SlideShare una empresa de Scribd logo

32 usuarios y grupos

J
josemanuelacostarendon

El documento describe la administración de usuarios y grupos en Red Hat Enterprise Linux. Los usuarios son cuentas asociadas a personas o aplicaciones, mientras que los grupos son colecciones lógicas de usuarios con un propósito común. Cada usuario y grupo tiene un identificador único (UID y GID respectivamente) y los permisos de acceso a los archivos se controlan a nivel de usuario, grupo y otros.

Tecnología
1 de 18
Descargado 12 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Usuarios y grupos El control de los usuarios y grupos es un elemento clave en la administración de sistemas de Red Hat Enterprise Linux. Los Usuarios pueden ser gente real, es decir, cuentas ligadas a un usuario físico en particular, o cuentas que existen para ser usadas por aplicaciones específicas. Los Grupos son expresiones lógicas de organización, reuniendo usuarios para un propósito común. Los usuarios dentro de un mismo grupo pueden leer, escribir o ejecutar archivos que pertenecen a ese grupo. Cada usuario y grupo tiene un número de identificación único llamado identificador de usuario (UID) y un identificador de grupo (GID) respectivamente. Un usuario que crea un archivo se convierte en el propietario y el grupo propietario de ese archivo. Al archivo también se le asignan permisos separados de lectura, escritura y ejecución para el propietario del archivo, para el grupo y para cualquier otro usuario. Solamente el superusuario (root) puede cambiar el propietario de un archivo. Los permisos de acceso pueden ser cambiados tanto por el superusuario como por el creador del archivo. 33.1. Configuración de grupos y de usuarios El User Manager le permite ver, modificar, añadir y borrar los usuarios y grupos locales. To use the User Manager, you must be running the X Window System, have root privileges, and have the system-config-users RPM package installed. To start the User Manager from the desktop, go to System (on the panel) > Administration > Users &Groups. You can also type the command system-config-users at a shell prompt (for example, in an XTerm or a GNOME terminal).
Añadir un nuevo usuario 500 Figura 33.1. User Manager Para ver una lista de los usuarios locales del sistema, haga click en la pestaña Usuarios. Para visualizar una lista de los grupos locales del sistema, haga click en la pestaña Grupos. Si necesita encontrar un usuario o grupo específico, teclee las primeras letras del nombre en el campo Filtro de búsqueda. Pulse Intro o pulse en el botón Aplicar filtro. Aparecerá la lista filtrada. Para ordenar los usuarios o grupos, haga click en el nombre de la columna. Los usuarios o grupos son clasificados por el valor en esa columna. Red Hat Enterprise Linux reserves user IDs below 500 for system users. By default, User Manager does not display system users. To view all users, including the system users, go to Edit > Preferences and uncheck Hide system users and groups from the dialog box. 33.1.1. Añadir un nuevo usuario To add a new user, click the Add User button. A window as shown in Figura 33.2, “Nuevo usuario” appears. Type the username and full name for the new user in the appropriate fields. Type the user's password in the Password and Confirm Password fields. The password must be at least six characters. Tip Cuanto más larga sea una contraseña, más difícil es que alguien la adivine y se registre en la cuenta de usuario sin permiso. Es aconsejable que la contraseña no sea una palabra basada en un término del diccionario sino una combinación de letras, números y caracteres especiales.
Añadir un nuevo usuario 501 Select a login shell. If you are not sure which shell to select, accept the default value of /bin/bash. The default home directory is /home/<username>/. You can change the home directory that is created for the user, or you can choose not to create the home directory by unselecting Create home directory. Si seleccionó crear el directorio principal, los archivos de configuración por defecto son copiados desde el directorio /etc/skel en el nuevo directorio principal. Red Hat Enterprise Linux utiliza un esquema grupo de usuario privado (UPG). El esquema UPG no añade ni cambia nada en el modo estándar de UNIX de gestionar grupos; simplemente ofrece una nueva convención. Siempre que cree un nuevo usuario, por defecto, se crea un grupo único con el mismo nombre que el del usuario. Si no desea crear este grupo, anule la selección Crear un grupo privado para este usuario. Para especificar el ID del usuario, seleccione Especificar el IDdel usuario manualmente. Si la opción no ha sido seleccionada, se asignará al nuevo usuario el próximo ID del usuario disponible que empiece con el número 500. Red Hat Enterprise Linux se reservalos IDs de usuario por debajo de 500 para los usuarios de sistemas; no es aconsejable usar números menores a 500. Haga clic en OK para crear el usuario.
Añadir un nuevo usuario 502 Figura 33.2. Nuevo usuario To configure more advanced user properties, such as password expiration, modify the user's properties after adding the user. Refer to Sección 33.1.2, “Modificar las propiedades del usuario” for more information. 33.1.2. Modificar las propiedades del usuario To view the properties of an existing user, click on the Users tab, select the user from the user list, and click Properties from the menu (or choose File > Properties from the pulldown menu). A window similar to Figura 33.3, “Propiedades del usuario” appears.
503 Modificar las propiedades del usuario Figura 33.3. Propiedades del usuario La ventana Propiedades de los usuarios está dividida en múltiples páginas: • User Data — Shows the basic user information configured when you added the user. Use this tab to change the user's full name, password, home directory, or login shell. • Información de la cuenta — Seleccione Activar expiración de cuenta si quiere que la cuenta caduque en una fecha determinada. Introduzca la fecha en los campos pertinentes. Seleccione La cuenta del usuario está bloqueada para bloquear la cuenta de usuario de manera que el usuario no pueda entrar en el sistema. • Password Info — Displays the date that the user's password last changed. To force the user to change passwords after a certain number of days, select Enable password expiration and enter a desired value in the Days before change required: field. The number of days before the user's password expires, the number of days before the user is warned to change passwords, and days before the account becomes inactive can also be changed. • Groups — Allows you to view and configure the Primary Group of the user, as well as other groups that you want the user to be a member of.
504 Modificar las propiedades del usuario 33.1.3. Añadir un nuevo grupo To add a new user group, click the Add Group button. A window similar to Figura 33.4, “Nuevo grupo” appears. Type the name of the new group to create. To specify a group ID for the new group, select Specify group ID manually and select the GID. Note that Red Hat Enterprise Linux also reserves group IDs lower than 500 for system groups. Figura 33.4. Nuevo grupo Haga clic en OK para crear el grupo. Aparecerá un grupo nuevo en la lista. 33.1.4. Modificar las propiedades del grupo To view the properties of an existing group, select the group from the group list and click Properties from the menu (or choose File > Properties from the pulldown menu). A window similar to Figura 33.5, “Propiedades del grupo” appears. Figura 33.5. Propiedades del grupo
505 Herramientas de administración de usuarios y grupos La pestaña Usuarios del grupo visualiza qué usuarios son miembros del grupo. Utilice esta pestaña para añadir o borrar usuarios del grupo. Haga clic en OK para guardar las modificaciones. 33.2. Herramientas de administración de usuarios y grupos La gestión de usuarios y grupos puede llegar a ser una tarea tediosa; es por esto que Red Hat Enterprise Linux proporciona herramientas y convenciones que facilitan su gestión. The easiest way to manage users and groups is through the graphical application, User Manager (system-config-users). For more information on User Manager, refer to Sección 33.1, “Configuración de grupos y de usuarios”. Las siguientes herramientas de línea de comandos también se pueden utilizar para manejar usuarios y grupos: • useradd, usermod y userdel — Métodos estándar de la industria para añadir, eliminar y modificar cuentas de usuarios. • groupadd, groupmod y groupdel — Métodos estándar de la industria para añadir, eliminar y modificar grupos de usuarios. • gpasswd — Un comando para administrar el archivo /etc/group. • pwck, grpck — Herramientas para la verificación de contraseñas, grupo y archivos shadow asociados. • pwconv, pwunconv — Herramientas para la conversión de contraseñas a contraseñas shadow y de vuelta a contraseñas estándar. 33.2.1. Configuración desde la línea de comandos Si prefiere las herramientas de línea de comandos o no tiene el sistema X Window instalado, use esta sección para configurar usuarios y grupos. 33.2.2. Añadir un usuario Para añadir un usuario al sistema: 1. Ejecute el comando useradd para crear una cuenta de usuario bloqueada: useradd <username> 2. Unlock the account by issuing the passwd command to assign a password and set password aging guidelines: passwd <username> Command line options for useradd are detailed in Tabla 33.1, “Opciones de línea de comandos para useradd”.
506 Herramientas de administración de usuarios y grupos Opciones Descripción -c '<comment>' <comment> can be replaced with any string. This option is generally used to specify the full name of a user. -d <home-dir> Home directory to be used instead of default /home/<username>/ -e <date> Fecha en que la cuenta será desactivada usando el formato de fecha AAAA-MM-DD -f <days> Número de días que pasarán después de que la contraseña ha caducado hasta que la cuenta se desactive. Si se especifica 0, la cuenta será desactivada inmediatamente después de que la contraseña expire. Si se especifica -1, la cuenta no se desactivará después de que la contraseña caduque. -g <group-name> Group name or group number for the user's default group. The group must exist prior to being specified here. -G <group-list> Lista de nombres de los grupos adicionales (además del predeterminado), separados por comas, de los cuales el usuario es miembro. Los grupos deben existir antes que sea especificado aquí. -m Crea el directorio principal si no existe -M No crea el directorio principal. -n No crea un grupo privado de usuario para el usuario -r Crea una cuenta de sistema con un UID menor que 500 y sin un directorio principal -p <password> La contraseña encriptada con crypt -s User's login shell, which defaults to /bin/bash -u <uid> ID del usuario, el cual debe ser único y mayor que 499 Tabla 33.1. Opciones de línea de comandos para useradd 33.2.3. Añadir un grupo Para agregar un grupo al sistema, use el comando groupadd: groupadd <group-name> Command line options for groupadd are detailed in Tabla 33.2, “Opciones de línea de comando para groupadd”. Opciones Descripción -g <gid> ID para el grupo, el cual debe ser único y mayor que 499 -r Crea un grupo de sistema con un GID menor que 500 -f When used with -g <gid> and <gid> already exists, groupadd will choose another unique <gid> for the group. Tabla 33.2. Opciones de línea de comando para groupadd
507 Vencimiento de la contraseña 33.2.4. Vencimiento de la contraseña Por razones de seguridad, se aconseja que los usuarios cambien sus contraseñas periódicamente. Esto se puede realizar añadiendo o editando un usuario en la pestaña Información de la contraseña en la User Manager. To configure password expiration for a user from a shell prompt, use the chage command with an option from Tabla 33.3, “Opciones de línea de comando de chage”, followed by the username. Importante Shadow passwords must be enabled to use the chage command. For more information, see Sección 33.6, “Contraseñas Shadow”. Opciones Descripción -m <days> Especifica el número mínimo de días entre los cuales el usuario debe cambiar su contraseña. Si el valor es 0, la contraseña no caduca. -M <days> Especifica el número máximo de días durante los cuales la contraseña es válida. Cuando el número de días especificado por esta opción más el número de días especificado con la opción -d es menor que el día actual, el usuario debe cambiar su contraseña antes de usar la cuenta. -d <days> Especifica el número de días desde el 1 de enero de 1970 que la contraseña fué cambiada. -I <days> Especifica el número de días inactivos después de la expiración de la contraseña antes de bloquear la cuenta. Si el valor es 0, la cuenta no es bloqueada después que la contraseña caduca. -E <date> Especificala fecha en la cual la cuenta es bloqueada, en el formato AAAA-MM-DD. También se puede usar el número de días transcurridos desde el 1 de enero de 1970 en lugar de la fecha. -W <days> Especifica el número de días antes de la fecha de expiración de la contraseña para advertir al usuario. -l Lists current account aging settings. Tabla 33.3. Opciones de línea de comando de chage Tip If the chage command is followed directly by a username (with no options), it displays the current password aging values and allows them to be changed interactively. You can configure a password to expire the first time a user logs in. This forces users to change passwords immediately. 1. Set up an initial password — There are two common approaches to this step. The administrator can assign a default password or assign a null password. To assign a default password, use the following steps:
508 Vencimiento de la contraseña • Arranque el intérprete de Python con el comando python. Se mostrará lo siguiente: Python 2.4.3 (#1, Jul 21 2006, 08:46:09) [GCC 4.1.1 20060718 (Red Hat 4.1.1-9)] on linux2 Type "help", "copyright", "credits" or "license" for more information. >>> • At the prompt, type the following commands. Replace <password> with the password to encrypt and <salt> with a random combination of at least 2 of the following: any alphanumeric character, the slash (/) character or a dot (.): import crypt; print crypt.crypt("<password>","<salt>") The output is the encrypted password, similar to '12CsGd8FRcMSM'. • Presione Ctrl-D para salir del intérprete de Python. • At the shell, enter the following command (replacing <encrypted-password> with the encrypted output of the Python interpreter): usermod -p "<encrypted-password>" <username> Alternativamente, usted puede asignar una contraseña vacía en vez de la contraseña inicial. Para hacerlo, utilice el siguiente comando: usermod -p "" username Atención A pesar de que el uso de una contraseña nula es conveniente tanto para el administrador como para el usuario, es una práctica insegura. Un tercero puede conectarse primero y acceder al sistema usando el número de usuario inseguro. Asegúrese de que el usuario está listo para registrarse antes de desbloquear una cuenta con una contraseña vacía. 2. Obligar el vencimiento inmediato de la contraseña — Escriba el comando siguiente: chage -d 0 username Este comando coloca el valor para la fecha en que la contraseña fué cambiada la última vez (Enero 1, 1970). Este valor obliga a la expiración inmediata de la contraseña sin tomar en cuenta la política de vencimiento, si existe alguna. Upon the initial log in, the user is now prompted for a new password.
509 Explicación del proceso 33.2.5. Explicación del proceso Los siguientes pasos describen lo que ocurre si se ejecuta el comando useradd juan en un sistema que tiene contraseñas ocultas activadas: 1. Se crea una nueva línea para juan en /etc/passwd. La línea tiene las características siguientes: • Comienza con el nombre del usuario, juan. • Hay una x para el campo de contraseña indicando que el sistema está usando contraseñas ocultas. • Se crea un UID igual o mayor que 499. (Bajo Red Hat Enterprise Linux UIDs y GIDs debajo de 500 se reservan para uso del sistema.) • Se crea un GID por encima de 499. • La información para el GECOS óptimo se deja en blanco. • El directorio principal para juan se establece en /home/juan/. • El intérprete de comandos predeterminadose establece a /bin/bash. 2. Se crea una nueva línea para juan en /etc/shadow. La línea tiene las características siguientes: • Comienza con el nombre del usuario, juan. • Aparecen dos símbolos de exclamación (!!) en el campo de la contraseña del archivo /etc/ shadow, lo cual bloquea la cuenta. Nota Si se pasa una contraseña encriptada usando la opción -p, se colocará en el archivo /etc/shadow en la nueva línea para el usuario. • Se configura la contraseña para que no caduque nunca. 3. A new line for a group named juan is created in /etc/group. A group with the same name as a user is called a user private group. For more information on user private groups, refer to Sección 33.1.1, “Añadir un nuevo usuario”. La línea creada en /etc/group tiene las características siguientes: • Comienza con el nombre del grupo, juan. • Aparece una x en el campo de contraseña indicando que el sistema está usando contraseñas de grupo oculta. • El GID coincide con el listado para el usuario juan en /etc/passwd. 4. Se crea una nueva línea para un grupo llamado juan en /etc/gshadow. La línea tiene las siguientes características:
510 Explicación del proceso • Comienza con el nombre del grupo, juan. • Aparece un símbolo de exclamación (!) en el campo de contraseña del archivo /etc/ gshadow, lo cual bloquea el grupo. • Todos los otros campos quedan en blanco. 5. Se crea un directorio para el usuario juan en el directorio /home/. Este directorio tiene como dueño al usuario juan y al grupo juan. Sin embargo, tiene privilegios para leer, escribir y ejecutar sólo para el usuario juan. Todos los demás permisos son denegados. 6. Los archivos dentro del directorio /etc/skel/ (el cual contiene la configuración predeterminadas del usuario) se copian en el nuevo directorio /home/juan/. En este punto, existe una cuenta bloqueada llamada juan en el sistema. Para activarla, el administradordebe asignar una contraseña a la cuenta usando el comando passwd y, opcionalmente, especificar las pautas de vencimiento de la misma. 33.3. Usuarios estándar Tabla 33.4, “Usuarios estándar” lists the standard users configured in the /etc/passwd file by an Everything installation. The groupid (GID) in this table is the primary group for the user. See Sección 33.4, “Grupos estándar” for a listing of standard groups. Usuario UID GID Directorio principal Shell root 0 0 /root /bin/bash bin 1 1 /bin /sbin/nologin daemon 2 2 /sbin /sbin/nologin adm 3 4 /var/adm /sbin/nologin lp 4 7 /var/spool/lpd /sbin/nologin sync 5 0 /sbin /bin/sync shutdown 6 0 /sbin /sbin/shutdown halt 7 0 /sbin /sbin/halt mail 8 12 /var/spool/mail /sbin/nologin news 9 13 /etc/news uucp 10 14 /var/spool/uucp /sbin/nologin operator 11 0 /root /sbin/nologin games 12 100 /usr/games /sbin/nologin gopher 13 30 /var/gopher /sbin/nologin ftp 14 50 /var/ftp /sbin/nologin nobody 99 99 / /sbin/nologin rpm 37 37 /var/lib/rpm /sbin/nologin vcsa 69 69 /dev /sbin/nologin dbus 81 81 / /sbin/nologin
511 Grupos estándar Usuario UID GID Directorio principal Shell ntp 38 38 /etc/ntp /sbin/nologin canna 39 39 /var/lib/canna /sbin/nologin nscd 28 28 / /sbin/nologin rpc 32 32 / /sbin/nologin postfix 89 89 /var/spool/postfix /sbin/nologin mailman 41 41 /var/mailman /sbin/nologin named 25 25 /var/named /bin/false amanda 33 6 var/lib/amanda/ /bin/bash postgres 26 26 /var/lib/pgsql /bin/bash exim 93 93 /var/spool/exim /sbin/nologin sshd 74 74 /var/empty/sshd /sbin/nologin rpcuser 29 29 /var/lib/nfs /sbin/nologin nsfnobody 65534 65534 /var/lib/nfs /sbin/nologin pvm 24 24 /usr/share/pvm3 /bin/bash apache 48 48 /var/www /sbin/nologin xfs 43 43 /etc/X11/fs /sbin/nologin gdm 42 42 /var/gdm /sbin/nologin htt 100 101 /usr/lib/im /sbin/nologin mysql 27 27 /var/lib/mysql /bin/bash webalizer 67 67 /var/www/usage /sbin/nologin mailnull 47 47 /var/spool/mqueue /sbin/nologin smmsp 51 51 /var/spool/mqueue /sbin/nologin squid 23 23 /var/spool/squid /sbin/nologin ldap 55 55 /var/lib/ldap /bin/false netdump 34 34 /var/crash /bin/bash pcap 77 77 /var/arpwatch /sbin/nologin radiusd 95 95 / /bin/false radvd 75 75 / /sbin/nologin quagga 92 92 /var/run/quagga /sbin/login wnn 49 49 /var/lib/wnn /sbin/nologin dovecot 97 97 /usr/libexec/dovecot /sbin/nologin Tabla 33.4. Usuarios estándar 33.4. Grupos estándar Tabla 33.5, “Grupos estándar” lists the standard groups configured by an Everything installation. Groups are stored in the /etc/group file.
512 Grupos estándar Grupo GID Miembros root 0 root bin 1 root, bin, daemon daemon 2 root, bin, daemon sys 3 root, bin, adm adm 4 root, adm, daemon tty 5 disk 6 root lp 7 daemon, lp mem 8 kmem 9 wheel 10 root mail 12 mail, postfix, exim news 13 news uucp 14 uucp man 15 games 20 gopher 30 dip 40 ftp 50 lock 54 nobody 99 users 100 rpm 37 utmp 22 floppy 19 vcsa 69 dbus 81 ntp 38 canna 39 nscd 28 rpc 32 postdrop 90 postfix 89 mailman 41 exim 93 named 25 postgres 26
513 Grupos de usuario privado Grupo GID Miembros sshd 74 rpcuser 29 nfsnobody 65534 pvm 24 apache 48 xfs 43 gdm 42 htt 101 mysql 27 webalizer 67 mailnull 47 smmsp 51 squid 23 ldap 55 netdump 34 pcap 77 quaggavt 102 quagga 92 radvd 75 slocate 21 wnn 49 dovecot 97 radiusd 95 Tabla 33.5. Grupos estándar 33.5. Grupos de usuario privado Red Hat Enterprise Linux utiliza un esquema de grupo privado de usuario (UPG), lo que hace más fácil de manejar los grupos de UNIX. Se crea un UPG siempre que se añade un nuevo usuario al sistema. Un UPG tiene el mismo nombre que el usuario para el cual se crea y ese usuario es el único miembro de ese UPG. Los UPGs hacen que sea más seguro configurar los privilegios por defecto para un nuevo archivo o directorio. Esto permite a ambos, tanto al usuario como al grupo de ese usuario hacer modificaciones al archivo o directorio. The setting which determines what permissions are applied to a newly created file or directory is called a umask and is configured in the /etc/bashrc file. Traditionally on UNIXsystems, the umask is set to 022, which allows only the user who created the file or directory to make modifications. Under this scheme, all other users, including members of the creator's group, are not allowed to make any modifications. However, under the UPG scheme, this "group protection" is not necessary since every user has their own private group.
514 Grupos de usuario privado 33.5.1. Directorios de grupos Many IT organizations like to create a group for each major project and then assign people to the group if they need to access that project's files. Using this traditional scheme, managing files has been difficult; when someone creates a file, it is associated with the primary group to which they belong. When a single person works on multiple projects, it is difficult to associate the right files with the right group. Using the UPG scheme, however, groups are automatically assigned to files created within a directory with the setgid bit set. The setgid bit makes managing group projects that share a common directory very simple because any files a user creates within the directory are owned by the group which owns the directory. Digamos, por ejemplo, que un grupo de personas trabajan con archivos en el directorio /usr/lib/ emacs/site-lisp/. Algunas personas son de confianza y pueden modificar el directorio, pero ciertamente no todos. Entonces, primero cree un grupo emacs, como se muestra en el siguiente comando: /usr/sbin/groupadd emacs Para asociar los contenidos del directorio con el grupo emacs, escriba: chown -R root.emacs /usr/share/emacs/site-lisp Ahora es posible añadir los usuarios adecuados al grupo con el comando gpasswd: /usr/bin/gpasswd -a <username> emacs Para permitir que los usuarios creen archivos dentro del directorio, utilice el comando siguiente: chmod 775 /usr/share/emacs/site-lisp When a user creates a new file, it is assigned the group of the user's default private group. Next, set the setgid bit, which assigns everything created in the directory the same group permission as the directory itself (emacs). Use the following command: chmod 2775 /usr/share/emacs/site-lisp En este punto, puesto que cada usuario tiene por defecto su umask en 002, todos los miembros del grupo emacs pueden crear y modificar archivos en el directorio /usr/lib/emacs/site-lisp/ sin que el administrador tenga que cambiar los permisos de los archivos cada vez que un usuario escriba nuevos archivos. 33.6. Contraseñas Shadow En entornos multiusuario es muy importante utilizar contraseñas shadow también conocido como Oscurecimiento de contraseñas, (proporcionadas por el paquete shadow-utils). Haciendo esto se mejora la seguridad de los archivos de autenticación del sistema. Por esta razón, el programa de instalación activa por defecto las contraseñas shadow.
515 Recursos adicionales Lo siguiente es una lista de las ventajas de las contraseñas shadow sobre el método tradicional de almacenar contraseñas en los sistemas basados en UNIX: • Mejora la seguridad del sistema al mover las contraseñas encriptadas desde el archivo /etc/ passwd que puede leer todo el mundo, a /etc/shadow, el cual sólo puede ser leído por el usuario root. • Almacena información sobre la vigencias de las contraseñas. • Permite el uso del archivo /etc/login.defs para reforzar las políticas de seguridad. La mayoría de las utilidades proporcionadas por el paquete shadow-utils funcionan adecuadamente sin importar si las contraseñas shadow están activadas o no. Sin embargo, puesto que la información sobre la vigencia de las contraseñas es almacenada exclusivamenteen el archivo /etc/shadow, cualquier comando que cree o modifique la información sobre la vigencia de las contraseñas, no funcionará. Abajo se muestra una lista de los comandos que no funcionan a menos que se activen primero las contraseñas shadow: • chage • gpasswd • Las opciones /usr/sbin/usermod -e o -f • Las opciones /usr/sbin/useradd -e o -f 33.7. Recursos adicionales Para más información sobre usuarios y grupos y las herramientas para administrarlos, consulte los recursos siguientes. 33.7.1. Documentación instalada • Páginas man relacionadas — Hay varias páginas man para las diferentes aplicaciones y archivos de configuración relacionados con el manejo de usuarios y grupos. La siguiente es una lista de algunas de las páginas más importantes: Aplicaciones administrativas de usuarios y grupos • man chage — Un comando para modificar las políticas de vigencia y expiración de las cuentas. • man gpasswd — Un comando para administrar el archivo /etc/group. • man groupadd — Un comando para añadir grupos. • man grpck — Un comando para verificar el archivo /etc/group. • man groupdel — Un comando para eliminar grupos. • man groupmod — Un comando para modificar la membrecía de grupos. • man pwck — Comando que se utiliza para verificar los archivos /etc/passwd y /etc/ shadow.
516 Recursos adicionales • man pwconv — Una herramienta para la conversión de contraseñas estándar a contraseñas shadow. • man pwunconv — Una herramienta para la conversión de contraseñas shadow a contraseñas estándar. • man useradd — Un comando para añadir usuarios. • man userdel — Un comando para eliminar usuarios. • man usermod — Comando para modificar usuarios. Archivos de configuración • man 5 group — El archivo que contiene información del grupo para el sistema. • man 5 passwd — El archivo que contiene información del usuario para el sistema. • man 5 shadow — El archivo que contiene información de contraseñas y vigencia de cuentas para el sistema.

Más contenido relacionado

PDF
Gestión de Unidades Organizativas y Usuarios
Daniel Valdez
 
DOCX
Gestión de unidades organizativas y usuarios
Jesus Garcia Guevara
 
DOCX
Qué es una cuenta de usuario
Jose Antonio Lapa Huanca
 
PDF
Admon oracle
Herbert Monge
 
PDF
Abd2
Gmp Marquez
 
PPTX
Definición de cuentas de usuario
Maribel Cm
 
PDF
USUARIOS Y GRUPOS EN EL SISTEMA OPERATIVO ::: http://leymebamba.com
{|::::::. ELDAVAN .:::::::|}
 
PPT
Unidad V
David Casasola
 
Gestión de Unidades Organizativas y Usuarios
Daniel Valdez
 
Gestión de unidades organizativas y usuarios
Jesus Garcia Guevara
 
Qué es una cuenta de usuario
Jose Antonio Lapa Huanca
 
Admon oracle
Herbert Monge
 
Abd2
Gmp Marquez
 
Definición de cuentas de usuario
Maribel Cm
 
USUARIOS Y GRUPOS EN EL SISTEMA OPERATIVO ::: http://leymebamba.com
{|::::::. ELDAVAN .:::::::|}
 
Unidad V
David Casasola
 

La actualidad más candente (17)

PDF
Crear Carpetas en Dominio
eduenlasiberia
 
PPTX
Usuarios y grupos
recursos educativos
 
PDF
Usuarios grupos conceptos básicos
eduenlasiberia
 
PDF
Operaciones frecuente usuarios
eduenlasiberia
 
PDF
Perfil movil y obligatorio
Rosariio92
 
DOC
Cuentas de usuario
Grupo 3 del ITSCO
 
PPTX
Exposición
Larry Garcia
 
PDF
Abf leccion 13
victdiazm
 
PPTX
Cuenta de Usuario en windows XP, 7, 8
DannaCasierra
 
PDF
Directivas de grupo locales (GPL) Windows Server 2008 R2
camilaml
 
PDF
[ES] Administración de usuarios, procesos y servicios en GNU/Linux.
Eudris Cabrera
 
PPTX
Tipos de usuario
Jorge Jiménez
 
PPTX
Proyecto final administracin_de_redes
harol1291
 
DOCX
Directivas de grupo locales en Windows Server 2008
YinaGarzon
 
PPT
Exposicion jerson sanchez
Camerupt
 
PPT
Redes locales 4
conrado perea
 
PPT
Redes Locales 4
conrado perea
 
Crear Carpetas en Dominio
eduenlasiberia
 
Usuarios y grupos
recursos educativos
 
Usuarios grupos conceptos básicos
eduenlasiberia
 
Operaciones frecuente usuarios
eduenlasiberia
 
Perfil movil y obligatorio
Rosariio92
 
Cuentas de usuario
Grupo 3 del ITSCO
 
Exposición
Larry Garcia
 
Abf leccion 13
victdiazm
 
Cuenta de Usuario en windows XP, 7, 8
DannaCasierra
 
Directivas de grupo locales (GPL) Windows Server 2008 R2
camilaml
 
[ES] Administración de usuarios, procesos y servicios en GNU/Linux.
Eudris Cabrera
 
Tipos de usuario
Jorge Jiménez
 
Proyecto final administracin_de_redes
harol1291
 
Directivas de grupo locales en Windows Server 2008
YinaGarzon
 
Exposicion jerson sanchez
Camerupt
 
Redes locales 4
conrado perea
 
Redes Locales 4
conrado perea
 
Publicidad

Destacado (8)

PDF
31 configuración del sistema x window
josemanuelacostarendon
 
PDF
33 configuración de la impresora
josemanuelacostarendon
 
PDF
29 configuración del teclado
josemanuelacostarendon
 
PDF
30 el sistema x window
josemanuelacostarendon
 
PPTX
El dispositivo mau
tata2116
 
PDF
28 configuración de la fecha y hora
josemanuelacostarendon
 
PDF
35 archivos de registro
josemanuelacostarendon
 
PPTX
Diapositivas hardware y software
Sabina
 
31 configuración del sistema x window
josemanuelacostarendon
 
33 configuración de la impresora
josemanuelacostarendon
 
29 configuración del teclado
josemanuelacostarendon
 
30 el sistema x window
josemanuelacostarendon
 
El dispositivo mau
tata2116
 
28 configuración de la fecha y hora
josemanuelacostarendon
 
35 archivos de registro
josemanuelacostarendon
 
Diapositivas hardware y software
Sabina
 
Publicidad

Similar a 32 usuarios y grupos (20)

PDF
tareaAdmin.de usuarion-con-windows nt-y-2003-server
MaariiOo MeeDiinaa
 
PDF
Admin.de usuarion-con-windows nt-y-2003-server
Jose Rivera Magallanes
 
PDF
7.gestiondeusuarios
GRUPO TECNO
 
PDF
[ES] Tareas Administrativas en GNU/Linux
Eudris Cabrera
 
PPTX
Victor Martínez
Víctor Martínez Azocar
 
DOCX
Gestionar usuarios y grupos en ubuntu 12
abraxas69
 
PPTX
Proyecto final de administrador de redes
edlofeta17
 
PPTX
Administración de usuarios y grupos
lissethdiazvillalobos
 
PDF
Actividad Windows Essentials I.
camilaml
 
PPTX
EC3 - PLANTILLA.pptx
LeydyVeronicaDelgado
 
DOCX
Cuentas de usuario.
Cris G Ladero
 
DOCX
Cuentas de usuario.
Cris G Ladero
 
PPTX
Crear cuentas de usuario y de grupo
Emily0504
 
PDF
Usuarios y grupos Linux
Pablo Macon
 
PPT
Exposicion Jerson Sanchez
Camerupt
 
PDF
Administración de usuarios y permisos de archivos en ubuntu
riveravega12
 
DOC
2parcial
edgar
 
PDF
Unidad 10 - Puesta en marcha del sistema
vverdu
 
PDF
GESTIÓN DE USUARIOS
Harol Hernan Torres Neuta
 
DOCX
Windows Server 2012- Taller de habilidades
jcausil1
 
tareaAdmin.de usuarion-con-windows nt-y-2003-server
MaariiOo MeeDiinaa
 
Admin.de usuarion-con-windows nt-y-2003-server
Jose Rivera Magallanes
 
7.gestiondeusuarios
GRUPO TECNO
 
[ES] Tareas Administrativas en GNU/Linux
Eudris Cabrera
 
Victor Martínez
Víctor Martínez Azocar
 
Gestionar usuarios y grupos en ubuntu 12
abraxas69
 
Proyecto final de administrador de redes
edlofeta17
 
Administración de usuarios y grupos
lissethdiazvillalobos
 
Actividad Windows Essentials I.
camilaml
 
EC3 - PLANTILLA.pptx
LeydyVeronicaDelgado
 
Cuentas de usuario.
Cris G Ladero
 
Cuentas de usuario.
Cris G Ladero
 
Crear cuentas de usuario y de grupo
Emily0504
 
Usuarios y grupos Linux
Pablo Macon
 
Exposicion Jerson Sanchez
Camerupt
 
Administración de usuarios y permisos de archivos en ubuntu
riveravega12
 
2parcial
edgar
 
Unidad 10 - Puesta en marcha del sistema
vverdu
 
GESTIÓN DE USUARIOS
Harol Hernan Torres Neuta
 
Windows Server 2012- Taller de habilidades
jcausil1
 

Más de josemanuelacostarendon (20)

PDF
26 configuración del sistema
josemanuelacostarendon
 
PDF
25 protocolo ligero de acceso a directorios ldap
josemanuelacostarendon
 
PDF
24 correo electrónico
josemanuelacostarendon
 
PDF
22 apache http server
josemanuelacostarendon
 
PDF
21 protocolo de configuración dinámica de hosts dhcp
josemanuelacostarendon
 
PDF
17 berkeley internet name domain
josemanuelacostarendon
 
PDF
16 control de acceso a servicios
josemanuelacostarendon
 
PDF
15 configuración de la red
josemanuelacostarendon
 
PDF
14 configuración relacionada a la red
josemanuelacostarendon
 
PDF
13 red hat network
josemanuelacostarendon
 
PDF
12 yum
josemanuelacostarendon
 
PDF
11 package management tool
josemanuelacostarendon
 
PDF
10 administración de paquetes rpm
josemanuelacostarendon
 
PDF
9 lvm
josemanuelacostarendon
 
PDF
8 access control lists
josemanuelacostarendon
 
PDF
7 implementación de cuotas de disco
josemanuelacostarendon
 
PDF
6 gestión del almacenamiento en disco
josemanuelacostarendon
 
PDF
5 espacio swap
josemanuelacostarendon
 
PDF
4 array redundante de discos independientes
josemanuelacostarendon
 
PDF
2 sistema de archivos ext3
josemanuelacostarendon
 
26 configuración del sistema
josemanuelacostarendon
 
25 protocolo ligero de acceso a directorios ldap
josemanuelacostarendon
 
24 correo electrónico
josemanuelacostarendon
 
22 apache http server
josemanuelacostarendon
 
21 protocolo de configuración dinámica de hosts dhcp
josemanuelacostarendon
 
17 berkeley internet name domain
josemanuelacostarendon
 
16 control de acceso a servicios
josemanuelacostarendon
 
15 configuración de la red
josemanuelacostarendon
 
14 configuración relacionada a la red
josemanuelacostarendon
 
13 red hat network
josemanuelacostarendon
 
12 yum
josemanuelacostarendon
 
11 package management tool
josemanuelacostarendon
 
10 administración de paquetes rpm
josemanuelacostarendon
 
9 lvm
josemanuelacostarendon
 
8 access control lists
josemanuelacostarendon
 
7 implementación de cuotas de disco
josemanuelacostarendon
 
6 gestión del almacenamiento en disco
josemanuelacostarendon
 
5 espacio swap
josemanuelacostarendon
 
4 array redundante de discos independientes
josemanuelacostarendon
 
2 sistema de archivos ext3
josemanuelacostarendon
 

Último (20)

PDF
Estrategia de Apoyo de Daylin Castaño (5).pdf
daylincastano1
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PPTX
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
PDF
PRESENTACIÓN GENERAL MIPIG - MODELO INTEGRADO DE PLANEACIÓN
CLAUDIAPATRICIASALAZ19
 
DOCX
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
PDF
clase auditoria informatica 2025.........
KatherineMundaca1
 
PPTX
Presentacion de Alba Curso Auditores Internos ISO 19011
AlexandroDeAlbaGuerr
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
PDF
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
PPTX
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
PPTX
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
PPTX
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
PPTX
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
PDF
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
PPTX
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
PPTX
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
PDF
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
DOCX
Guía 5. Test de orientación Vocacional 2.docx
andresssespinosa59
 
DOCX
Contenido Fundamentos de comunicaciones Fibra Optica (1).docx
Luis Castillo
 
PDF
informe_fichas1y2_corregido.docx (2) (1).pdf
edepsantiagoalfonso
 
Estrategia de Apoyo de Daylin Castaño (5).pdf
daylincastano1
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
PRESENTACIÓN GENERAL MIPIG - MODELO INTEGRADO DE PLANEACIÓN
CLAUDIAPATRICIASALAZ19
 
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
clase auditoria informatica 2025.........
KatherineMundaca1
 
Presentacion de Alba Curso Auditores Internos ISO 19011
AlexandroDeAlbaGuerr
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
Guía 5. Test de orientación Vocacional 2.docx
andresssespinosa59
 
Contenido Fundamentos de comunicaciones Fibra Optica (1).docx
Luis Castillo
 
informe_fichas1y2_corregido.docx (2) (1).pdf
edepsantiagoalfonso
 

32 usuarios y grupos

  • 1. Usuarios y grupos El control de los usuarios y grupos es un elemento clave en la administración de sistemas de Red Hat Enterprise Linux. Los Usuarios pueden ser gente real, es decir, cuentas ligadas a un usuario físico en particular, o cuentas que existen para ser usadas por aplicaciones específicas. Los Grupos son expresiones lógicas de organización, reuniendo usuarios para un propósito común. Los usuarios dentro de un mismo grupo pueden leer, escribir o ejecutar archivos que pertenecen a ese grupo. Cada usuario y grupo tiene un número de identificación único llamado identificador de usuario (UID) y un identificador de grupo (GID) respectivamente. Un usuario que crea un archivo se convierte en el propietario y el grupo propietario de ese archivo. Al archivo también se le asignan permisos separados de lectura, escritura y ejecución para el propietario del archivo, para el grupo y para cualquier otro usuario. Solamente el superusuario (root) puede cambiar el propietario de un archivo. Los permisos de acceso pueden ser cambiados tanto por el superusuario como por el creador del archivo. 33.1. Configuración de grupos y de usuarios El User Manager le permite ver, modificar, añadir y borrar los usuarios y grupos locales. To use the User Manager, you must be running the X Window System, have root privileges, and have the system-config-users RPM package installed. To start the User Manager from the desktop, go to System (on the panel) > Administration > Users &Groups. You can also type the command system-config-users at a shell prompt (for example, in an XTerm or a GNOME terminal).
  • 2. Añadir un nuevo usuario 500 Figura 33.1. User Manager Para ver una lista de los usuarios locales del sistema, haga click en la pestaña Usuarios. Para visualizar una lista de los grupos locales del sistema, haga click en la pestaña Grupos. Si necesita encontrar un usuario o grupo específico, teclee las primeras letras del nombre en el campo Filtro de búsqueda. Pulse Intro o pulse en el botón Aplicar filtro. Aparecerá la lista filtrada. Para ordenar los usuarios o grupos, haga click en el nombre de la columna. Los usuarios o grupos son clasificados por el valor en esa columna. Red Hat Enterprise Linux reserves user IDs below 500 for system users. By default, User Manager does not display system users. To view all users, including the system users, go to Edit > Preferences and uncheck Hide system users and groups from the dialog box. 33.1.1. Añadir un nuevo usuario To add a new user, click the Add User button. A window as shown in Figura 33.2, “Nuevo usuario” appears. Type the username and full name for the new user in the appropriate fields. Type the user's password in the Password and Confirm Password fields. The password must be at least six characters. Tip Cuanto más larga sea una contraseña, más difícil es que alguien la adivine y se registre en la cuenta de usuario sin permiso. Es aconsejable que la contraseña no sea una palabra basada en un término del diccionario sino una combinación de letras, números y caracteres especiales.
  • 3. Añadir un nuevo usuario 501 Select a login shell. If you are not sure which shell to select, accept the default value of /bin/bash. The default home directory is /home/<username>/. You can change the home directory that is created for the user, or you can choose not to create the home directory by unselecting Create home directory. Si seleccionó crear el directorio principal, los archivos de configuración por defecto son copiados desde el directorio /etc/skel en el nuevo directorio principal. Red Hat Enterprise Linux utiliza un esquema grupo de usuario privado (UPG). El esquema UPG no añade ni cambia nada en el modo estándar de UNIX de gestionar grupos; simplemente ofrece una nueva convención. Siempre que cree un nuevo usuario, por defecto, se crea un grupo único con el mismo nombre que el del usuario. Si no desea crear este grupo, anule la selección Crear un grupo privado para este usuario. Para especificar el ID del usuario, seleccione Especificar el IDdel usuario manualmente. Si la opción no ha sido seleccionada, se asignará al nuevo usuario el próximo ID del usuario disponible que empiece con el número 500. Red Hat Enterprise Linux se reservalos IDs de usuario por debajo de 500 para los usuarios de sistemas; no es aconsejable usar números menores a 500. Haga clic en OK para crear el usuario.
  • 4. Añadir un nuevo usuario 502 Figura 33.2. Nuevo usuario To configure more advanced user properties, such as password expiration, modify the user's properties after adding the user. Refer to Sección 33.1.2, “Modificar las propiedades del usuario” for more information. 33.1.2. Modificar las propiedades del usuario To view the properties of an existing user, click on the Users tab, select the user from the user list, and click Properties from the menu (or choose File > Properties from the pulldown menu). A window similar to Figura 33.3, “Propiedades del usuario” appears.
  • 5. 503 Modificar las propiedades del usuario Figura 33.3. Propiedades del usuario La ventana Propiedades de los usuarios está dividida en múltiples páginas: • User Data — Shows the basic user information configured when you added the user. Use this tab to change the user's full name, password, home directory, or login shell. • Información de la cuenta — Seleccione Activar expiración de cuenta si quiere que la cuenta caduque en una fecha determinada. Introduzca la fecha en los campos pertinentes. Seleccione La cuenta del usuario está bloqueada para bloquear la cuenta de usuario de manera que el usuario no pueda entrar en el sistema. • Password Info — Displays the date that the user's password last changed. To force the user to change passwords after a certain number of days, select Enable password expiration and enter a desired value in the Days before change required: field. The number of days before the user's password expires, the number of days before the user is warned to change passwords, and days before the account becomes inactive can also be changed. • Groups — Allows you to view and configure the Primary Group of the user, as well as other groups that you want the user to be a member of.
  • 6. 504 Modificar las propiedades del usuario 33.1.3. Añadir un nuevo grupo To add a new user group, click the Add Group button. A window similar to Figura 33.4, “Nuevo grupo” appears. Type the name of the new group to create. To specify a group ID for the new group, select Specify group ID manually and select the GID. Note that Red Hat Enterprise Linux also reserves group IDs lower than 500 for system groups. Figura 33.4. Nuevo grupo Haga clic en OK para crear el grupo. Aparecerá un grupo nuevo en la lista. 33.1.4. Modificar las propiedades del grupo To view the properties of an existing group, select the group from the group list and click Properties from the menu (or choose File > Properties from the pulldown menu). A window similar to Figura 33.5, “Propiedades del grupo” appears. Figura 33.5. Propiedades del grupo
  • 7. 505 Herramientas de administración de usuarios y grupos La pestaña Usuarios del grupo visualiza qué usuarios son miembros del grupo. Utilice esta pestaña para añadir o borrar usuarios del grupo. Haga clic en OK para guardar las modificaciones. 33.2. Herramientas de administración de usuarios y grupos La gestión de usuarios y grupos puede llegar a ser una tarea tediosa; es por esto que Red Hat Enterprise Linux proporciona herramientas y convenciones que facilitan su gestión. The easiest way to manage users and groups is through the graphical application, User Manager (system-config-users). For more information on User Manager, refer to Sección 33.1, “Configuración de grupos y de usuarios”. Las siguientes herramientas de línea de comandos también se pueden utilizar para manejar usuarios y grupos: • useradd, usermod y userdel — Métodos estándar de la industria para añadir, eliminar y modificar cuentas de usuarios. • groupadd, groupmod y groupdel — Métodos estándar de la industria para añadir, eliminar y modificar grupos de usuarios. • gpasswd — Un comando para administrar el archivo /etc/group. • pwck, grpck — Herramientas para la verificación de contraseñas, grupo y archivos shadow asociados. • pwconv, pwunconv — Herramientas para la conversión de contraseñas a contraseñas shadow y de vuelta a contraseñas estándar. 33.2.1. Configuración desde la línea de comandos Si prefiere las herramientas de línea de comandos o no tiene el sistema X Window instalado, use esta sección para configurar usuarios y grupos. 33.2.2. Añadir un usuario Para añadir un usuario al sistema: 1. Ejecute el comando useradd para crear una cuenta de usuario bloqueada: useradd <username> 2. Unlock the account by issuing the passwd command to assign a password and set password aging guidelines: passwd <username> Command line options for useradd are detailed in Tabla 33.1, “Opciones de línea de comandos para useradd”.
  • 8. 506 Herramientas de administración de usuarios y grupos Opciones Descripción -c '<comment>' <comment> can be replaced with any string. This option is generally used to specify the full name of a user. -d <home-dir> Home directory to be used instead of default /home/<username>/ -e <date> Fecha en que la cuenta será desactivada usando el formato de fecha AAAA-MM-DD -f <days> Número de días que pasarán después de que la contraseña ha caducado hasta que la cuenta se desactive. Si se especifica 0, la cuenta será desactivada inmediatamente después de que la contraseña expire. Si se especifica -1, la cuenta no se desactivará después de que la contraseña caduque. -g <group-name> Group name or group number for the user's default group. The group must exist prior to being specified here. -G <group-list> Lista de nombres de los grupos adicionales (además del predeterminado), separados por comas, de los cuales el usuario es miembro. Los grupos deben existir antes que sea especificado aquí. -m Crea el directorio principal si no existe -M No crea el directorio principal. -n No crea un grupo privado de usuario para el usuario -r Crea una cuenta de sistema con un UID menor que 500 y sin un directorio principal -p <password> La contraseña encriptada con crypt -s User's login shell, which defaults to /bin/bash -u <uid> ID del usuario, el cual debe ser único y mayor que 499 Tabla 33.1. Opciones de línea de comandos para useradd 33.2.3. Añadir un grupo Para agregar un grupo al sistema, use el comando groupadd: groupadd <group-name> Command line options for groupadd are detailed in Tabla 33.2, “Opciones de línea de comando para groupadd”. Opciones Descripción -g <gid> ID para el grupo, el cual debe ser único y mayor que 499 -r Crea un grupo de sistema con un GID menor que 500 -f When used with -g <gid> and <gid> already exists, groupadd will choose another unique <gid> for the group. Tabla 33.2. Opciones de línea de comando para groupadd
  • 9. 507 Vencimiento de la contraseña 33.2.4. Vencimiento de la contraseña Por razones de seguridad, se aconseja que los usuarios cambien sus contraseñas periódicamente. Esto se puede realizar añadiendo o editando un usuario en la pestaña Información de la contraseña en la User Manager. To configure password expiration for a user from a shell prompt, use the chage command with an option from Tabla 33.3, “Opciones de línea de comando de chage”, followed by the username. Importante Shadow passwords must be enabled to use the chage command. For more information, see Sección 33.6, “Contraseñas Shadow”. Opciones Descripción -m <days> Especifica el número mínimo de días entre los cuales el usuario debe cambiar su contraseña. Si el valor es 0, la contraseña no caduca. -M <days> Especifica el número máximo de días durante los cuales la contraseña es válida. Cuando el número de días especificado por esta opción más el número de días especificado con la opción -d es menor que el día actual, el usuario debe cambiar su contraseña antes de usar la cuenta. -d <days> Especifica el número de días desde el 1 de enero de 1970 que la contraseña fué cambiada. -I <days> Especifica el número de días inactivos después de la expiración de la contraseña antes de bloquear la cuenta. Si el valor es 0, la cuenta no es bloqueada después que la contraseña caduca. -E <date> Especificala fecha en la cual la cuenta es bloqueada, en el formato AAAA-MM-DD. También se puede usar el número de días transcurridos desde el 1 de enero de 1970 en lugar de la fecha. -W <days> Especifica el número de días antes de la fecha de expiración de la contraseña para advertir al usuario. -l Lists current account aging settings. Tabla 33.3. Opciones de línea de comando de chage Tip If the chage command is followed directly by a username (with no options), it displays the current password aging values and allows them to be changed interactively. You can configure a password to expire the first time a user logs in. This forces users to change passwords immediately. 1. Set up an initial password — There are two common approaches to this step. The administrator can assign a default password or assign a null password. To assign a default password, use the following steps:
  • 10. 508 Vencimiento de la contraseña • Arranque el intérprete de Python con el comando python. Se mostrará lo siguiente: Python 2.4.3 (#1, Jul 21 2006, 08:46:09) [GCC 4.1.1 20060718 (Red Hat 4.1.1-9)] on linux2 Type "help", "copyright", "credits" or "license" for more information. >>> • At the prompt, type the following commands. Replace <password> with the password to encrypt and <salt> with a random combination of at least 2 of the following: any alphanumeric character, the slash (/) character or a dot (.): import crypt; print crypt.crypt("<password>","<salt>") The output is the encrypted password, similar to '12CsGd8FRcMSM'. • Presione Ctrl-D para salir del intérprete de Python. • At the shell, enter the following command (replacing <encrypted-password> with the encrypted output of the Python interpreter): usermod -p "<encrypted-password>" <username> Alternativamente, usted puede asignar una contraseña vacía en vez de la contraseña inicial. Para hacerlo, utilice el siguiente comando: usermod -p "" username Atención A pesar de que el uso de una contraseña nula es conveniente tanto para el administrador como para el usuario, es una práctica insegura. Un tercero puede conectarse primero y acceder al sistema usando el número de usuario inseguro. Asegúrese de que el usuario está listo para registrarse antes de desbloquear una cuenta con una contraseña vacía. 2. Obligar el vencimiento inmediato de la contraseña — Escriba el comando siguiente: chage -d 0 username Este comando coloca el valor para la fecha en que la contraseña fué cambiada la última vez (Enero 1, 1970). Este valor obliga a la expiración inmediata de la contraseña sin tomar en cuenta la política de vencimiento, si existe alguna. Upon the initial log in, the user is now prompted for a new password.
  • 11. 509 Explicación del proceso 33.2.5. Explicación del proceso Los siguientes pasos describen lo que ocurre si se ejecuta el comando useradd juan en un sistema que tiene contraseñas ocultas activadas: 1. Se crea una nueva línea para juan en /etc/passwd. La línea tiene las características siguientes: • Comienza con el nombre del usuario, juan. • Hay una x para el campo de contraseña indicando que el sistema está usando contraseñas ocultas. • Se crea un UID igual o mayor que 499. (Bajo Red Hat Enterprise Linux UIDs y GIDs debajo de 500 se reservan para uso del sistema.) • Se crea un GID por encima de 499. • La información para el GECOS óptimo se deja en blanco. • El directorio principal para juan se establece en /home/juan/. • El intérprete de comandos predeterminadose establece a /bin/bash. 2. Se crea una nueva línea para juan en /etc/shadow. La línea tiene las características siguientes: • Comienza con el nombre del usuario, juan. • Aparecen dos símbolos de exclamación (!!) en el campo de la contraseña del archivo /etc/ shadow, lo cual bloquea la cuenta. Nota Si se pasa una contraseña encriptada usando la opción -p, se colocará en el archivo /etc/shadow en la nueva línea para el usuario. • Se configura la contraseña para que no caduque nunca. 3. A new line for a group named juan is created in /etc/group. A group with the same name as a user is called a user private group. For more information on user private groups, refer to Sección 33.1.1, “Añadir un nuevo usuario”. La línea creada en /etc/group tiene las características siguientes: • Comienza con el nombre del grupo, juan. • Aparece una x en el campo de contraseña indicando que el sistema está usando contraseñas de grupo oculta. • El GID coincide con el listado para el usuario juan en /etc/passwd. 4. Se crea una nueva línea para un grupo llamado juan en /etc/gshadow. La línea tiene las siguientes características:
  • 12. 510 Explicación del proceso • Comienza con el nombre del grupo, juan. • Aparece un símbolo de exclamación (!) en el campo de contraseña del archivo /etc/ gshadow, lo cual bloquea el grupo. • Todos los otros campos quedan en blanco. 5. Se crea un directorio para el usuario juan en el directorio /home/. Este directorio tiene como dueño al usuario juan y al grupo juan. Sin embargo, tiene privilegios para leer, escribir y ejecutar sólo para el usuario juan. Todos los demás permisos son denegados. 6. Los archivos dentro del directorio /etc/skel/ (el cual contiene la configuración predeterminadas del usuario) se copian en el nuevo directorio /home/juan/. En este punto, existe una cuenta bloqueada llamada juan en el sistema. Para activarla, el administradordebe asignar una contraseña a la cuenta usando el comando passwd y, opcionalmente, especificar las pautas de vencimiento de la misma. 33.3. Usuarios estándar Tabla 33.4, “Usuarios estándar” lists the standard users configured in the /etc/passwd file by an Everything installation. The groupid (GID) in this table is the primary group for the user. See Sección 33.4, “Grupos estándar” for a listing of standard groups. Usuario UID GID Directorio principal Shell root 0 0 /root /bin/bash bin 1 1 /bin /sbin/nologin daemon 2 2 /sbin /sbin/nologin adm 3 4 /var/adm /sbin/nologin lp 4 7 /var/spool/lpd /sbin/nologin sync 5 0 /sbin /bin/sync shutdown 6 0 /sbin /sbin/shutdown halt 7 0 /sbin /sbin/halt mail 8 12 /var/spool/mail /sbin/nologin news 9 13 /etc/news uucp 10 14 /var/spool/uucp /sbin/nologin operator 11 0 /root /sbin/nologin games 12 100 /usr/games /sbin/nologin gopher 13 30 /var/gopher /sbin/nologin ftp 14 50 /var/ftp /sbin/nologin nobody 99 99 / /sbin/nologin rpm 37 37 /var/lib/rpm /sbin/nologin vcsa 69 69 /dev /sbin/nologin dbus 81 81 / /sbin/nologin
  • 13. 511 Grupos estándar Usuario UID GID Directorio principal Shell ntp 38 38 /etc/ntp /sbin/nologin canna 39 39 /var/lib/canna /sbin/nologin nscd 28 28 / /sbin/nologin rpc 32 32 / /sbin/nologin postfix 89 89 /var/spool/postfix /sbin/nologin mailman 41 41 /var/mailman /sbin/nologin named 25 25 /var/named /bin/false amanda 33 6 var/lib/amanda/ /bin/bash postgres 26 26 /var/lib/pgsql /bin/bash exim 93 93 /var/spool/exim /sbin/nologin sshd 74 74 /var/empty/sshd /sbin/nologin rpcuser 29 29 /var/lib/nfs /sbin/nologin nsfnobody 65534 65534 /var/lib/nfs /sbin/nologin pvm 24 24 /usr/share/pvm3 /bin/bash apache 48 48 /var/www /sbin/nologin xfs 43 43 /etc/X11/fs /sbin/nologin gdm 42 42 /var/gdm /sbin/nologin htt 100 101 /usr/lib/im /sbin/nologin mysql 27 27 /var/lib/mysql /bin/bash webalizer 67 67 /var/www/usage /sbin/nologin mailnull 47 47 /var/spool/mqueue /sbin/nologin smmsp 51 51 /var/spool/mqueue /sbin/nologin squid 23 23 /var/spool/squid /sbin/nologin ldap 55 55 /var/lib/ldap /bin/false netdump 34 34 /var/crash /bin/bash pcap 77 77 /var/arpwatch /sbin/nologin radiusd 95 95 / /bin/false radvd 75 75 / /sbin/nologin quagga 92 92 /var/run/quagga /sbin/login wnn 49 49 /var/lib/wnn /sbin/nologin dovecot 97 97 /usr/libexec/dovecot /sbin/nologin Tabla 33.4. Usuarios estándar 33.4. Grupos estándar Tabla 33.5, “Grupos estándar” lists the standard groups configured by an Everything installation. Groups are stored in the /etc/group file.
  • 14. 512 Grupos estándar Grupo GID Miembros root 0 root bin 1 root, bin, daemon daemon 2 root, bin, daemon sys 3 root, bin, adm adm 4 root, adm, daemon tty 5 disk 6 root lp 7 daemon, lp mem 8 kmem 9 wheel 10 root mail 12 mail, postfix, exim news 13 news uucp 14 uucp man 15 games 20 gopher 30 dip 40 ftp 50 lock 54 nobody 99 users 100 rpm 37 utmp 22 floppy 19 vcsa 69 dbus 81 ntp 38 canna 39 nscd 28 rpc 32 postdrop 90 postfix 89 mailman 41 exim 93 named 25 postgres 26
  • 15. 513 Grupos de usuario privado Grupo GID Miembros sshd 74 rpcuser 29 nfsnobody 65534 pvm 24 apache 48 xfs 43 gdm 42 htt 101 mysql 27 webalizer 67 mailnull 47 smmsp 51 squid 23 ldap 55 netdump 34 pcap 77 quaggavt 102 quagga 92 radvd 75 slocate 21 wnn 49 dovecot 97 radiusd 95 Tabla 33.5. Grupos estándar 33.5. Grupos de usuario privado Red Hat Enterprise Linux utiliza un esquema de grupo privado de usuario (UPG), lo que hace más fácil de manejar los grupos de UNIX. Se crea un UPG siempre que se añade un nuevo usuario al sistema. Un UPG tiene el mismo nombre que el usuario para el cual se crea y ese usuario es el único miembro de ese UPG. Los UPGs hacen que sea más seguro configurar los privilegios por defecto para un nuevo archivo o directorio. Esto permite a ambos, tanto al usuario como al grupo de ese usuario hacer modificaciones al archivo o directorio. The setting which determines what permissions are applied to a newly created file or directory is called a umask and is configured in the /etc/bashrc file. Traditionally on UNIXsystems, the umask is set to 022, which allows only the user who created the file or directory to make modifications. Under this scheme, all other users, including members of the creator's group, are not allowed to make any modifications. However, under the UPG scheme, this "group protection" is not necessary since every user has their own private group.
  • 16. 514 Grupos de usuario privado 33.5.1. Directorios de grupos Many IT organizations like to create a group for each major project and then assign people to the group if they need to access that project's files. Using this traditional scheme, managing files has been difficult; when someone creates a file, it is associated with the primary group to which they belong. When a single person works on multiple projects, it is difficult to associate the right files with the right group. Using the UPG scheme, however, groups are automatically assigned to files created within a directory with the setgid bit set. The setgid bit makes managing group projects that share a common directory very simple because any files a user creates within the directory are owned by the group which owns the directory. Digamos, por ejemplo, que un grupo de personas trabajan con archivos en el directorio /usr/lib/ emacs/site-lisp/. Algunas personas son de confianza y pueden modificar el directorio, pero ciertamente no todos. Entonces, primero cree un grupo emacs, como se muestra en el siguiente comando: /usr/sbin/groupadd emacs Para asociar los contenidos del directorio con el grupo emacs, escriba: chown -R root.emacs /usr/share/emacs/site-lisp Ahora es posible añadir los usuarios adecuados al grupo con el comando gpasswd: /usr/bin/gpasswd -a <username> emacs Para permitir que los usuarios creen archivos dentro del directorio, utilice el comando siguiente: chmod 775 /usr/share/emacs/site-lisp When a user creates a new file, it is assigned the group of the user's default private group. Next, set the setgid bit, which assigns everything created in the directory the same group permission as the directory itself (emacs). Use the following command: chmod 2775 /usr/share/emacs/site-lisp En este punto, puesto que cada usuario tiene por defecto su umask en 002, todos los miembros del grupo emacs pueden crear y modificar archivos en el directorio /usr/lib/emacs/site-lisp/ sin que el administrador tenga que cambiar los permisos de los archivos cada vez que un usuario escriba nuevos archivos. 33.6. Contraseñas Shadow En entornos multiusuario es muy importante utilizar contraseñas shadow también conocido como Oscurecimiento de contraseñas, (proporcionadas por el paquete shadow-utils). Haciendo esto se mejora la seguridad de los archivos de autenticación del sistema. Por esta razón, el programa de instalación activa por defecto las contraseñas shadow.
  • 17. 515 Recursos adicionales Lo siguiente es una lista de las ventajas de las contraseñas shadow sobre el método tradicional de almacenar contraseñas en los sistemas basados en UNIX: • Mejora la seguridad del sistema al mover las contraseñas encriptadas desde el archivo /etc/ passwd que puede leer todo el mundo, a /etc/shadow, el cual sólo puede ser leído por el usuario root. • Almacena información sobre la vigencias de las contraseñas. • Permite el uso del archivo /etc/login.defs para reforzar las políticas de seguridad. La mayoría de las utilidades proporcionadas por el paquete shadow-utils funcionan adecuadamente sin importar si las contraseñas shadow están activadas o no. Sin embargo, puesto que la información sobre la vigencia de las contraseñas es almacenada exclusivamenteen el archivo /etc/shadow, cualquier comando que cree o modifique la información sobre la vigencia de las contraseñas, no funcionará. Abajo se muestra una lista de los comandos que no funcionan a menos que se activen primero las contraseñas shadow: • chage • gpasswd • Las opciones /usr/sbin/usermod -e o -f • Las opciones /usr/sbin/useradd -e o -f 33.7. Recursos adicionales Para más información sobre usuarios y grupos y las herramientas para administrarlos, consulte los recursos siguientes. 33.7.1. Documentación instalada • Páginas man relacionadas — Hay varias páginas man para las diferentes aplicaciones y archivos de configuración relacionados con el manejo de usuarios y grupos. La siguiente es una lista de algunas de las páginas más importantes: Aplicaciones administrativas de usuarios y grupos • man chage — Un comando para modificar las políticas de vigencia y expiración de las cuentas. • man gpasswd — Un comando para administrar el archivo /etc/group. • man groupadd — Un comando para añadir grupos. • man grpck — Un comando para verificar el archivo /etc/group. • man groupdel — Un comando para eliminar grupos. • man groupmod — Un comando para modificar la membrecía de grupos. • man pwck — Comando que se utiliza para verificar los archivos /etc/passwd y /etc/ shadow.
  • 18. 516 Recursos adicionales • man pwconv — Una herramienta para la conversión de contraseñas estándar a contraseñas shadow. • man pwunconv — Una herramienta para la conversión de contraseñas shadow a contraseñas estándar. • man useradd — Un comando para añadir usuarios. • man userdel — Un comando para eliminar usuarios. • man usermod — Comando para modificar usuarios. Archivos de configuración • man 5 group — El archivo que contiene información del grupo para el sistema. • man 5 passwd — El archivo que contiene información del usuario para el sistema. • man 5 shadow — El archivo que contiene información de contraseñas y vigencia de cuentas para el sistema.