3.

6 Administracin de Recursos:
Cuentas de usuario, Grupos, Permisos,
Servicios de impresin.

Los sistemas de Unix y Linux son multiusuarios. Esto

significa que pueden ser utilizados por varios usuarios
simultneamente. Desde el punto de vista del sistema
operativos, un usuario es un ente que usa algn servicio
del sistema. Los usuarios de un sistema pueden ser
personas pero tambin pueden ser procesos.
Cuando un sistema Linux debe dar servicio a varias
personas se crean distintas cuentas de usuario , que
estn compuestas por un nombre y una contrasea.

INICIO DE SESIN EN EL SISTEMA

Un inicio de sesin es la operacin
que realiza el usuario para comenzar
a usar un sistema Linux. Para el
sistema operativo, una sesin es un
proceso que se lanza para atender al
usuario.

CONCEPTOS BASICOS
Sesin en modo texto o sesin texto: es una sesin que
se desarrolla sobre una interfaz de texto. Este tipo de sesin
es simple y consume pocos recursos, ya que solo se utiliza
texto.
Sesin modo grafico sesin grafica :es una sesin que
se desarrolla sobre un entorno grafico.
Sesin locales la que se realiza sobre el mimo equipo en el
que se esta trabajando
Sesin remota : es la que se realiza sobre un equipo
remoto a travs de una comunicacin de red.
Sesin activa : puesto que un mismo usuario puede tener
varias sesiones abiertas, se considera sesin activa a la que
este en primer plano, es decir, a la que reciba los eventos de
entrada del usuario como pulsaciones de teclas o
movimiento de ratn.
Sesiones abiertas: es el conjunto total de sesiones
iniciadas en una maquina

 Cambio de sesin: consiste en cambiar de sesin activa, para lo que es

necesario introducir el nombre de usuario y su contrasea.
Cierre de sesin: consiste en cerrar el proceso principal de la sesin, lo
que conlleva el cierre de todos los dems procesos asociados a la misma..
Consola virtual: cada una de las interfaces virtuales independientes que
ofrece un sistema. En todo momento, la consola del sistema permanece
acoplada a una de las consolas virtuales. La consola del sistema puede
conmutar hacia cualquiera de las consolas virtuales.
Terminal fsico: un terminal fsico era un sistema bsico que se utilizaba
para manejar antiguos computadores. Podra considerarse un perifrico de
entrada/salida compuesto por monitor, un teclado y la circuitera de
comunicaciones necesaria para evitar pulsaciones del teclado al
computador y recibir caracteres para mostrar en el monitor.
Emulador de terminal: hoy en da los terminales fsicos han sido
sustituidos por emuladores, que son programas que simulan el
comportamiento de sus predecesores. Hay emuladores de terminal grficos
y modo texto. Los emuladores de terminal se suelen utilizar en la realizacin
de sesiones de texto remotas.

EL ADMINISTRADOR DEL SISTEMA

El administrador del sistema es el

usuario especial que se crea durante
la instalaciones especial porque tiene
todos los privilegios, es decir , puede
realizar cualquier accin posible sobre
cualquier elemento del sistema.
Si se conoce la clave de root, es posible pasar a utilizar el
sistema como administrador mediante el comando su.

 La cuenta administrador (tambin llamado root ) es

necesario para realizar ciertas operaciones, pero no es
conveniente usarla de forma habitual ya que una eventual
equivocacin podra tener efectos nada deseables. Lo mas
conveniente es utilizar una cuenta de usuario no privilegiado
de forma habitual y la cuenta root solo para tareas de
administrador.
La orden sudo sirve para ejecutar instrucciones como si
fuese otro usuario .En caso de no especificar ningn usuario
sudo intentara ejecutar la instruccin como administrador
root.

Carpeta /etc
Archivo sudoers: el archivo /etc/sudoers lo utiliza la instruccin
sudo para determinar que ordenes pueden ejecutar los usuarios
que la utilizan.
Usuario Maquina =(Usuario_objetivo) [Etiqueta]: Orden
La orden visudo sirve
para editar de forma segura el
archivo /etc/sudoers. Para ello, abre dicho archivo como
editor teniendo en cuenta los posibles bloqueos sobre el
mismo para evitar modificaciones simultaneas. Tras la
edicin realiza una serie de comprobaciones a fin de
asegurar la correccin en el formato de archivo antes de
guardarlos. Si detecta algn problema indicara la lnea
donde se produce
Archivo passwd: el archivo /etc/passwd contiene informacin
sobre las cuentas de usuario.
Cuenta: contrasea: UID: GID: GECOS: directorio: intrprete

 Archivo shadow: el archivo /etc/shadow contiene las contraseas

cifradas de los usuarios, su envejecimiento y la informacin
adicional.
Cuenta: contrasea: D1: D2: D3: D4: D5 : D6: Reservado
Archivo group: El archivo /etc/group es un archivo en texto sin
formato que define los gropos a los que pertenecen los usuarios.
Nombre_Grupo: Contrasea: GID: Listas_Usuarios
Archivo gshadow: El archivo /etc/gshadow contiene informacin
segura de los grupos. Este archivo no es legible por usuarios
normales.
Nombre_Grupo: Contrasea :Administradores:Miembros
UID = User ID o sea el identificador de usuario.
GID = Group ID, para identificar el grupo al que
pertenece.

Cuentas de
usuario
La orden que se usa para crear una simple cuenta de usuario en Linux es useradd. Es una
orden de bajo nivel y, en la mayora de las distribuciones, se recomienda usar
en su lugar adduser, que realiza una creacin mas completa, ya que permite incluir
informacin adicional del usuario, carpeta personal y grupo primario al que pertenece.
La orden addusser puede usarse para aadir un usuario normal o un usuario de sistema y
tambin para aadir un usuario existente a un grupo existente.
La modificacin de las cuentas de usuario se realiza con la orden ussermod. Con esta orden,
con esta orden se puede realizar tareas como cambiar una carpeta personal, bloquear y
desbloquear la cuenta, cambiar contrasea, cambiar su UID o GID, cambiar su nombre o
cambiar el tipo de interprete de ordenes a utilizar.
Por su parte, para eliminar una cuenta de usuario, existen dos opciones. La de bajo nivel es
userdel y permite borrar el usuario junto a su carpeta personal con todo lo que contenga ,
adems de su buzn de correo. Otra opcin es utilizar la orden deluser, que se trata de un
script que ofrece mayor funcionalidad, como borrar a todos los archivos que posea el usuario
en el sistema o volcar en un archivo todos los datos del usuario antes de borrarlo.

PROPIETARIO
Sintaxis para usar chown:
chown [nombre_propietario] [nombre_archivo_o_carpeta]
Si escribimos:

chown -R [nombre_propietario] [nombre_carpeta]

Cambia en forma recursiva el propietario del contenido de la carpeta. Es decir de tod
carpeta.
GRUPO
Sintaxis para usar chgrp:
chgrp [nombre_grupo] [nombre_archivo]

Para poder incorporar un usuario a un grupo (ambos ya creados), podemos

utilizar la orden adduser o la orden usermod, con la siguiente sintaxis :
adduser usuario grupo
usermod -Ga grupo1 grupo2 grupo 3
Por su parte, para excluir a un usuario de la pertenencia a un grupo determinad,
Necesitamos una de las siguientes ordenes:
deluser usuario grupo
usermod -G grupo1 grupo2
Se debe tener en cuenta que la orden usermod aade el usuario al grupo1 y lo quita
de todos los dems grupos a los que haya pertenecido anteriormente.

Grupo
La herramienta bsica para crear es groupadd ,pero suele utilizarse addgroup
en su lugar, por tener una interfaz mas intuitiva. Con addgroup pueden crearse
grupos de usuarios o de sistema se usa la opcin -system, adems de permitir
especificar cual va a ser el identificador numrico GID.
Para modificar una cuenta de grupo ya creada se utiliza la orden groupmod
que permite cambiar el GID, el nombre y la contrasea del grupo.
Para eliminar grupos se dispone de las ordenes groupdel y delgroup siendo la
segunda opcin mas habitual. Con el delgroup
se elimina el grupo
especificado y puede establecerse la opcin -only-if-empty para que solamente
se elimine el grupo que realmente no tiene ningn usuario asociado.

Orden

Descripcin

passwd [usuario]

Cambia la contrasea de una

cuenta. Si no se especifica ningn
usuario , entonces se cambia la
contrasea de la cuenta actual. Esta
orden sirve tambin para cambiar el
interprete (Shell) utilizando por el
usuario y el campo GECOS (chafn)

id

Muestra la identidad del usuario

users
who
finger
w

Muestra los nombres de los usuarios

conectados actualmente al equipo.

groups

Muestra los grupos a los que

pertenece un usuario

usermod -L usuario

Bloquea la cuenta de usuario

usermod --U usuario

Desbloquea la cuenta de usuario

gpasswd

Cambia la contrasea de un grupo y

permite establecer administradores y
miembros .

Valor

Descripcin

Archivo regular.

Directorio.

B
Archivo especial como dispositivo de
bloque.
C

Archivo de carcter especial.

Enlace simblico.

Tubera nombrada (FIFO).

Zcalo de dominio (socket)

-rwxrwxrwx 1 root root

0 may 9 21:27 gauss

Gestin de
permisos
En los sistemas operativos modernos, donde es posible que distintos usuarios
accedan a un mismo equipo (directamente sobre el o a travs de otro equipo por
la conexin de red), resulta imprescindible establecer mecanismos que controlen
la seguridad y especifiquen que otras operaciones estn autorizados a realizar y
cuales no o si tienen privilegios para consultar o modificar la informacin
almacenada en el disco duro.
Lo que hace que los sistemas GNU/Linux sean mas estables y seguros con
respecto a otros sistemas operativos es que el control se lleva a cabo en el
mismo ncleo o Kernel.
Gracias a que este control se realiza de forma nativa a este nivel, ningn
programa que se ejecute en el equipo podr saltarse restricciones impuestas
para vulnerar la seguridad que se haya establecido. Por esta razn y, como se
explica en el capitulo 1, a un programa virus le resulta muy difcil penetrar en el
equipo GNU/Linux, ya que necesita ejecutarse con una cuenta usuario que tenga
los privilegios suficientes.

Permisos en archivos y carpetas

En Linux, cada carpeta o archivo pertenece a un nico usuario y a un nico grupo, que
suelen denominarse, respectivamente, usuario propietario y grupo propietario.
Las operaciones que se pueden realizar el usuario propietario, el grupo propietario y el resto
de los usuarios sobre un archivo carpeta se establecen asignando ciertos permisos, que
son los siguientes.
o

Lectura(r): permite leer el contenido de un archivo o carpeta

Escritura (w): permite modificar el contenido del archivo o modificar el contenido de la
carpeta(es decir crear o eliminar archivos o carpetas dentro de ella)
Ejecucin (x): permite ejecutar el archivo o acceder a la carpeta

o
o

SUID/SGID (s): el archivo se va a ejecutar con los privilegios de su usuario o grupo

propietario.
Pegajoso o Sticky (t): aplicado a una carpeta, especifica que los elementos que
contiene solo pueden ser eliminados o cambiados de nombre por su usuario
propietario, el propietario de la carpeta que los contiene o el usuario root. Aplicando a
archivos ejecutables, indica que el programa sea mantenido en memoria swap del
equipo, aunque este uso ha quedado obsoleto actualmente.

Permisos
de:

Usuario (u):son los permisos que tiene el usuario propietario.

Grupo (g):son los permisos que tienen los usuarios que pertenecen al grupo
propietario.
Otros(o):Son los permisos que poseen los usuarios que ni son el propietario
ni pertenecen al grupo propietario.

Notacin
simblica
Un archivo o carpeta en GNU/Linux puede tener asociado un total de 15 permisos diferentes
ya que, cada permiso se puede aplicar al usuario propietario, al grupo propietario o al resto de
los usuarios. Si se utiliza la orden ls -l para mostrar el contenido de una carpeta, los
permisos aparecern de la siguiente forma:
rwxrwxrwx
Donde los tres primeros permisos (rwx) se aplican al usuario propietario, los siguientes (rwx) a
los usuarios que pertenecen al grupo propietario y los tres ltimos (rwx) al resto de los
usuarios. Si un archivo o carpeta no tiene asignado el premiso, entonces se muestran en su
lugar un guion - por ejemplo:
rw-r----Si existe el permiso SUID o SGID (s), estos aparecern en el lugar que ocupa el permiso de
ejecucin (x) del usuario propietario o grupo propietario. Por su parte se existe el permiso (t),
aparecer en lugar del permiso ejecucin (x) para los permisos aplicados a otros usuarios.
Si aparecen en maysculas quiere decir que el archivo o carpeta no tiene asignado el permiso
ejecutar y si aparece en minsculas significa que el archivo o carpeta tambin tiene asignado
el permiso ejecucin por ejemplo:
rwsrwSr-t

Notacin
Numrica
Adems de la notacin simblica, los permisos en GNU/Linux se pueden representar
De forma numrica, usando los sistemas de numeracin binario u octal. Esta
Representacin de permisos tiene que ver con la forma en la que estos se
almacenan en cada archivo y carpeta del sistema de archivos. En GNU/Linux, cada
Archivo o carpeta dispone de un espacio donde se almacenan sus permisos
asociados
Utilizando una notacin en binario. Cada valor representa, segn su posicin, el
Permiso correspondiente y segn su valor (0 o 1) si ese permiso ha sido aplicado
O no.
Valor octal Valor binario Suma
Simblica
rw-r-x--x = 110101001
0
000
0
--1

001

--x

010

-w-

011

2+1

-wx

100

r--

101

4+1

r-x

110

4+2

rw-

111

4+2+1

rwx

La representacin de permisos usando 9 cifras en binario o tres en octal se utiliza para

especificar los permisos normales. Sin embargo, para poder especificar los permisos
especiales, es necesario ampliar esta notacin con tres dgitos mas en binario y uno mas en
octal, que se aaden a la parte izquierda de la representacin.
rwSrwsr-T = 111110111100 = 7674

Valor
octal

Valor
binario

suma

Permisos

Aadidos en
666

Aadidos en
777

000

ninguno

rw-rw-rw-

rwxrwxrwx

001

pegajoso

rw-rw-rwT

rwxrwxrwt

010

GUID

rw-rwS-rw-

rwxrwsrwx

011

2+1

SGID y Pegajoso

rw-rwS-rwT

rwxrwsrwt

100

SUID

rwSrw-rw-

rwsrwxrwx

101

4+1

SUID y Pegajoso

rwSrw-rwT

rwsrwxrwt

110

4+2

SUID y SGID

rwSrwSrw-

rwsrwsrwx

111

4+2+1

SUID, SGID y
Pegajoso

rwSrwSrwT

rwsrwsrwt

Comando
chmod
La instruccin chmod sirve para modificar los permisos de los archivos y carpetas.
Esta orden acepta dos nomenclaturas diferentes para especificar para especificar
los permisos que se deben aadir o eliminar:
l Notacin simblica: tiene un formato fcil de recordar, ya que especifica a quien se le
pidan los permisos, como se aplican y que permisos se aplican.

u: se refiere al usuario propietario del archivo o carpeta

g: se refiere al grupo propietario del archivo o carpeta

o: se refiere a otros usuarios que no sean el propietario o los que pertenecen al

grupo propietario del archivo o carpeta.

a: se refiere a todos los usuarios creados en el equipo.

+: los permisos especificados se aaden a los ya existentes.

-:los permisos especficos se eliminan.

=los permisos que debe tener el archivo o carpeta deben ser exactamente los
indicados.

r: permiso de lectura del contenido del archivo o carpeta

w:permiso de escritura en el archivo o permiso para crear o eliminar elementos

dentro de la carpeta.

x: permiso para ejecutar el archivo o acceder al contenido de la carpeta.

X: permiso para acceder al contenido de la carpeta o ejecutar el archivo para

todos los usuarios si tienen permiso de ejecucin para algn usuario.

s:establece el permiso SUID o SGID al ejecutar.

t: establece el permiso de pegajoso Stiky

Notacin octal: Se utilizan 3 cifras para permisos normales y una cuarta del lado
izquierdo para permisos especiales.
Sintaxis notacin simblica:
chmod [u,g,o][+,-,=][r,w,x,s,t] [nombre_archivo,nombre_directorio]

Sintaxis notacin numrica:

chmod [CPE][CPUP][CPGP][CPOU] [nombre_archivo,nombre_carpeta]

CPE=cifra octal de permisos especiales

CPUP=cifra octal de permisos de usuario propietario
CPGP=cifra octal de permisos de grupo propietario
CPOU=cifra octal de permisos de otros usuarios

Comando
umask

En los sistemas GNU/Linux se establece una variable de entorno que determina que
permisos tendr nuevos archivos y carpetas al ser creados. Esta variable de entorno,
de nominada umask, se puede consultar o modificar utilizando la orden del mismo
nombre.
Los permisos que se aplican a los archivos y carpetas recin creados se calculan en
base al valor de los permisos base, que son 0777 para carpetas y 0666 para
archivos, y se les resta el valor de la variable de entorno umask. EL valor de los
permisos en total obtenidos en esta resta es el que se aplicara a los permisos de los
archivos y carpetas creados.
umask = 0002
Directorio = 0777
Archivo =0666
Directorio nuevo=0777-0022 =0755
Archivo nuevo =0666-0022 =0644

Listas de control de
acceso
Una lista de control de acceso es una lista de entradas asociada a cada archivo o carpeta
del sistema de archivos. Esta contiene una serie de filas y cada de las cuales especifica un
usuario o un grupo. En cada una de estas filas se especifica un identificador de usuario o
grupo (UID o GID) y los permisos que tiene asociado. En este modelo, la lista de control de
acceso puede tener un numero variable de filas dependiendo de los usuarios y grupos que
tengan permisos sobre el elemento en cuestin. Por esta razn, las listas de control de
acceso son mucho mas flexibles que el mecanismo tradicional de asignacin de permisos.
Usuario (user): los permisos se asignan al usuario indicado en la lista de control de
acceso.
Usuario Propietario(user): los permisos se asignan al usuario indicado propietario del
archivo. El campo con el identificador de usuario aparece vaco en la lista de control de
acceso.
Grupo(group): los permisos se asignan al grupo indicado en a lista de control de acceso.
Grupo propietario(group): los permisos se asignan al grupo propietario del archivo. EL
campo con el identificador de grupo aparece vaco en la lista de control de acceso.
Otros usuarios(other): los permisos se asignan a aquellos usuarios que no hayan sido
especificados en otras entradas de la lista.
Mscara (mask): especifica todos los permisos que pueden asignar a un usuario, un
grupo o al grupo propietario.

Los permisos que se pueden asignar en cada entrada de la lista de control de acceso son
los mismos permisos tradicionales: lectura, escritura y ejecucin. En estas listas de control
de acceso no se pueden asignar los permisos SUID/SGID o pegajoso.
EL formato de entrada en la lista de control de acceso es la siguiente:
Tipo: identificador :permisos
Donde tipo especifica el tipo de entrada (u o user especifica un usuario, g o group un
grupo , o u other y mask para la mascara de permisos mas restrictiva ). Por su parte ,
identificador es el nombre o identificador numrico (UID GID) del usuario o grupo (si no
aparece, se esta haciendo referencia al propietario). Finalmente permisos especifica los
permisos que se asignan (rwx).

Orden

Descripcin

getfacl

Muestra la lista de control

de acceso de un archivo o
carpetas especificados .

setfacl

Modifica la lista de control

de acceso de un archivo o
carpeta especifico.

Para aadir una entrada a una lista de control de acceso se usa la siguiente
orden :
setfacl m [-R] entrada_acl archivo_o_carpeta
Por su parte, para eliminar todas las entradas de control de acceso existente y
aadir, se usa la siguiente orden :
setfacl s [-R] entrada_acl archivo_o_carpeta
Donde entrada_acl especifica la entrada a aadir. Se pueden especificar varias
entradas separndolas por comas.
Tipo : identificador : permisos , Tipo : identificador :permisos

Impresin en
Linux
Controlador de dispositivo a la impresora(driver): Programa encargado de gestionar
las peticiones de impresiones y adaptarlas al modelo y fabricante de la impresora.
Se debe tener en cuenta que cada modelo de impresor tiene un funcionamiento
interno distinto y acepta un conjunto de ordenes y comando diferentes. El uso de
estos programas permite disponer de varias impresoras conectadas de diferentes
l
fabricantes y modelos .
l
Cola de impresola (Spooler):Es un programa que permite adaptar las diferentes
l
de trabajo de las aplicaciones que se ejecutan en el ordenador de la impresora. Un
l
ordenador y la impresoras. Un ordenador trabaja mil veces mas rapido que una
l
impresora por lo que es necesario definir un rea de intercambio de informacin que
l
almacene los datos a imprimir de forma que estos no se pierdan por el funcionamiento
l
mucho mas lento de la impresora. Esta rea de intercambio funciona como una cola.
l
El primer trabajo que llega es el primero que se imprime y los trabajos pendientes
l
esperan hasta que llega su turno. El programa que gestiona la cola llamado
l
planificador, recibe de la impresora toda la informacin que necesita saber si esta
l
ocupada o esta preparada para recibir mas trabajos.
Un ordenador puede tener conectada ms de una impresora y cada una de ellas
l
tendr su propia cola con su propio planificador.

Servicios de impresin
Sistema de impresin BSD LPD (Line Printer Daemon o Demonio de
impresin en Linea):es un conjunto de programas para la gestion de
impresoras en sistemas de tipo Unix.
Sistemas de impresin System V : se trata de un sistema de
impresin propietario utilizado en los systemas Unix System V Y SCO
Cups (Common Unix Printing System o Sistema de impresin
Comn de Unix): Se trata de un sistema de gestin de impresoras bajo
licencia GPL con diseo modularizado que permite al ordenador funcionar
como servidor de impresora, es decir para cualquier ordenador conectado
a la red pueda enviar trabajos a imprimir a las impresoras conectadas con
este equipo. El sistema CUPS esta formado por una cola de impresora, un
programa que convierte datos para imprimir en formatos reconocido por la
impresora y un programa planificador que enva los datos a la impresora.
El sistema CUPS funciona en base al protocolo IPP(internet Printing
Protocol o Protocolo de impresin en internet)
GPL Licencia publica general
Obliga a incluir los programas fuentes, permitiendo modificarlos sin restricciones y
solo es posible integrarlo con otro GPL, prohbe cambiar las condiciones en futuras
versiones evitando que se vuelva propietario
l

El sistema CUPS instalado en cualquier distribucin de Linux dispone de todas la

opciones necesarias para configurar correctamente los parmetros de impresin
de todas aquellas impresoras conectadas al equipo local o accesibles a travs
de la red de comunicacin.
Instalacion y Configuracion de CUPS en Ubuntu Server
1)En caso de no tenerlo instalado :
apt-get install cups
2)Instalamos una impresora virtual :apt-get install cups-pdf
3)Instalado acceder a /etc/cups :
cd /etc/cups
4)Hacer copia de seguridad del archivo cupsd.conf :
cp cupsd.conf
cupds.config.copia
5)Procedemos a editar este archivo : nano cupsd.conf
6)Ponemos como comentario la linea que dice Listen localhost:631 :
7)(para ello ponemos # antes de esa linea ) #Listen localhost:631
7)Ponemos en su lugar una linea pero en lugar de localhost colocamos nuestra
direccion IP :
Listen 192.168.0.11:631
8)En # Restrict access to the server... bajo la linea Order allow,deny agregamos
una linea con allow @LOCAL.
9)En # Restrict access to the admin pages... bajo la linea Order allow,deny
agregamos una vez mas la linea allow @LOCAL.
10)Guardamos con control+o el nombre lo dejamos igual y cerramos con
control+x.
l)
Reiniciamos nuestro servicio con: service cups restart
l)
Podemos verificar el reinicio con: service cups status

Configuracin CUPS en Linea

Accedemos a la direccion http://localhost:631/

Pasamos a la seccin Administracin

Selccionamos la casilla de Compartir impresoras conectadas a este

sistema.

l
l

Nos perdita autenticar en usuario le escribimos root y la contracea del usuario

root de nuestro sistema.

Aadir una
impresora

Seleccionaremos una impresora virtual

pdf

Seleccionamos compartir impresora y siguiente

Seleccionamos en marca Generic y PostScript Printer (en)

Seleccionamos aadir
impresora

Seleccionamos en cambiar opciones

Predeterminadas