Administración de Usuarios en linux

8/17/2019 Administración de Usuarios en linux

1/13

ADMINISTRACIÓN DE USUARIOSTweetCopyright 2005-2015 Sergio González DuránSe concede permiso para copiar, distribuir y o modi!icar este documento siempre y cuando se cite al autor y la !uente de linu"total#com#m" y seg$n los t%rminos de la G&'(ree Documentation )icense , *ersi+n 1#2 o cual uiera posterior publicada por la (ree So!t are (oundation#autor: sergio.gonzalez.duran@gmail. om

[ÍNDICE...]

)inu" es un sistema multiusuario, por lo tanto, la tarea de a.adir,modi!icar, eliminar y en general administrar usuarios se con/ierte enalgo no solo rutinario, sino importante, además de ser un elemento deseguridad ue mal administrado o tomado a la ligera, puede con/ertirseen un enorme hoyo de seguridad# n este manual aprenderás todo lonecesario para administrar completamente tus usuarios en G&' )inu"#Ti!os de usuarios)os usuarios en 'ni" )inu" se identi!ican por un n$mero $nico deusuario, 'ser D, ' D# pertenecen a un grupo principal de usuario,identi!icado tambi%n por un n$mero $nico de grupo, Group D, G D# l

usuario puede pertenecer a más grupos además del principal#3un ue su4eto a cierta pol%mica, es posible identi!icar tres tipos deusuarios en )inu"

Usuario root• 6ambi%n llamado superusuario o administrador#• Su ' D 7'ser D8 es 0 7cero8#• s la $nica cuenta de usuario con pri/ilegios sobre todo el

sistema#•

3cceso total a todos los archi/os y directorios con independenciade propietarios y permisos#• Controla la administraci+n de cuentas de usuarios#• 4ecuta tareas de mantenimiento del sistema#• 9uede detener el sistema#• nstala so!t are en el sistema#• 9uede modi!icar o recon!igurar el :ernel, controladores, etc#

Usuarios es!e iales• 4emplos bin, daemon, adm, lp, sync, shutdo n, mail, operator,

s uid, apache, etc#•

Se les llama tambi%n cuentas del sistema#• &o tiene todos los pri/ilegios del usuario root, pero dependiendo

de la cuenta asumen distintos pri/ilegios de root#• )o anterior para proteger al sistema de posibles !ormas de

/ulnerar la seguridad#• &o tienen contrase.as pues son cuentas ue no están dise.adas

para iniciar sesiones con ellas#

https://twitter.com/sharehttp://www.gnu.org/licenses/translations.htmlhttp://www.gnu.org/licenses/translations.htmlhttp://www.gnu.org/licenses/translations.htmlhttp://www.gnu.org/licenses/translations.htmlhttp://www.gnu.org/licenses/translations.htmlhttps://twitter.com/share


2/13

• 6ambi%n se les conoce como cuentas de ;no inicio de sesi+n;7nologin8#

• Se crean 7generalmente8 automáticamente al momento de lainstalaci+n de )inu" o de la aplicaci+n#

• Generalmente se les asigna un ' D entre 1 y 100 7de!ini!o en etc login#de!s8

Usuarios normales• Se usan para usuarios indi/iduales#• Cada usuario dispone de un directorio de traba4o, ubicado

generalmente en home#• Cada usuario puede personalizar su entorno de traba4o#• 6ienen solo pri/ilegios completos en su directorio de traba4o o

#• 9or seguridad, es siempre me4or traba4ar como un usuario normal

en /ez del usuario root, y cuando se re uiera hacer uso decomandos solo de root, utilizar el comando su#

• n las distros actuales de )inu" se les asigna generalmente un' D superior a 500#

"et "!ass#dCual uiera ue sea el tipo de usuario, todas las cuentas se encuentrande!inidas en el archi/o de con!iguraci+n ?pass d?, ubicado dentro deldirectorio etc# ste archi/o es de te"to tipo 3SC , se crea al momentode la instalaci+n con el usuario root y las cuentas especiales, más lascuentas de usuarios normales ue se hayan indicado al momento de lainstalaci+n#

l archi/o etc pass d contiene una l@nea para cada usuario, similar alas siguientesroot:x:0:0:root:/root:/bin/bashsergio:x:501:500:Sergio González:/home/sergio:/bin/bash

)a in!ormaci+n de cada usuario está di/idida en A campos delimitadoscada uno por ? ? dos puntos#

"et "!ass#dCampo1

s el nombre del usuario, identi!icador de inicio de sesi+n7login8# 6iene ue ser $nico#

Campo2

)a ?"? indica la contrase.a encriptada del usuario, ademástambi%n indica ue se está haciendo uso delarchi/o etc shado , si no se hace uso de este archi/o, estecampo se /er@a algo as@ como ?ghyBA5g4u Cc12r5gtA uuuBE?#

CampoF

&$mero de identi!icaci+n del usuario 7' D8# 6iene ue ser $nico#0 para root, generalmente las cuentas o usuarios especiales senumeran del 1 al 100 y las de usuario normal del 101 en


3/13

delante, en las distribuciones mas recientes esta numeraci+ncomienza a partir del 500#

Campo &umeraci+n de identi!icaci+n del grupo 7G D8# l ue aparece esel n$mero de grupo principal del usuario, pero puede pertenecera otros, esto se con!igura en etc groups#

Campo5 Comentarios o el nombre completo del usuario#

CampoB

Directorio de traba4o 7


4/13

B se le a/isará al usuario al inicio de la sesi+n#CampoA

D@as despu%s de la e"piraci+n en ue la contrase.a seinhabilitara, si es ue no se cambio#

Campo (echa de caducidad de la cuenta# Se e"presa en d@astranscurridos desde el 1 nero 1HA0 7epoch8#

CampoH Eeser/ado#

"et "grou!ste archi/o guarda la relaci+n de los grupos a los ue pertenecen los

usuarios del sistema, contiene una l@nea para cada usuario con tres ocuatro campos por usuarioroot:x:0:rootana:x:501:sergio:x:50!:*entas+su,er*isores+,ro)u ion

ristina:x:50-:*entas+sergio• l campo 1 indica el usuario#• l campo 2 ?"? indica la contrase.a del grupo, ue no e"iste, si

hubiera se mostrar@a un ?hash? encriptado#• l campo F es el Group D 7G D8 o identi!icaci+n del grupo#• l campo es opcional e indica la lista de grupos a los ue

pertenece el usuario3ctualmente al crear al usuario con useradd se crea tambi%nautomáticamente su grupo principal de traba4o G D, con el mismonombre del usuario# s decir, si se a.ade el usuario ?sergio? tambi%n se

crea el etc group el grupo ?sergio?# 3un asi, e"isten comandos deadministraci+n de grupos ue se e"plicarán más adelante#

!# on% & !#un on%l comportamiento por de!ecto de todas las distros modernas de

G&' )inu" es acti/ar la protecci+n e"tendida del archi/o etc shado ,ue 7se insiste8 oculta e!ecti/amente el ?hash? ci!rado de la contrase.a

de etc pass d#9ero si por alguna bizarra y e"tra.a situaci+n de compatibilidad sere uiriera tener las contrase.as ci!radas en el mismo archi/ode etc pass d se usar@a el comando p uncon/. more /et /,ass )root:x:0:0:root:/root:/bin/bashsergio:x:501:500:Sergio González:/home/sergio:/bin/bash

23a 4x4 en el am,o ! in)i a ue se ha e uso )e /et /sha)o. more /et /sha)oroot:ghy675gjuXC 1!r5gt7"uuu6#:1056":0:$$$$$:7:7:%1::sergio:r&g&""6'G77"s'(('##u7"as):1056":0:%1:$:%1:%1::


5/13

. , un on*

. more /et /,ass )root:ghy675gjuXC 1!r5gt7"uuu6#:0:0:root:/root:/bin/bashsergio:r&g&""6'G77"s'(('##u7"as):501:500:SergioGonzález:/home/sergio:/bin/bash

. more /et /sha)o/et /sha)o : o su h &ile or )ire tory28l eje utar , un on*+ el ar hi*o sha)o se elimina y las ontrase9as

i&ra)as 4,asaron4 a ,ass )

n cual uier momento es posible reacti/ar la protecci+n de shado. , on*. ls %l /et /,ass ) /et /sha)o%r %r%%r%% 1 root root 1106 !007%07%0" 01:07 /et /,ass )%r%%%%%%%% 1 root root 6$$ !00$%07%0" 01:07 /et /sha)o

Se /uel/e a crear el archi/o shado , además n+tese los permisos tanrestricti/os 7 008 ue tiene este archi/o, haciendo sumamente di!@cil 7no

me gusta usar imposible, ya ue en in!ormática parece ser ue losimposibles ?casi? no e"isten8 ue cual uier usuario ue no sea root lolea#

"et "login.de'sn el archi/o de con!iguraci+n etc login#de!s están de!inidas las

/ariables ue controlan los aspectos de la creaci+n de usuarios y de loscampos de shado usadas por de!ecto# 3lgunos de los aspectos uecontrolan estas /ariables son

• &$mero má"imo de d@as ue una contrase.a es /álida93SSJ>3 JD3 S

• l n$mero m@nimo de caracteres en la contrase.a 93SSJ> &J) &• *alor m@nimo para usuarios normales cuando se

usa useradd ' DJ> &• l /alor umas: por de!ecto '>3SK• Si el comando useradd debe crear el directorio home por de!ecto

CE 36 JLasta con leer este archi/o para conocer el resto de las /ariables ueson autodescripti/as y a4ustarlas al gusto# Eec$erdese ue se usaranprincipalmente al momento de crear o modi!icar usuarios con loscomandos useradd y usermod ue en bre/e se e"plicaran#

A(adir usuarios on useradduseradd o adduser es el comando ue permite a.adir nue/os usuarios alsistema desde la l@nea de comandos# Sus opciones más comunes oimportantes son las siguientes


6/13

• -c a.ade un comentario al momento de crear al usuario, campo 5de etc pass d

• -d directorio de traba4o o home del usuario, campo Bde etc pass d

• -e !echa de e"piraci+n de la cuenta, !ormato 3333->>-DD,campo de etc shado

• -g n$mero de grupo principal del usuario 7G D8, campo de etc pass d

• -G otros grupos a los ue puede pertenecer el usuario, separadospor comas#

• -r crea una cuenta del sistema o especial, su ' D será menor alde!inido en etc login#de!s en la /ariable ' DJ> &, además no secrea el directorio de inicio#

• -s shell por de!ecto del usuario cuando ingrese al sistema# Si nose especi!ica, bash, es el ue ueda establecido#

• -u ' D del usuario, si no se indica esta opci+n, automáticamentese establece el siguiente n$mero disponible a partir del $ltimousuario creado#

3hora bien, realmente no hay prácticamente necesidad de indicarninguna opci+n ya ue si hacemos lo siguiente. usera)) juan

Se creará el usuario y su grupo, asi como las entradas correspondientesen etc pass d, etc shado y etc group# 6ambi%n se creará eldirectorio de inicio o de traba4o home 4uan y los archi/os decon!iguraci+n ue /an dentro de este directorio y ue más adelante se

detallan#)as !echas de e"piraci+n de contrase.a, etc# Muedan lo más ampliasposibles asi ue no hay problema ue la cuenta cadu ue, asi ueprácticamente lo $nico ue !altar@a ser@a a.adir la contrase.a del usuarioy alg$n comentario o identi!icaci+n de la cuenta# Como a.adir elpass ord o contrase.a se estudiara en un momento y /iendo lasopciones con ?-c? es posible establecer el comentario, campo 5 de

etc pass d. usera)) % ;uan


7/13

Modi'i ar usuarios on usermodComo su nombre lo indica, usermod permite modi!icar o actualizar unusuario o cuenta ya e"istente# Sus opciones más comunes o importantesson las siguientes

• -c a.ade o modi!ica el comentario, campo 5 de etc pass d• -d modi!ica el directorio de traba4o o home del usuario, campo B

de etc pass d• -e cambia o establece la !echa de e"piraci+n de la cuenta,

!ormato 3333->>-DD, campo de etc shado• -g cambia el n$mero de grupo principal del usuario 7G D8, campo

de etc pass d• -G establece otros grupos a los ue puede pertenecer el usuario,

separados por comas#• -l cambia el login o nombre del usuario, campo 1

de etc pass d y de etc shado•

-) blo ue la cuenta del usuario, no permitiendol% ue ingrese alsistema# &o borra ni cambia nada del usuario, solo lo deshabilita#• -s cambia el shell por de!ecto del usuario cuando ingrese al

sistema#• -u cambia el ' D del usuario#• -' desblo uea una cuenta pre/iamente blo ueada con la opci+n

-)#Si uiseramos cambiar el nombre de usuario de ?sergio? a ?sego?. usermo) %l sego sergio

Casi seguro tambi%n cambiará el nombre del directorio de inicio o

en home, pero si no !uera as@, entonces. usermo) %) /home/sego sego=tros cambios o modi!icaciones en la misma cuenta. usermo) % su,er*isor )e area %s /bin/>sh %g 505 sego

)o anterior modi!ica el comentario de la cuenta, su shell por de!ecto ueahora sera Korn shell y su grupo principal de usuario ued+ establecidoal G D 505 y todo esto se aplic+ al usuario ?sego? ue como se obser/adebe ser el $ltimo argumento del comando#

l usuario ?sego? sali+ de /acaciones y nos aseguramos de ue nadie usesu cuenta. usermo) %3 sego

Eliminar usuarios on userdelComo su nombre lo indica, userdel elimina una cuenta del sistema,userdel puede ser in/ocado de tres maneras. user)el sergio


8/13

Sin opciones elimina la cuenta del usuario de etc pass d yde etc shado , pero no elimina su directorio de traba4o ni archi/oscontenidos en el mismo, esta es la me4or opci+n, ya ue elimina lacuenta pero no la in!ormaci+n de la misma#. user)el %r sergio

3l igual ue lo anterior elimina la cuenta totalmente, pero con la opci+n-r además elimina su directorio de traba4o y archi/os y directorioscontenidos en el mismo, asi como su buz+n de correo, si es ueestu/ieran con!iguradas las opciones de correo# )a cuenta no se podráeliminar si el usuario esta logueado o en el sistema al momento dee4ecutar el comando#. user)el %& sergio

)a opci+n -! es igual ue la opci+n -r, elimina todo lo del usuario, cuenta,directorios y archi/os del usuario, pero además lo hace sin importar si elusuario esta actualmente en el sistema traba4ando# s una opci+n muy

radical, además de ue podr@a causar inestabilidad en el sistema, asiue hay ue usarla solo en casos muy e"tremos#

Cam)iar ontrase(as on !ass#dCrear al usuario con useradd es el primer paso, el segundo es asignarleuna contrase.a a ese usuario# sto se logra con el comando pass d uepermitirá ingresar la contrase.a y su /eri!icaci+n. ,ass ) sergioChanging ,ass or) &or user ,rueba

e ? @X ,ass or):#ety,e ne ? @X ,ass or):,ass ): all authenti ation to>ens u,)ate) su ess&ully.

l usuario root es el $nico ue puede indicar el cambio o asignaci+n decontrase.as de cual uier usuario# 'suarios normales pueden cambiar sucontrae.a en cual uier momento con tan solo in/ocar pass d sinargumentos, y podrá de esta manera cambiar la contrase.a cuantas/eces lo re uiera#pass d tiene integrado /alidaci+n de contrase.as comunes, cortas, dediccionario, etc# asi ue si por e4emplo intento como usuario normalcambiar mi contrase.a a ? erty? el sistema me mostrará lo siguienteA ,ass )Changing ,ass or) &or user ,rueba

e ? @X ,ass or):B8'


9/13

;L3D 93SSN=ED it is based on a dictionary ord;, sin embargo mepermite continuar, al ingresar la /eri!icaci+n# s decir, pass d a/isa demalas o d%biles contrase.as pero permite establecerlas si realmente sedesea#Eesumiendo entonces, se podr@a decir ue todo este tutorial se reduce ados l@neas de comandos para crear y de4ar listo para traba4ar a unusuario en )inu". usera)) ana. ,ass ) ana

Se crea el usuario ?ana?, useradd hace todo el traba4o de establecer elshell, directorio de inicio, copiar archi/os iniciales de con!iguraci+n de lacuenta, etc# y despu%s pass destablece la contrase.a# 3si de simple#pass d tiene /arias opciones ue permiten blo uear la cuenta ?-l?,desblo uearla ?-u?, y /arias opciones más ue controlan la /igencia de lacontrase.a, es decir, es otro modo de establecer los /alores de la cuenta

en etc shado # 9ara más in!ormaci+n consulta las páginas del manualA man ,ass )

Ar $i%os de on'igura i*n)os usuarios normales y root en sus directorios de inicio tienen /ariosarchi/os ue comienzan con ;#; es decir están ocultos# *ar@an muchodependiendo de la distribuci+n de )inu" ue se tenga, pero seguramentese encontrarán los siguientes o similares. ls %la)r x%%%%%% ! ana ana E0$6 jul $ 0$:5E

)r xr%xr%x 7 root root E0$6 jul $ 0$:5E %r %r%%r%% 1 ana ana !E jul $ 0$:5E bashFlogout%r %r%%r%% 1 ana ana 1$1 jul $ 0$:5E bashF,ro&ile%r %r%%r%% 1 ana ana 1!E jul $ 0$:5E bashr

#bashJpro!ile a u@ podremos indicar alias, /ariables, con!iguraci+n delentorno, etc# ue deseamos iniciar al principio de la sesi+n##bashJlogout a u@ podremos indicar acciones, programas, scripts, etc#,

ue deseemos e4ecutar al salirnos de la sesi+n##bashrc es igual ue #bashJpro!ile, se e4ecuta al principio de la sesi+n,tradicionalmente en este archi/o se indican los programas o scripts ae4ecutar, a di!erencia de #bashJpro!ile ue con!igura el entorno#

)o anterior aplica para terminales de te"to 100O#Si deseamos con!igurar archi/os de inicio o de salida de la sesi+n grá!icaentonces, en este caso, hay ue buscar en el men$ del ambiente grá!icoalg$n programa grá!ico ue permita manipular ue programas se debenarrancar al iniciar la sesi+n en modo grá!ico# n la mayor@a de lasdistribuciones e"iste un programa llamado ;sesiones; o ;sessions;,generalmente esta ubicado dentro del men$ de pre!erencias# n este


10/13

programa es posible establecer programas o scripts ue arran uen 4untocon el ambiente grá!ico, ser@a e ui/alente a manipular ?bashrc?#3demás )inu" permite ue el usuario decida ue tipo de entorno

indo a utilizar, ya sea alg$n entorno de escritorio como KD oGnome o alg$n mane4ador de /entanas como !ce o 6 m# Dentro deluestra la identidad del usuario 7' D8 y los grupos a losue pertence#

gpass d 3dministra las contrase.as de grupos 7 etc group y etc gshado 8#groupadd 3.ade grupos al sistema 7 etc group8#groupdel limina grupos del sistema#groupmod >odi!ica grupos del sistema#groups >uestra los grupos a los ue pertence el usuario#

ne users 3ctualiza o crea usuarios en modo batch, m$ltiplesusuarios a la /ez# 7se usa 4unto chpass d8

p con/ stablece la protecci+n shado 7 etc shado 8 alarchi/o etc pass d#

p uncon/ limina la protecci+n shado 7 etc shado 8 al archi/o etc pass d#


11/13

useradd 3.ade usuarios al sistema 7 etc pass d8#userdel limina usuarios del sistema#usermod >odi!ica usuarios#

Ar $i%os de administra i*n & ontrol de usuarios#bashJlogout Se e4ecuta cuando el usuario abandona la sesi+n##bashJpro!ile Se e4ecuta cuando el usuario inicia la sesi+n##bashrc Se e4ecuta cuando el usuario inicia la sesi+n#

etc group 'suarios y sus grupos# etc gshado Contrase.as encriptadas de los grupos#

etc login#de!s *ariables ue controlan los aspectos de la creaci+n deusuarios# etc pass d 'suarios del sistema#

etc shado Contrase.as encriptadas y control de !echas de usuariosdel sistema#

Am)ientes gr+'i os & ,e)Si usas )inu" con indo 7gnome, :de, etc#8 encontrarás dentro de losmen$s una o /arias opciones grá!icas de administraci+n de usuarios, asicomo programas basados en Neb como ebmin ue entre muchas otrascosas te permiten un control total de la administraci+n de usuarios ygrupos# stos programas de gesti+n de usuarios son sumamenteintuiti/os y en una sola pantalla a tra/%s de sus opciones puedescontrolar prácticamente todas las !unciones e"puestas en este tutorial,en lo particular recomiendo ebmin por su con!iablidad y alto ni/el decon!iguraci+n, además ue es accesible /ia eb#

http://www.webmin.com/http://www.webmin.com/


12/13

9rograma de control de usuarios, disponible en (edora a tra/%s delmen$ scritorio -P 3dministraci+n -P 'suarios y grupos, o desde unaterminal de comandos o shell con el comando system-con!ig-users,debes de ser root en cual uier caso#


13/13

Nebmin en el m+dulo de a.adir usuarios# "celente herramienta decon!iguraci+n y administraci+n de m$ltiples aspectos de )inu"#

Administración de Usuarios en linux

Documents

Transcript of Administración de Usuarios en linux