Gestión de usuarios 1. 2. 3. 4. 5. 6. 7. 8. Introducción El usuario root (superusuario) Conceptos generales sobre usuarios Gestión de usuarios Cambio de la contraseña en un sistema Unix Gestión de grupos Seguridad Permisos de los ficheros Gestión de usuarios 1 Introducción Linux s.o multitarea y multiusuario Mínimo dos cuentas: • Administrador el sistema “root”, responsable de mantener el sistema activo y en ejecución • Usuario de “a pie”, trabajo cotidiano Nombre de usuario lo identifica en el sistema Cada usuario puede pertenecer a uno o varios grupos La identidad de cada usuario junto con el grupo al que pertenece determinará los derechos de acceso a ficheros y otros recursos del sistema Gestión de usuarios 2 El usuario root nombre superusuario proviene de la orden su (sustituir usuario) posee privilegios especiales: • acceso completo a todos los ficheros y recursos del sistema • determinar quien y en que condiciones puede acceder al sistema prompt # directorio home Æ /root órdenes con capacidades ampliadas Gestión de usuarios 3 Conceptos generales sobre usuarios Login y password que le identifican Uid (número del usuario), que es único y correlativo para cada usuario Gid (número del grupo al que pertenece) • Usuario pertenecer a uno o varios grupos • Permite asignar características a varios usuarios y que hagan uso del sistema en las mismas condiciones HOME (directorio de trabajo), cada vez que accedemos al sistema (generalmente /home/login) Gestión de usuarios 4 Gestión de usuarios Las órdenes que usaremos para gestionar los usuarios del sistema son: passwd, para asignarle la contraseña a un usuario. Cada vez que añadimos un usuario se modifica el archivo de contraseñas de usuarios /etc/passwd, con una nueva entrada, cada campo esta separado por “:”, ej: pru:x:500:100:prueba:/home/pru:/bin/csh hola:x:501:100::/home/hola:/bin/tcsh ver:x:502:100::/home/ver:/bin/bash usuario:contraseña_oculta:UID:GID:descripción:directo rio_inicial:shell • Las contraseñas ocultas, son contraseñas que se almacenan en otro archivo (/etc/shadow), añaden un nivel de seguridad adicional • El archivo /etc/passwd, puede ser leído por cualquier usuario del sistema pero sólo puede ser modificado por el root (problema cifrado) • Las utilidades pwconv y pwunconv sirven para habilitar o inhabilitar el archivo passwd para contraseñas ocultas Gestión de usuarios 5 Gestión de usuarios useradd, para añadir un usuario, con la opción –m se creará el directorio home del usuario si este no existe, además se crearán entradas en los ficheros /etc/passwd, etc/shadow y /etc/group userdel, permite eliminar un usuario, además eliminamos a nuestro usuario de los ficheros /etc/passwd y /etc/shadow. Con la opción –r eliminamos el directorio home del usuario chfn, añadiremos información relativa a un usuario Gestión de usuarios 6 Gestión de usuarios Al crear un nuevo usuario se copian distintos ficheros de configuración del directorio /etc/skel, como pueden ser: • Dependiendo de la shell con la que entramos al sistema, se ejecutan una serie de ficheros que configuran el entorno de trabajo estos pueden ser: (.profile, .bashc, .cshrc, .login) • Configuración del correo electrónico (.mailrc) • Si usamos el editor Emacs (.emacs) • Etc Podemos borrar o inhabilitar a un usuario • Borrar un usuario del fichero /etc/passwd no implica eliminar ningún dato de su cuenta de usuario (ojo a la hora de reutilizar su UID) • Inhabilitar a un usuario implica denegarle el acceso al sistema, esto lo podemos conseguir simplemente modificando el campo clave del fichero /etc/passwd. Ej x Æ x123 • Si queremos evitar que un usuario no reciba correo electrónico podemos cambiarle la shell a /bin/false Gestión de usuarios 7 Cambio de la palabra clave en un sistema Unix Normas definidas por el administrador: • • • • • • • • • • • La palabra clave ha de ser diferente La contraseña puede ser modificada siempre que se desee Debe tener al menos seis caracteres (especificación C2) Son identificativos los primeros ocho caracteres Al menos dos caracteres deben ser alfabéticos Debe tener al menos un carácter numérico o especial Tiene que ser distinta del nombre de cuenta No se pueden usar los mismos caracteres asignados como nombre de usuario cambiados de orden La contraseña puede caducar El administrador no puede visualizar las contraseñas La contraseña no es de carácter obligatorio • • • • • • • Que no esté públicamente relacionada a uno mismo Una palabra que no tenga sentido Inventarse un acrónimo Palabra con falta de ortografía Juntar sílabas de la palabras de una canción Etc.. Protegerla Reglas para elegir una contraseña segura Gestión de usuarios 8 Gestión de grupos El fichero /etc/group, contiene los grupos del sistema Cada línea del archivo indica un grupo Muchos de los grupos predeterminados del sistema se corresponden a un servicio especifico Los campos del archivo /etc/group, están separados por “:” y son: • • • • Nombre del grupo Contraseña del grupo GID Lista de las cuentas de usuario asociadas al grupo Cada cuenta de usuario tiene que pertenecer como mínimo a un grupo (el grupo predeterminado suele ser users) y no hay limite al número de grupos a los que un usuario puede pertenecer groupadd, se usa para añadir nuevos grupos al archivo group, nos da una lista de todos los grupos a los que está asignado un usuario No es buena idea añadir contraseñas a grupos (newgrp) chgrp, modifica el indicador de grupo y chown, modifica el indicado de propietario, solo el root puede cambiar la propiedad de un archivo Gestión de usuarios 9 Consolas virtuales Por defecto suelen estar disponibles 6 consolas virtuales (reciben el nombre de terminales VT) Para cambiar de una consola a otra se utilizan la tecla ALT junto con la tecla de función correspondiente a la consola F1 a F6 Si se está trabajando desde X Windows (KDE, GNOME inclusive) y deseamos ir a una de las consolas virtuales necesitamos usar la secuencia de teclas CTRL+ALT+F[1-6] Gestión de usuarios 10 Seguridad Las cuestiones de seguridad se pueden agrupar en varias categorías: protección al solicitar la identificación y la contraseña protección de los ficheros (tanto del sistema operativo como del usuario) protección frente ataques al sistema y seguridad física de la máquina Gestión de usuarios 11 Permisos de los ficheros Los ficheros y directorios presentan tres niveles de permisos (usuario (propietario), grupo, otros) Cada nivel tiene privilegios asociados, que vienen en la forma de tres permisos (permiso de lectura, escritura y ejecución) La orden ls –l, nos presenta una mascara de 10 caracteres • el primero indica el tipo de fichero • nueve restantes son los permisos tres primeros “propietario” tres segundos “grupo” tres últimos “otros usuarios” • mascara d rwx rwx rwx r Æ lectura w Æ escritura x Æ ejecución FICHERO editarlo modificarlo ejecutarlo DIRECTORIO listarlo crear y borrar acceso y ejecución Gestión de usuarios 12 Permisos de los ficheros Veamos la siguiente tabla para identificar los tipos básicos Fichero tipo se crea con se elimina con fichero ordinario editores, cp, … rm directorio d mkdir rmdir, rm –r disptvo. tipo carácter c mknod rm disptvo. tipo bloque b mknod rm socket s socket rm pipe p mknod rm enlace simbólico l ln –s rm Existen dos tipos especiales de permisos de ejecución • Uso del “sticky bit”, aparece con la lettra “t” en la posición del permiso de ejecución para los demás usuarios. Los programas que se ejecutan frecuentemente son copiados en memoria para tener un acceso rápido a ellos. En un directorio indica que sus ficheros sean modificados solo por sus propietarios. ej : directorio público /tmp • Letra “s” en la posición de ejecución del propietario del fichero, nos posibilita ejecutar un programa como si fuesemos los propietarios. ej; ls –l /usr/bin/passwd Normalmente el sistema nos reconoce por el UID, pero temporalmente se puede asumir el SUID (UID efectivo) Gestión de usuarios 13 Permisos de los ficheros comando chmod, modifica los permisos de los ficheros • modo absoluto fichero(s) • modo simbólico fichero(s) modo absoluto, permisos en numeración octal • 4 lectura • 2 escritura • 1 ejecución modo simbólico chmod 652 prueba 6=4+2 5=4+1 2=2 • clases de usuarios u g o a Æ Æ Æ Æ propietario del fichero grupo chmod u+x, g+r, o+r prueba otros todos • permisos r, w, x • “+ “añade y “-” quita Permisos por defecto • umask, nos presenta la mascara por defecto xor 666 Æ ficheros 777 Æ directorios Gestión de usuarios 14