Administración de Usuarios

Grupo

Profesor: Julio Gonzales Villegas 1

Objetivos del Capitulo

Al completar este tema, usted podrá:

Crear, cambiar y borrar cuentas de usuarios.

Crear, cambiar y borrar grupos.

Administrar claves de usuarios.

Comunicarse con la comunidad de usuarios.


Tipos de cuentas

• Administrador – Nombre de cuenta: root

• Sistema – Aplicaciones y demonios del sistema

• Grupos – Asociación de usuarios

• Regulares – Usuarios creados sin privilegios (por defecto)

• Virtuales – No existen para el kernel de Linux según el mecanismo

de autenticación del sistema


Algunos conceptos de seguridad

Cuenta de usuario Grupos

•Posee un nombre único •Posee un identificador: uid •Sea accede mediante una clave •La propiedad de los archivos se determina por el uid

•Posee un nombre único •Posee un identificador: gid •Usuarios que necesitan acceder a los mismos archivos deben pertenecer al mismo grupo


Jerarquía de las cuentas

• root – Es el súper usuario del sistema

– Los permisos de los archivos no se aplican a esta cuenta

– Puede hacer de todo excepto lo obvio

– Es el administrador del sistema

• bin, daemon, lp, sync, news, ftp,…. – Cuentas de usuario para las diferentes aplicaciones

y/o demonios

– No deben ser usadas para conectarse al sistema

• Cuentas Regulares


Grupos

• Un grupo es un conjunto de usuarios los cuales necesitan acceder a los mismos archivos

• Cada usuario debe ser miembro de un grupo (llamado principal) y adicionalmente pertenecer a otros grupos (llamados opcionales)

• Grupo principal: usado para la creación de archivos y/o directorios

• Grupos opcionales: determina los permisos de acceso a ciertos archivos y/o directorios compartidos

• Los usuarios tienen acceso a todos los archivos pertenecientes a los grupos de los cuales es miembro. El comando groups muestra los grupos a los cuales un usuario pertenece


• Grupos privados de usuarios: esquema en el cual cada usuario tiene su propio grupo como “grupo principal” en vez de pertenecer a uno general mas grande

• Ventajas:

– Es fácil dar acceso a otros usuarios al directorio hogar

• Desventajas:

– Requiere cambios en el sistema de autorización.

• RedHat usa grupos privados, SuSE no

Grupos privados de usuarios

pepe


rosa pepe rosa

Grupo pepe Grupo rosa Grupo usuarios

Shadow Password Suite

• La información secreta de los usuarios y grupos se administra con la Suite de Claves Shadow

/etc/{passwd,group}

/etc/login.defs

Archivo de Configuración

/etc/{shadow,gshadow}

Bases de datos de usuarios y grupos

Bases de datos de la información secreta de usuarios y grupos

Comandos

useradd usermod userdel groupadd chage chfn passwd ……….


• Directorio que almacena los archivos de configuración del shell para un buen inicio de sesión. Los usuarios recibirán estos archivos en sus directorio hogares durante la creación de su cuenta.

• useradd –m crea el directorio hogar con los archivos copiados

desde /etc/skel/

– En Red Hat se omite la opción –m

• useradd –m –k permite especificar un directorio esqueleto

(/etc/skel) distinto

# useradd -m tux25

# useradd -m -k /etc/otro_skel tux30

Directorio /etc/skel/


• Este archivo contiene la información no secreta acerca de los usuarios

# cat /etc/passwd root:x:0:0:root:/root:/bin/bash ... postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false ... tux30:x:537:100::/home/tux30:/bin/bash

Los campos estas separados por el símbolo “:”

1) Login name

2) Campo de contraseña (x significa: contraseña encriptada activa)

3) UID

4) GID

5) GECOS (solo información del usuario)

6) Directorio hogar

7) Shel de inicio de sesión

Archivo /etc/passwd


• Las credenciales o claves de todos los usuarios se almacenan en este archivo

# cat /etc/shadow ... bin:*:10787:0:99999:7:-1:-1: ... tux1:$1$VOHuuCQM$Kqc9m7wSlQnRtqANtZCba/:10792:0:99999:0:0:10787:13453 tux2:$1$BgSP6XLW$/tDKJTmLZzqh9372X7U7o0:10791:-1:99999:-1:-1:-1:13544

1) Login name

2) Clave encriptada MD5

3) Ultimo cambio de clave desde el 1 de enero 1970

4) Días que deben pasar antes en que la clave deba ser cambiada

5) Días después en que la clave debe ser cambiada

6) Días antes en que expire la clave, donde al usuario se le advierte debe cambiar clave en el inicio de sesión

7) Dias despues de 1 Enero de 1970, en los cuales la cuenta será deshabilitada luego de expirar la clave si no se cambio

8) Días en que la cuenta será deshabilitada desde el 1 de enero de 1970

Archivo /etc/shadow


Archivo /etc/group y /etc/gshadow

# cat /etc/group root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin,adm adm:x:4:root,adm,daemon ... penguins:x:500:linus,tux1,tux2 tux1:x:501: tux2:x:502: # cat /etc/gshadow ... penguins:!:linus:tux1,tux2


• Añadir una cuenta de usuario # useradd -g contable -G marketing usuario01

# passwd usuario01

• Borrar una cuenta de usuario # userdel -r usuario01

• Cambiar una cuenta de usuario # usermod -g sistemas -G transp usuario01

• Bloquear y/o desbloquear una cuenta # usermod -L usuario01

# usermod -U usuario01

Herramientas de línea de comandos - usuarios


Herramientas de línea de comandos - grupos

• Añadir, modificar, eliminar grupos # groupadd marketing

# groupmod -n marketing mercadotecnia

# groupdel mercadotecnia

• Añadir, borrar usuarios desde grupos # usermod -G mercadotecnia pepe rosa

# gpasswd -a kike mercadotecnia

• Delegar administración de un grupo a otro usuario # gpasswd -A jose soporte

jose$ gpasswd -a karla soporte

jose$ gpasswd -d monica soporte


• Use el comando passwd para cambiar claves • La utilidad mkpasswd crea claves aleatorias instale antes el paquete

expect • Cambie los tiempos de expiración de las claves con chage

# passwd usuario01 Changing password for user pepe. New UNIX password: ……………..

# mkpasswd pepe MB4a=ue1v # chage -l pepe Último cambio de contraseña :oct 29, 2010 La contraseña caduca : nunca Contraseña inactiva : nunca La cuenta caduca : nunca Número de días mínimo entre cambio de contraseña : 0 Número de días máximo entre cambio de contraseñas : 99999 Número de días de aviso antes de que expire la contraseña : 7

Administrar claves


Archivos /etc/issue y /etc/issue.net

• Contiene el mensaje de ingreso para mingetty y telnetd

# cat /etc/issue CentOS release 5.5 (Final)

Kernel \r on an \m

#

# Ciertas secuencias de escape pueden usarse con mingetty \r kernel release

\m machine type

\o domain name

• Para una lista complete tipee "man mingetty"


Administración de Usuarios

Documents

Transcript of Administración de Usuarios