Sie sind auf Seite 1von 20

Tema 4.

Gestin de Usuarios
Administracin de Sistemas Operativos Administracin de Sistemas Operativos y Perifricos

Ma Pilar Gonzalez Ferez

Tema 4. Gestion de Usuarios p. 1/20

ndice
1. Introduccin 2. Usuarios
2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. Aadir un nuevo usuario al sistema Fichero /etc/passwd Contraseas Shadow passwords Restricciones de tiempo Ficheros de inicializacin Asignar o cambiar de intrprete de rdenes Cuentas restrictivas Herramientas para crear/modicar cuentas de usuario

3. Grupos 4. Usuarios y grupos estndar


Tema 4. Gestion de Usuarios p. 2/20

1. Introduccin
Denicin de usuario o user
Persona que trabaja en el sistema (edita cheros, ejecuta programas, etc.) Pseudo-usuario: entidad que puede ejecutar programas o poseer cheros (normalmente tienen identicadores desde 0 hasta 500 (no incluido))

Caractersticas de un usuario:
Nombre de usuario, (tambin conocido como logname o username) Identicador de usuario (UID) internamente el sistema identica al usuario por su UID, y no por su nombre Grupos a los que pertenece (GIDs)

Ficheros de conguracin:
/etc/passwd Informacin de las cuentas de usuarios /etc/shadow Password encriptados e informacin de envejecimiento de las cuentas /etc/group Denicin de los grupos y usuarios miembros
Tema 4. Gestion de Usuarios p. 3/20

2. Usuarios
Aadir un nuevo usuario al sistema Pasos a realizar (herramientas especcas hacen automticamente del 1 al 7): 1. Decidir el nombre de usuario, el UID, y los grupos a los que va a pertenecer (grupo primario y grupos secundarios) 2. Introducir los datos en los cheros /etc/passwd y /etc/group
(poniendo como contrasea * para bloquear la cuenta y que no se pueda usar)

3. 4. 5. 6. 7. 8. 9. 10.

Asignar un password a la nueva cuenta Si las shadow estn activas, reactivarlas Establecer los parmetros de envejecimiento de la cuenta Crear el directorio HOME del nuevo usuario, establecer el propietario y grupo correspondiente y los permisos adecuados Copiar los cheros de inicializacin (.bash_profile, .bashrc, . . . ) Establecer otras facilidades: quotas, mail, permisos para imprimir, etc. Ejecutar cualquier tarea de inicializacin propia del sistema Probar la nueva cuenta
Tema 4. Gestion de Usuarios p. 4/20

2. Usuarios (ii)
Fichero /etc/passwd Contiene la lista de usuarios denidos en el sistema Formato: nombre:password:uid:gid:gecos:home:shell
nombre Nombre del usuario, logname o username password contrasea cifrada o:
* o !! la cuenta est desactivada o bloqueada x las shadow estn activas, la contrasea cifrada se guarda en /etc/shadow

uid identicador del usuario gid identicador del grupo primario al que pertenece gecos campo de informacin referente al usuario (nombre, telfono, . . . ) home Path del directorio HOME del usuario shell Intrprete de rdenes que se ejecutar al entrar al sistema

El usuario propietario es el root y el grupo root OJO! Sus permisos son rw_r__r__
/usr/sbin/vipw Para editar el chero manualmente pwck verica la integridad de /etc/passwd y /etc/shadow
Tema 4. Gestion de Usuarios p. 5/20

2. Usuarios (iii)
Contraseas
passwd <nombre_usuario> asignar contrasea a un usuario (o cambiarla)

A la hora de elegir una buena contrasea:


No utilizar:
Tu nombre o parte de l, o de alguien cercano a ti No s signicativos para ti o alguien cercano a ti Algn nombre, no , lugar, gente, etc., asociado a tu trabajo Palabra que est en un diccionario (espaol, ingls, etc.) Nombre de gente famosa, lugares, pelculas, relacionadas con publicidad, etc.

Consejos:
Introducir 2 o ms caracteres extras, smbolos especiales o de control Escribir mal las palabras Utilizar maysculas y minsculas, pero no de forma evidente Concatenar, embeber o mezclar 2 o ms palabras, o partes de palabras Usar caracteres poco comunes, como por ejemplo $, &, # ,
Tema 4. Gestion de Usuarios p. 6/20

2.3 Contraseas
La contrasea se debe cambiar cuando:
Se sospecha que alguien la ha podido conocer o averiguar Un usuario se marcha del trabajo cambiar todas las que conozca Un administrador del sistema se va, cambiar TODAS Se despide a un usuario o a un administrador Se sospecha que alguien ha conseguido el chero con las contraseas (tanto /etc/passwd como /etc/shadow) Un intruso ha conseguido entrar en el sistema

Peridicamente, se debe forzar a que los usuarios cambien sus contraseas, incluido el administrador Por otro lado, si se obliga a los usuarios a cambiar su contrasea con mucha frecuencia, lo normal es que elijan malas contraseas, fciles de adivinar El administrador debe cambiar su password peridicamente
Tema 4. Gestion de Usuarios p. 7/20

2. Usuarios (iv)
Shadow passwords
Permiten que las contraseas encriptadas no se guarden en el chero /etc/passwd sino en /etc/shadow (que es ms seguro) /etc/shadow tiene los permisos r________, el usuario propietario es el root y el grupo propietario el root Este chero guarda para cada una de las cuentas del sistema, la contrasea encriptada junto con su informacin de envejecimiento En el campo password del chero /etc/passwd aparecer una x (indicando que las shadow estn activas) Por defecto, estn activas y se actualizan automticamente nom:pass:changed:minlife:maxlife:warn:inactive:expired:unused
nom nombre del usuario, logname o username pass contrasea encriptada
pwconv crear y actualizar el chero /etc/shadow pwunconv desactivar los shadow passwords

Tema 4. Gestion de Usuarios p. 8/20

2. Usuarios (v)
Restricciones de tiempo Para las cuentas de los usuarios se pueden establecer restricciones de tiempo o envejecimiento respecto a la validez de la cuenta o de la contrasea Los valores se guardan en el chero /etc/shadow:
changed fecha del ltimo cambio de contrasea minlife no de das que han de pasar para poder cambiar la contrasea maxlife no de das mximo que puede estar con la misma contrasea sin cambiarla warn cuntos das antes de que la contrasea expire (maxlife) ser informado sobre ello, indicndole que tiene que cambiarla inactive no de das despus de que la contrasea expire que la cuenta se deshabilitar de forma automtica si no ha sido cambiada expired fecha en la que la cuenta expira y se deshabilita de forma automtica
Tema 4. Gestion de Usuarios p. 9/20

2.5 Restricciones de tiempo


Los valores los establece el administrador con las rdenes chage o con passwd El chero /etc/login.defs tiene los valores por defecto El uso de la orden chage
chage -d ult_da usuario fecha del ltimo cambio de password chage -m min_das usuario no de das que han de pasar para poder cambiar la contrasea chage -M max_das usuario no de das mximo que puede estar con la misma contrasea sin cambiarla chage -W warn_das usuario cuntos das antes de que la contrasea expire (maxlife) ser avisado de ello, indicndole que tiene que cambiarla chage -I inac_das usuario no de das despus de que la contrasea expire que la cuenta se deshabilitar de forma automtica si la contrasea no ha sido cambiada chage -E exp_das usuario fecha en la que la cuenta expira y se deshabilita de forma automtica
Tema 4. Gestion de Usuarios p. 10/20

2.5 Restricciones de tiempo


Supongamos que el usuario pilar cambia su contrasea el 1 de marzo, y el administrador ejecuta las siguientes rdenes:
chage chage chage chage -M -W -I -E 20 pilar 6 pilar 5 pilar 2010-10-30 pilar

Los tiempos quedan jados de la siguiente manera: El 14 de marzo pilar recibir el primer aviso para que cambie su contrasea. El 20 de marzo pilar debera haber cambiado su contrasea. Si no cambia la contrasea, como se ha jado el tiempo de inactividad, la cuenta an no se bloquear Si el 25 de marzo pilar no ha cambiado su contrasea, la cuenta ser bloqueada. La cuenta expira, y por tanto se bloquear, el 30 de octubre.

Tema 4. Gestion de Usuarios p. 11/20

2. Usuarios (vi)
Ficheros de inicializacin
En el directorio /etc/skel se guardan unos cheros personalizados que se copian cuando se crea una cuenta al directorio HOME asignado Posteriormente, cada usuario podr personalizar los suyos (estn en su $HOME) Los cheros de inicializacin son guiones shell que realizan determinadas tareas como inicializar variables, ejecutar funciones especcas, establecer los alias, etc. Estos cheros dependen del intrprete de rdenes seleccionado:
Se ejecuta al hacer un login (PATH, variables de entorno, umask, funciones de inicializacin, etc.) Cada vez que se ejecuta un shell (alias, var. del propio shell, etc.) Al salir del sistema el usuario (al nalizar la sesin)
.bash_profile en Bourne Again Shell (bash) .profile en Bourne Shell (sh) .login en C Shell (csh) .bashrc en Bourne Again Shell (bash) .cshrc en C Shell (csh) .bash_logout en Bourne Again Shell (bash) .logout en C Shell (csh)

Tema 4. Gestion de Usuarios p. 12/20

2. Usuarios (vii)
Asignar o cambiar de intrprete de rdenes
En el ltimo campo del chero /etc/passwd se establece el intrprete de rdenes que se ejecuta al entrar al sistema En el chero /etc/shells se indican los shells permitidos (Ojo! Si
se prohibe un shell, no se podr elegir con chsh, pero los usuarios que ya lo tenan asignado lo seguirn usando sin problemas)

Con la orden chsh el usuario puede cambiar su shell, (el nuevo ha de


estar entre los permitidos)

Si un usuario no tiene asignado ningn intrprete de rdenes, se usar el shell por defecto /bin/sh Si se desea que el usuario no pueda entrar al sistema se le puede asignar /bin/false o /sbin/nologin Tambin se puede establecer como shell un chero ejecutable cuando el usuario entre al sistema se ejecuta, y, al nalizar la ejecucin, el usuario sale del sistema (no llega a hacer un login realmente)
Tema 4. Gestion de Usuarios p. 13/20

2. Usuarios (viii)
Cuentas restrictivas
Estas cuentas permiten limitar las acciones de los usuarios en el sistema, haciendo que tengan determinadas restricciones Se pueden crear de dos formas: Asignando como shell un chero ejecutable que realiza una tarea determinada y al terminarla el usuario sale del sistema: Usuario para realizar las copias de seguridad como shell tiene un ejecutable (guin shell) para esta tarea Uno para que apague el sistema, y que ejecutar la orden shutdown
Los usuarios restrictivos de este tipo tienen que tener los permisos necesarios para poder hacer la tarea asignada. Estos permisos se asignan a nivel de identicador de usuario. (Qu usuario puede apagar el sistema?) Estos usuarios no llegan a entrar al sistema pues no ejecutan un shell del tipo /bin/bash

Tema 4. Gestion de Usuarios p. 14/20

2. Usuarios (ix)
Cuentas restrictivas
Se pueden crear de dos formas: (contina...) Usando el shell restrictivo /bin/rbash rbash es un enlace simblico a /bin/bash (por defecto no
existe, hay que crearlo)

Este intrprete se comporta como un intrprete normal, salvo que el usuario no puede hacer determinadas tareas, como:
Cambiar de directorio Establecer o modicar los valores de SHELL o PATH Especicar nombre de rdenes que contengan / Usar la redireccin Utilizar la orden interna exec para reemplazar el shell por otro programa

/bin/rbash es equivalente a ejecutar /bin/bash -r


A estos usuarios se tiene que limitar los cheros que pueden ejecutar, copindolos a un directorio y que su PATH sea slo ese directorio. En otro caso, con un PATH normal, es casi como si no tuviesen restricciones

Tema 4. Gestion de Usuarios p. 15/20

2. Usuarios (x)
Herramientas para crear/modicar cuentas de usuario
Las herramientas automticas para la creacin de cuentas de usuario suelen realizar todas las tareas bsicas del proceso, a excepcin de las especcas (quotas o impresin, etc.) useradd adduser crear cuentas de usuario, o modicar cuentas ya existentes. Toma los valores por defecto de /etc/default/useradd y de /etc/login.defs usermod modicar cuentas userdel eliminar cuentas (por defecto no borra el directorio HOME) newusers crea cuentas de usuarios utilizando la informacin introducida en un chero de texto, que ha de tener el formato del chero /etc/passwd (OJO! No copia los cheros de inicializacin) system-config-users herramienta en modo grco

Tema 4. Gestion de Usuarios p. 16/20

3. Grupos
Los grupos son colecciones de usuarios que comparten recursos o cheros del sistema Con los grupos se pueden garantizar permisos concretos para un conjunto de usuarios, sin tener que repetirlos cada vez que se desee aplicarlos Caractersticas de un grupo
Nombre del grupo, o groupname Identicador del grupo (GID) internamente el sistema identica al grupo por este nmero

El chero de conguracin es /etc/group, con el formato: nombre:x:gid:lista de usuarios


nombre nombre del grupo gid identicador del grupo lista de usuarios que pertenecen al grupo, separados por ,

P.ej., aso:x:519:pilar,alvaro,juan,eduardo,aso01,aso02,aso03
Tema 4. Gestion de Usuarios p. 17/20

3. Grupos (ii)
/etc/gshadow
Contiene la informacin de seguridad de los grupos: grupo, contrasea, y miembros Idea parecida al /etc/shadow Si un usuario sabe la contrasea de un grupo, puede usarlo sin pertenecer a l

Tipos de grupos: Primario el grupo especicado en el chero /etc/passwd Secundarios los otros grupos a los que pertenece, que son los indicados en /etc/group Cmo actan los grupos: Al crear un chero se establece como grupo propietario el grupo activo del usuario en ese momento Al determinar los permisos sobre un chero, por ejemplo para leerlo o modicarlo, se usan todos los grupos a los que pertenece
El grupo activo suele ser el primario, salvo que se haya cambiado con newgrp

Tema 4. Gestion de Usuarios p. 18/20

3. Grupos (iii)
groupadd grupo crear un nuevo grupo groupmod grupo modicar un grupo existente groupdel grupo eliminar un grupo newgrp grupo cambiar de grupo activo (lanza un shell con ese grupo) gpasswd grupo asignar una contrasea a un grupo
Si un grupo tiene contrasea, un usuario que la conozca podr trabajar con ese grupo, a pesar de no pertenecer l Al ejecutar la orden newgrp grupo introducir la contrasea y pasar a ser su grupo activo

gpasswd -a user grupo aadir un usuario a un grupo groups [usuario] grupos a los que pertenece un usuario id [usuario] lista el identicador del usuario y los grupos a los que pertenece grpck chequea la consistencia del chero de grupos

Tema 4. Gestion de Usuarios p. 19/20

4. Usuarios y grupos estndar


Usuarios estndar
root Cuenta del administrador bin, daemon, lp, sync, shutdown, etc. Tradicionalmente usados para poseer cheros o ejecutar servicios mail, news, ftp Asociados con herramientas o facilidades postgres, mysql, xfs Creadas por herramientas instaladas en el sistema para administrar y ejecutar sus servicios nobody o nfsnobody Usada por NFS y otras utilidades

Grupos estndar
root, sys bin, daemon, adm, lp, disk, mail, ftp, nobody, etc. kmem Grupo propietario de los programas para leer la memoria del kernel users
Tema 4. Gestion de Usuarios p. 20/20

Das könnte Ihnen auch gefallen