• Identificación: consiste en saber quién es en el sistema
a fin de determinar los permisos de la persona. • Todo usuario en el sistema tiene una asociación login, UID y GUID, que serán únicos. • UID identifica al usuario a lo largo de toda la conexión, se utiliza para el control de sus derechos y de los procesos que haya iniciado. • UID con valores inferiores a 100 se asocian a cuentas especiales con derechos extendidos. • Según la distribución, los UID de los usuarios sin privilegios particulares están comprendidos entre 100, 500 o 1000 y 60000. Usuarios y Grupos • Un login tiene en principio 8 caracteres, aunque se aceptan un número mayor. A efectos de visualización, muchos comandos emplean los primeros 8 caracteres del login. • Para el login, se aceptan la mayoría de caracteres aunque no puede comenzar por un carácter numérico. • Es posible configurar la lista de caracteres autorizados y forzar longitud y complejidad mediante el fichero /etc/login.defs o los mecanismos de PAM (Pluggable Authentication Module). Usuarios y Grupos • Un grupo es un conjunto de usuarios de característica comunes. • Cada usuario forma parte de al menos un grupo. • GID es el identificador de grupo y acompaña siempre en el sistema al usuario para controlar sus privilegios. • Un usuario puede pertenecer a más de un grupo, en este caso, tendrá un grupo primario y varios grupos secundarios. • Existen grupos específicos para la gestión de algunas propiedades del sistema, y acceso a ciertos periféricos. • Cada vez que un usuario crea un fichero, este recibirá como identificador de grupo el identificador del grupo principal del usuario creador. • El usuario dispone de todos los derechos asociados a los grupos secundarios a los cuales pertenezca. • En el comando id podemos conocer: UID, GUID, así como los grupos secundarios. Usuarios y Grupos • id – uid=1000(rafa) gid=1000(rafa) grupos=1000(rafa),24(cdrom),25(floppy),29(a udio),30(dip),44(video),46(plugdev) • touch k – -rw-r--r-- 1 rafa rafa 0 ene 16 17:29 k Usuarios y Grupos • Contraseñas: – Compromiso entre seguridad y comodidad para el usuario. – Están cifradas en MD5, DES. – Se deberán cambiar regularmente. – El sistema obliga al usuario a aplicar las reglas de creación y duración de contraseñas. Usuarios y Grupos • Ficheros: – /etc/passwd -rw-r--r-- 1 root root 1748 ene 14 21:06 passwd – /etc/group -rw-r--r-- 1 root root 1374 ene 14 21:20 group – /etc/shadow -rw-r----- 1 root shadow 1917 ene 14 21:07 shadow – /etc/gshadow (no soportado por la mayoría) Usuarios y Grupos • Fichero /etc/passwd: – Login:password:UID:GUID:comentario:homedir:shell – Login: nombre de usuario. – Passwd: en antiguas versiones, la contraseña cifrada Si hay una x, se coloca la contraseña en /etc/shadow – UID: identificador de usuario – GID: identificador del grupo principal del usuario. – Comentario: descripción del usuario. – Homedir: directorio de trabajo personal del usuario. Es que que se le presenta al usuario cuando se conecta. – Shell: shell por defecto del usuario, puede ser un comando, o incluso un comando que prohíbe la conexión. Usuarios y Grupos • Fichero /etc/group: – Group:password:GID:usuario1,usuario2,…… – Group: nombre de grupo. – Password: contraseña de grupo. – GID: identificador de grupo. – Comentario: descripción del usuario. – Usuario1,usuario2…: usuarios que pertenecen al grupo. • No podemos conectarnos como grupo. • Este campo, password, es utilizado en comando newgrp, utilizado para los casos en los que queramos temporalmente cambiar el grupo principal de pertenencia del usuario sin pertenecer al grupo. – gpasswd nomgrupo – Si conocemos la contraseña nos añadirá nomgrupo como grupo ppal. – groups visualizamos los grupos a los que pertenecemos • En el caso en el que el usuario quiera poner un grupo secundario al cual pertenece como grupo principal utilizaríamos: – newgrp grupoSecundario Usuarios y Grupos • Fichero /etc/shadow: – Trabaja junto con /etc/passwd. – Contiene la contraseña cifrada de usuario y la validez de la contraseña en el tiempo. – usuario:$6$7vtrdQFY$IQ7Xq9E3tlNUzbLBnQMCcXWIrkL6IipAlEHV/tEj.SKFvqJ9Oi4Mksq5B3U5WhjJqwR X46M1K3zj8h2LT2VKa.:15616:0:99999:7::: – $xx$ indica el tipo de cifrado. – 15616: número de días desde el 1 de enero de 1970 al último cambio de contraseña. – 0: número de días sin poder cambiar la contraseña, en este caso 0 se puede cambiar en cualquier momento. – 99999: número de días a partir de los cuales se debe cambiar la contraseña. – 7:número de días después del vencimiento de la contraseña tras los cuales se desactiva la cuenta. – Penúltimo campo: número de días desde el 1 de enero de 1970 hasta el momento en el cual se desactivo la cuenta. – Último campo: reservado. • Consultar /etc/login.defs Usuarios y Grupos • Fichero /etc/shadow: – Para consultar fechas en función 1/1/1970: – date --date "1 jan 1970 + 15696 days" Usuarios y Grupos • Creación de usuarios: – Se añade una entrada en /etc/passwd – Se añade una entrada en /etc/shadow – Se añade una entrada si fuese el caso en /etc/group – Se crea el directorio personal y se actualiza su contenido con el contenido de /etc/skel – Se cambian los permisos y el propietario del directorio personal. Usuarios y Grupos • Creación de usuarios: – Editando manualmente /etc/passwd, no aconsejable pero posible. – Comando vipw • -p: edita /etc/passwd • -g: edita /etc/group • -s: edita /etc/shadow – Comando useradd Usuarios y Grupos • Creación de usuarios: – Sin opciones se recuperan los valores de: • /etcdefault/useradd • useradd kk • -m: Crea el directorio personal • -u: especifica el UID numérico del usuario, se cambia en función del fichero login.defs y los UID existentes. • -g: especifica el grupo principal del usuario. • -G: especifica los grupos secundarios, separado por comas. • -d: ruta del directorio personal. • -c: comentario de la cuenta. • -s: shell por defecto del usuario. • -p: contraseña, deberá estar ya cifrada. Usuarios y Grupos • passwd: – Cambia los campos de /etc/shadow – l: Lock bloquea la cuenta, añade un ! Delante de la contraseña cifrada. – -u: Unlock, desbloque la cuenta. – -d: suprime la contraseña de la cuenta. – -n: vida mínima en días de la contraseña. – -x: vida máxima en días de la contraseña. – -w: número de días antes de un aviso. – -i Perido de gracia antes de la desactivación, si ha vencido la contraseña. – -S: estado del la contraseña. • Comando chage usuario hace lo mismo pero de forma iteractiva. chage usuario -l Usuarios y Grupos – usermod: • - L: bloquea la cuenta como passwd –l • -U: Desbloqueo de cuenta como passwd –u • -e: la cuenta expira en n días después de 1/1/1970 • -u UID: Modifica el UID asociado al login, se modifica el propietario de los ficheros que pertenecen al antiguo UID dentro del directorio personal. • -l login: modifica el nombre de usuario. • Usuarios y Grupos – userdel: • Elimina el usuario especificado, no se borra el directorio home del usuario. • -r: suprime el directorio home del usuario. • Creación de grupos: – Editando /etc/group no recomendado. – vigr o vipw –g – groupadd Usuarios y Grupos • Modificación de grupos: – groupmod opciones: • -n nombre: renombra al grupo. • -g GID: Modifica el GID, no se modifica el grupo al que pertenecen los ficheros correspondientes. • -A usuario: Añade el usuario en el grupo (secundario). • -R usuario: suprime el usuario especificado el grupo. Usuarios y Grupos • Eliminación de grupos: – Se comprueba si el grupo a borrar es grupo primario de un usuario, si es el caso no permite borrar el grupo. – En caso de que se pueda únicamente, se borra la entrada correspondiente en el fichero /etc/group. Le corresponde al usuario comprobar el sistema de ficheros. • Visualización de grupos de pertenencia: – groups grupos del usuario actual. – groups nomusuario Usuarios y Grupos • Cambio de grupo primario: – newgrp: permite cambiar de grupo primario de manera temporal, el nuevo grupo especificado debería ser un grupo secundario del usuario o de que el usuario disponga de la contraseña de grupo. – Las modificaciones son temporales, no se modifica el fichero de las contraseñas. – Cuando salgamos de la sesión, o tecleemos exit, perderemos la pertenencia del grupo en el supuesto de que no perteneciéramos a él originariamente. Usuarios y Grupos • Cambio de identidad: – Comando su permite abrir una sesión, ejecutar un comando con otra identidad o ejecutar un shell. – su –c [comando] –s [shell] [–] [usuario] • - carga el entorno completo del usuario • Los shells disponibles están en /etc/shells Usuarios y Grupos • Conexiones: – lastlog –u usuario • Se basa en la información de /var/log/lastlog – last • Se basa en la información de /var/log/wtmp Usuarios y Grupos • Acciones de usuario: – Cambiar la Shell: • chsh -s /bin/sh • La modificación se realiza sobre /etc/passwd • El cambio se produce en el próximo inicio. • Los shells disponibles listados en /etc/shells – Cambiar el comentario de usuario: • chfn • La modificación se realiza sobre /etc/passwd Usuarios y Grupos • Acciones de usuario: – Cambiar la grupo primario: • newgrp nomgrupo – Cambiar de identidad: • su –c [comando] –s [shell] [–] [usuario] – su –c “ls –la” • sg grupo –c [comando] – sg amiguetes -c "ls -la“ – Nos pedirá la contraseña del grupo amiguetes. Usuarios y Grupos • Notificaciones al usuario: – Cuando un usuario se conecta al sistema se visualizará en mensaje de bienvenida de /etc/issue – Se puede especificar otro mensaje de bienvenida en el caso de que el usuario se conecte desde consola remota, será el contenido en /etc/issue.net – Una vez que el usuario se haya conectado al sistema, de forma local o remota, se mostrará el mensaje contenido en /etc/motd, se puede notificar a los usuarios acciones importantes y así evitar mails. Usuarios y Grupos • Entorno de usuario: – En el momento de crear un usuario, se implementa el entorno de usuario. – Se copiaran los ficheros de configuración desde el directorio /etc/skel hacia el directorio personal de usuario. Usuarios y Grupos • Configuración avanzada: – /etc/default/useradd – /etc/default/passwd – /etc/default/su – /etc/login.defs