Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
2 respuestas
La administracin de usuarios es una de la partes ms importantes de la configuracin y mantenimiento de un servidor, adems de estar directamente relacionada con la seguridad de un sistema Linux, pues los permisos otorgados a cada uno de los usuarios de un sistema son la clave al momento de establecer unas polticas de seguridad efectivas. El manual que vers a continuacin, es una adaptacin libre y con algunas modificaciones del apartado User Management includo en la documentacin oficial de Ubuntu Serverpublicada por Canonical para la versin para servidores de su distribucin Ubuntu Linux.
Dnde est root? Aadiendo y eliminando usuarios Seguridad de perfil de usuario Polticas de contrasea Otras consideraciones de seguridad
2. sudo preguntar por tu contrasea y posteriormente te pedir que ingreses una nueva contrasea para root como se muestra a continuacin:
[sudo] password for username: (ingresa tu propia contrasea) Enter new UNIX password: (ingresa una nueva contrasea para root) Retype new UNIX password: (repite la nueva contrasea para root) passwd: password updated successfully
Para conocer ms acerca de sudo, te recomiendo leer el manual ejecutando el comandosudo man. De forma predeterminada, Ubuntu crear el usuario inicial configurado durante el proceso de instalacin con permisos de administracin gracias a la inclusin de este en el grupo de administradores admin. Si por alguna razn deseas dar permisos de administracin a otro usuario, lo nico que debes hacer es ingresar este nuevo usuario en el grupo admin.
El proceso para administrar los usuarios locales y los grupos es sencillo y difiere muy poco de las dems distribuciones Linux. Ubuntu y otras distribuciones basadas en Debian animan al usuario a utilizar el paquete adduser para la administracin de cuentas de usuario. Para agregar un usuario nuevo en Ubuntu Server debes utilizar la siguiente sintaxis del paquete adduser y proveer la informacin solicitada para la creacin de la cuenta como el nombre completo del usuario, su nmero telefnico, etc.
sudo adduser usuario
Para eliminar una cuenta de usuario y su grupo primario utiliza el siguiente comando:
sudo deluser usuario
Eliminar una cuenta no elimina su directorio personal ni los archivos almacenados en este. Por lo tanto, otros usuarios pueden ingresar a este directorio y ver el contenido almacenado en el mismo sin restriccin alguna, a menos que hayas tomado las precauciones necesarias con anterioridad. Es recomendable cambiar los valores del UID/GID a algo ms apropiado como la cuentaroot y cambiar la ubicacin del directorio para prohibir el acceso no autorizado a esa informacin y evitar futuros conflictos por medio de los siguientes comandos.
sudo chown -R root:root /home/usuario/ sudo mkdir /home/usuarios_archivados/ sudo mv /home/usuario /home/usuarios_archivados/
Si por el contrario, desea eliminar el usuario y el directorio personal asociado a este, utilice la siguiente sintaxis:
sudo userdel -r usuario
Para bloquear o desbloquear una cuenta de usuario temporalmente utilice la siguiente sintaxis respectivamente:
sudo passwd -l usuario sudo passwd -u usuario
Para aadir a un usuario a varios grupos al mismo tiempo utilice la siguiente sintaxis:
sudo usermod -a -G grupo1,grupo2,grupo3 usuario
La siguiente salida muestra que el directorio /home/usuario posee permisos de lectura globales:
drwxr-xr-x 2 usuario usuario 4096 2007-10-02 20:03 usuario
Algunas personas tienden a utilizar la opcin recursiva (-R) de forma indiscriminada, la cual modifica todos los directorios hijos y los archivos ubicados en estos, pudiendo llevar a resultados indeseados y problemas adicionales. Modificar los permisos del directorio padre solamente, es suficiente evitar el acceso no autorizado a todo el contenido que se encuentre dentro de este. Una forma ms eficiente de realizar esta tarea, es modificando los valores predeterminados de la aplicacin adduser para que establezca los permisos de lectura y ejecucin de los directorios personales al momento de la creacin de un nuevo usuario. Para lograr esto, debemos modificar la variable DIR_MODE en el archivo /etc/adduser.conf a algo ms apropiado para las necesidades
especficas de nuestro sistema y que todos los nuevos directorios reciban los permisos correctos.
DIR_MODE=0750
Despus de haber corregidos los permisos de los directorios habiendo utilizado cualquiera de los anteriores mtodos, utiliza la siguiente sintaxis para verificar los resultados obtenidos:
ls -ld /home/usuario
El resultado obtenido muestra que los permisos de lectura y ejecucin globales han sido eliminados:
drwxr-x--2 usuario usuario 4096 2007-10-02 20:03 usuario
Polticas de contrasea
Una poltica de contraseas fuerte es uno de los aspectos ms importantes en cuanto a seguridad se trata. La mayora de los ataques exitosos involucran simples ataques de fuerza bruta o ataques de diccionario contra contraseas dbiles. Si planeas ofrecer algn tipo de acceso remoto a tu sistema que involucre el uso de tu sistema local de contraseas, asegrate de contar con requerimiento para la complejidad de las contraseas, vida til mxima de las contraseas, y auditoras frecuentes de tus sistemas de autenticacin.
Si por ejemplo quieres cambiar el mnimo de caracteres para la contrasea de 6 a 8, entonces cambia el valor de la variable correspondiente a min=8 como se muestra en el siguiente ejemplo:
password sha512 min=8 [success=2 default=ignore] pam_unix.so obscure
Las verificaciones bsicas de entropa y las reglas de longitud mnima no aplican al administrador que est usando sudo para la creacin de un nuevo usuario.
La salida obtenida presenta interesantes datos acerca de la cuenta de usuario, observando que no existen polticas aplicadas:
Last password change Password expires Password inactive Account expires Minimum number of days between password change Maximum number of days between password change Number of days of warning before password expires : : : : : : : Jan 20, 2008 never never never 0 99999 7
Para establecer cualquiera de estos valores, utiliza la siguiente sintaxis, y sigue cada uno de los mensajes interactivos:
sudo chage usuario
El siguiente es un ejemplo de cmo puedes cambiar manualmente la fecha de expiracin (-E) a 01/31/2008, una duracin mnima de la contrasea ( -m) de 5 das, una duracin mxima de la contrasea (-M) de 90 das, un periodo de inactividad (-I) de 5 das despus de la fecha de expiracin de la contrasea, y una advertencia con (-W) 14 das de anticipacin antes de la expiracin de la contrasea:
sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 usuario
Para verificar los cambios realizado utiliza la misma sintaxis mencionada anteriormente:
sudo chage -l usuario
La salida presentada a continuacin muestra las nuevas polticas que han sido establecidas para la cuenta de usuario:
Last password change Password expires Password inactive Account expires Minimum number of days between password change Maximum number of days between password change Number of days of warning before password expires : : : : : : : Jan Apr May Jan 5 90 14 20, 19, 19, 31, 2008 2008 2008 2008
Restringe el acceso SSH a solo las cuentas de usuario que deberan tenerlo. Por ejemplo, puedes crear un grupo llamado sshlogin y aadir el nombre del grupo como valor asociado a la variable AllowGroups localizada en el archivo /etc/ssh/sshd_config.
AllowGroups sshlogin
Luego aade los usuarios con permiso de conexin SSH al grupo sshlogin y reinicia el servidor SSH:
sudo adduser username sshlogin sudo service ssh restart
http://emslinux.com/usuarios-en-ubuntu-server/