Documente Academic
Documente Profesional
Documente Cultură
GESTIN DE USUARIOS
Eduard Lara
1. INTRODUCCIN
Veremos como se gestionan los usuarios locales en un
equipo con Linux, sea Server o Desktop.
Aunque en Linux hay algunas cosas diferentes, la base
de la gestin de usuarios es la misma que en Windows.
Slo existe un usuario que, a priori, tiene privilegios
para dar de alta usuarios en el equipo: el usuario root.
Los usuarios que vamos a gestionar son usuarios locales
del sistema. Su gestin slo afectar al equipo en el que
estemos gestionando estos usuarios, y no afectar al
resto de equipos de la red.
Veremos las rdenes para gestionar usuarios y grupos.
Y dnde y cmo el S.O. almacena esta informacin.
2
1. ARCHIVO DE USUARIOS Y
CONTRASEAS
Al crear una cuenta de usuario en un sistema Linux, se
aade una entrada en la lista de usuarios que se almacena
en el archivo de contraseas /etc/passwd.
Este archivo es un archivo de texto donde cada lnea
contiene informacin de una nica cuenta de usuario.
root:&%J4M5#Z}!$A&L:0:0:root:/root:/bin/bash
login
login
contrasea
contrasea
UID
UID
GID
GID
nombre
nombre
del
delusuario
usuario
directorio
directorio
home
home
shell
shell
pepe:x:500:500:Pepe Garcia:/home/pepe:/bin/bash
1. ARCHIVO DE USUARIOS Y
CONTRASEAS
Archivo /etc/passwd
1. ARCHIVO DE USUARIOS Y
CONTRASEAS
- Login: Nombre de la cuenta de usuario. Se utiliza para
iniciar la sesin.
- Contrasea: Cada usuario tiene asociado una
contrasea. La contrasea en el archivo /etc/passwd se
almacena encriptada. Aunque la contrasea est
encriptada el archivo /etc/passwd puede ser leido por
todos los usuarios del sistema. Por motivos de seguridad
es posible almacenar las contraseas en un archivo
independiente llamado /etc/shadow que nicamente
puede ser ledo por el usuario root. El sistema indica en
/etc/passwd que la contrasea se almacena en un archivo
independiente colocando una x en el campo contrasea.
5
1. ARCHIVO DE USUARIOS Y
CONTRASEAS
- User ID: Cada cuenta de usuario requiere de un id
nico llamado UID (User Identifier). El UID es un entero
no negativo. El usuario root tiene asignado el UID cero.
Los UIDs comprendidos entre 1 y 499 estn reservados
para propsitos administrativos y los usuarios
convencionales del sistema empiezan a partir del UID
500.
- Group ID (GID): Cada usuario tiene asociado un grupo
por defecto con un GID (Group Identifier). Igual que el
UID, el GID es un entero no negativo. El GID de cada
usuario almacenado en el archivo /etc/passwd es el
identificador del grupo por defecto, aunque un usuario
puede pertenecer a varios grupos.
6
1. ARCHIVO DE USUARIOS Y
CONTRASEAS
- Nombre del usuario: Es el nombre del usuario o
comentario que define la cuenta de usuario.
- Directorio Personal de Trabajo (Directorio Home):
Esta entrada especifica el directorio personal de trabajo
del usuario.
- Shell: Indica que interprete de comandos usar el
sistema por defecto para esta cuenta de usuario. Para las
cuentas utilizadas para controlar permiso de archivos
pero que nunca deberan iniciar una sesin, es posible
especificar en el campo de shell /bin/false. El interprete
de comandos /bin/false es un pequeo programa que no
hace nada, impidiendo que se use la cuenta de usuario
para iniciar una sesin en el sistema.
7
2. GRUPOS Y EL ARCHIVO
DE GRUPOS
Un grupo local es la entidad administrativa capaz de
incluir un conjunto de usuarios o incluso otros grupos,
de tal forma que todos los privilegios concedidos a ese
grupo, se heredan de forma directa por los usuarios o
grupos que de l dependen.
Los GID y los nombres asociados se almacenan en el
archivo /etc/group, utilizando la sintaxis indicada en la
figura.
root:X:0:root
nombre
nombre
del
delgrupo
grupo
contrasea
contrasea
GID
GID
listado
listadode
de
usuario
usuario
alumnos:W/B?}[G6R:510:pepe,carlos,juan
2. GRUPOS Y EL ARCHIVO
DE GRUPOS
- Nombre del Grupo: Cada grupo tiene que tener un
nombre nico en el sistema.
- Contrasea del Grupo: Los grupos pueden tener
tambin una contrasea asociada. Un usuario puede
cambiar su grupo por defecto mediante la orden newgrp.
Si el grupo est protegido mediante una contrasea, el
usuario necesitar esta contrasea para realizar el
cambio de grupo sino pertenece a este grupo.
- Identificador de Grupo (GID). Cada grupo requiere
un identificador que es un nmero entero no negativo.
- Miembros del Grupo. Lista de los usuarios que
pertenecen a este grupo. Los distintos usuarios estn
separados por comas.
9
2. GRUPOS Y EL ARCHIVO
DE GRUPOS
Archivo /etc/group
La administracin de
los grupos es similar a
la administracin de
usuarios.
10
2. GRUPOS Y EL ARCHIVO
DE GRUPOS
Todo usuario tiene que pertenecer necesariamente a
un grupo para estar identificado en el sistema.
Al dar de alta a un usuario en Linux, se le asocia a un
grupo que tiene el mismo nombre del usuario
Normalmente los usuarios pertenecen a alguno de los
grupos que Linux crea por defecto tras la instalacin:
- users. Grupo general de usuarios. Normalmente los
usuarios que creemos son asignados a este grupo.
- ssh. Grupo al que pertenecern usuarios a los que se
les permita conexin remota al sistema por SSH.
- dhcp. Los usuarios que pertenezcan a este grupo
podrn administrar el servicio DHCP del equipo.
11
2. GRUPOS Y EL ARCHIVO
DE GRUPOS
- root. A este grupo pertenece el usuario root y aquellos
usuarios que administran casi por completo el equipo
local. Root tiene acceso completo y sin restricciones al
equipo o dominio. Para hacer uso de privilegios root la
clave ser la contrasea de inicio de sesin del usuario
inicial. Los dems usuarios tendrn acceso solo segn el
administrador se lo permita.
- admin. Grupo con privilegios de administracin en el
sistema al que pertenece el usuario que se introdujo en la
instalacin del sistema operativo. Los invitados tienen
predeterminadamente el mismo acceso que los miembros
del grupo Users, excepto la cuenta Invitado, que tiene
ms restricciones.
12
3. SISTEMA DE CONTRASEAS
SHADOW
Por defecto el sistema de contraseas Shadow est
habilitado en el sistema Linux
Aunque la informacin de cuentas de usuario en
/etc/passwd slo es modificable por el usuario root, esta
informacin es visible por todos los usuarios del sistema.
Aunque las contraseas de los usuarios estn
encriptadas en /etc/passwd, sera deseable que el nico
usuario que las pudiera ver sea el usuario root.
El sistema de contraseas shadow almacena la
informacin de los usuarios en /etc/passwd exactamente
como se ha descrito anteriormente, excepto la
contrasea encriptada, que se almacena en un archivo
independiente llamado /etc/shadow
13
3. SISTEMA DE CONTRASEAS
SHADOW
El archivo de contraseas /etc/shadow slo es
modificable y visible por el usuario root, el resto de
usuarios NO tiene permisos para leer el contenido del
archivo, es decir las contraseas encriptadas.
14
3. SISTEMA DE CONTRASEAS
SHADOW
El sistema de contraseas shadow tambin se
implementa en las contraseas de los grupos. En lugar
de utilizar el fichero semipblico /etc/group, la
informacin de contraseas se almacena encriptada en
el archivo privado /etc/gshadow
15
usermod
userdel
id
passwd
su
groups
groupadd
groupmod
groupdel
gpasswd
newgrp
pwconv
pwunconv
grpconv
grpunconv
Falta login
16
17
19
22
24
25
Sistema/Administracin/Usuarios y grupos
26
27
28
29
30
31
32
33
34
35
36
37