativa a
un usuario
Gestión de usuarios
6
Gestión de usuarios
„
Al crear un nuevo usuario se copian distintos ficheros de
configuración del directorio /etc/skel, como pueden ser:
• Dependiendo de la shell con la que entramos al sistema, se
ejecutan una serie de ficheros que configuran el entorno de
trabajo estos pueden ser: (.profile, .bashc, .cshrc, .login)
• Configuración del correo electrónico (.mailrc)
• Si usamos el editor Emacs (.emacs)
• Etc
„
Podemos borrar o inhabilitar a un usuario
• Borrar un usuario del fichero /etc/passwd no implica eliminar
ningún dato de su cuenta de usuario (ojo a la hora de
reutilizar su UID)
• Inhabilitar a un usuario implica denegarle el acceso al sistema,
esto lo podemos conseguir simplemente modificando el campo
clave del fichero /etc/passwd. Ej x Æ x123
• Si queremos evitar que un usuario no reciba correo electrónico
podemos cambiarle la shell a /bin/false
Gestión de usuarios
7
Cambio de la palabra clave en un
sistema Unix
„
Normas definidas por el administrador:
•
•
•
•
•
•
•
•
„
•
•
•
La palabra clave ha de ser diferente
La contraseña puede ser modificada siempre que se desee
Debe tener al menos seis caracteres (especificación C2)
Son identificativos los primeros ocho caracteres
Al menos dos caracteres deben ser alfabéticos
Debe tener al menos un carácter numérico o especial
Tiene que ser distinta del nombre de cuenta
No se pueden usar los mismos caracteres asignados como nombre de usuario
cambiados de orden
La contraseña puede caducar
El administrador no puede visualizar las contraseñas
La contraseña no es de carácter obligatorio
•
•
•
•
•
•
•
Que no esté públicamente relacionada a uno mismo
Una palabra que no tenga sentido
Inventarse un acrónimo
Palabra con falta de ortografía
Juntar sílabas de la palabras de una canción
Etc..
Protegerla
Reglas para elegir una contraseña segura
Gestión de usuarios
8
Gestión de grupos
„
„
„
„
El fichero /etc/group, contiene los grupos del sistema
Cada línea del archivo indica un grupo
Muchos de los grupos predeterminados del sistema se
corresponden a un servicio especifico
Los campos del archivo /etc/group, están separados por “:” y son:
•
•
•
•
„
„
„
„
„
Nombre del grupo
Contraseña del grupo
GID
Lista de las cuentas de usuario asociadas al grupo
Cada cuenta de usuario tiene que pertenecer como mínimo a un
grupo (el grupo predeterminado suele ser users) y no hay limite al
número de grupos a los que un usuario puede pertenecer
groupadd, se usa para añadir nuevos grupos al archivo
group, nos da una lista de todos los grupos a los que está asignado
un usuario
No es buena idea añadir contraseñas a grupos (newgrp)
chgrp, modifica el indicador de grupo y chown, modifica el
indicado de propietario, solo el root puede cambiar la propiedad de
un archivo
Gestión de usuarios
9
Consolas virtuales
„
„
„
Por defecto suelen estar disponibles 6
consolas virtuales (reciben el nombre de
terminales VT)
Para cambiar de una consola a otra se
utilizan la tecla ALT junto con la tecla de
función correspondiente a la consola F1 a
F6
Si se está trabajando desde X Windows
(KDE, GNOME inclusive) y deseamos ir a
una de las consolas virtuales necesitamos
usar la secuencia de teclas
CTRL+ALT+F[1-6]
Gestión de usuarios
10
Seguridad
Las cuestiones de seguridad se pueden
agrupar en varias categorías:
„ protección al solicitar la identificación
y la contraseña
„ protección de los ficheros (tanto del
sistema operativo como del usuario)
„ protección frente ataques al sistema
y seguridad física de la máquina
Gestión de usuarios
11
Permisos de los ficheros
„
„
„
Los ficheros y directorios presentan tres niveles de
permisos (usuario (propietario), grupo, otros)
Cada nivel tiene privilegios asociados, que vienen en la
forma de tres permisos (permiso de lectura, escritura y
ejecución)
La orden ls –l, nos presenta una mascara de 10 caracteres
• el primero indica el tipo de fichero
• nueve restantes son los permisos
„
„
„
tres primeros “propietario”
tres segundos “grupo”
tres últimos “otros usuarios”
• mascara
d rwx rwx rwx
r Æ lectura
w Æ escritura
x Æ ejecución
FICHERO
editarlo
modificarlo
ejecutarlo
DIRECTORIO
listarlo
crear y borrar
acceso y ejecución
Gestión de usuarios
12
Permisos de los ficheros
Veamos la siguiente tabla para identificar los tipos básicos
Fichero
tipo
se crea con
se elimina con
fichero ordinario
editores, cp, …
rm
directorio
d
mkdir
rmdir, rm –r
disptvo. tipo carácter c
mknod
rm
disptvo. tipo bloque
b
mknod
rm
socket
s
socket
rm
pipe
p
mknod
rm
enlace simbólico
l
ln –s
rm
„
Existen dos tipos especiales de permisos de ejecución
„
• Uso del “sticky bit”, aparece con la lettra “t” en la posición del permiso
de ejecución para los demás usuarios.
„
„
Los programas que se ejecutan frecuentemente son copiados en memoria
para tener un acceso rápido a ellos.
En un directorio indica que sus ficheros sean modificados solo por sus
propietarios. ej : directorio público /tmp
• Letra “s” en la posición de ejecución del propietario del fichero, nos
posibilita ejecutar un programa como si fuesemos los propietarios.
ej; ls –l /usr/bin/passwd
Normalmente el sistema nos reconoce por el UID, pero temporalmente
se puede asumir el SUID (UID efectivo)
Gestión de usuarios
13
Permisos de los ficheros
„
comando chmod, modifica los permisos de los ficheros
• modo absoluto fichero(s)
• modo simbólico fichero(s)
„
modo absoluto, permisos en numeración octal
• 4 lectura
• 2 escritura
• 1 ejecución
„
modo simbólico
chmod 652 prueba
6=4+2
5=4+1
2=2
• clases de usuarios
„
„
„
„
u
g
o
a
Æ
Æ
Æ
Æ
propietario del fichero
grupo
chmod u+x, g+r, o+r prueba
otros
todos
• permisos r, w, x
• “+ “añade y “-” quita
„
Permisos por defecto
• umask, nos presenta la mascara por defecto
xor 666 Æ ficheros
777 Æ directorios
Gestión de usuarios
14
Descargar