4. Administración de Usuarios.pdf

7/23/2019 4. Administración de Usuarios.pdf

http://slidepdf.com/reader/full/4-administracion-de-usuariospdf 1/27

Clase Nº 4Tareas administrativas

● Administración de usuarios● Creación de grupos y usuarios● Atributos de protección de los procesos● Atributos de protección de los archivos● Los bits SETUID y SETGID en archivos eecutables

● Ambiente y variables de ambiente● Establecimiento del entorno de usuario● Archivo !etc!pro"ile● Archivo #pro"ile● Archivo !etc!bashrc o $!#bashrc● Archivo !etc!s%el● Comando umas%

● Archivos de bit&coras

● Copias de seguridad en Linu' (bac%up)● dump* restore* tar



Administración de usuarios

● La administración de las cuentas de los usuarios y sus grupos de trabajoimplica una gran responsabilidad, pues el primer paso para mantener laseguridad del sistema consiste en evitar el acceso al mismo de personas noautorizadas.

●

Para que un usuario pueda acceder al sistema, debe estar previamenteregistrado ante el mismo. Esta tarea, realizada por el administrador delsistema, afecta a tres archivos: /etc/passwd, /etc/shadow y /etc/group.

● Estos archivos no deben ser editados directamente sino por medio delconjunto de utilidades suministradas por el sistema para tal fin




● Estructura del archivo etcpass!d "#ampos$:● Login del usuario.● Pass!ord Encriptado. Puede estar tambien en el etcshado!.● %dentificación del &suario "&%'$. #ero para el superusuario.● %dentificación del (rupo "(%'$. 'eberia estar creado en el etcgroup.●

%nformación (eneral "(E#)*$.● 'irectorio de inicio "+)E '%-E#)-/$.● *hell de inicio.

● Ejemplos de lineas en el etcpass!d:

root:0:1:1:2dministrador del *istema:root:binbashiseit:0:3113:311:usuario del #urso:homeiseit:binbash




● Estructura del archivo etcshado! "#ampos$:

● Login del usuario.● Pass!ord Encriptado.● 'ias transcurridos desde el 34343561 del ultimo cambio del pass!ord.●

inimo de d7as antes que el pass!ord sea cambiado.● 80imo de d7as para cambiar un pass!ord.● '7as de advertencia antes que el pass!ord e0pire.● 'ias despues de e0pirado un pass!ord y la cuenta sea deshabilitada.● 'ias transcurridos desde el 34343561 en que ha estado deshabilitada.● -eservado por el sistema.

● Ejemplos de lineas en el etcshado!:

root:z3(r99gag3;:9<=6:1:555555:6:::iseit:nbs>3<3<?g-f:3363:3<:1:6:::




● Estructura del archivo etcgroup "#ampos$:

● @ombre del grupo.● Pass!ord Encriptado del grupo.● %dentificación del grupo."(%'$.●

Lista de usuarios. "'eben estar etcpass!d en el campo de login,separados por comas$.

● Ejemplos de lineas en el etcgroup:

root:0:1:curso:0:311:iseit,jose,maria




● #reación de grupos y usuarios

Orden Significado

useradd adduser 2Aadir un usuario

userdel Eliminar un usuario

usermod odificar los atributos de un usuario

groupadd 2Aadir un grupo

groupdel Eliminar un grupo

groupmod odificar los atributos de un grupo

pass!d #ambiar la contraseAa de un usuario

chage (estionar la caducidad de la contraseAa




● Atributos de protección de los procesos

%dentificadores del usuario propietario del proceso:

rUID "versión real$ siempre corresponde al usuario que creó el proceso

eUID "versión efectiva$ corresponde al usuario bajo el cual se comporta el proceso

2mbos identificadores suelen ser iguales, salvo que intervenga el denominado

bit SEUID en el archivo ejecutable que est8 ejecutando el proceso




● Atributos de protección de los procesos

%dentificadores del grupo propietario del proceso:

r!ID "versión real$ corresponde al grupo primario al que pertenece el usuario que creó el procesoe!ID "versión efectiva$ corresponde al grupo bajo el cual se comporta el proceso

2mbos identificadores suelen ser iguales, salvo que intervenga el denominado bitSE!ID en el archivo ejecutable que est8 ejecutando el proceso

Estos atributos son asignados al proceso en el momento de su creación, yheredados de su proceso padre

La orden id muestra todos estos atributos



Administración de usuarios● Atributos de protección de los archi"os

OwnerUID %dentificador del usuario propietario del archivo.

OwnerGID %dentificador del grupo propietario del archivo.

#its de per$iso: &n total de 39 bits que e0presan las operaciones del archivoque son permitidas en función del proceso que acceda a este archivo.

#it Significado

33 *E&%'

31 *E(%'

5 *ticBy

C Lectura para el propietario.

6 Escritura para el propietario.

= Ejecución para el propietario

< Lectura para el grupo.

D Escritura para el grupo.

Ejecución para el grupo.

9 Lectura para el resto de usuarios.

3 Escritura para el resto de usuarios.

1 Ejecución para el resto de usuarios.




● %os bits SEUID y SE!ID en archi"os e&ecutables

Estos bits se emplean para permitir que un programa se ejecute bajo los

privilegios de un usuario distinto al que lanza la ejecución del programa. *u

funcionamiento es el siguiente:

● *i el archivo ejecutable tiene el bit SETUID activo, el eUID del proceso que ejecuta

el archivo es hecho igual al ownerUID del archivo.

● *i el archivo ejecutable tiene el bit SETGID activo, el eGID del proceso que ejecuta

el archivo es hecho igual al ownerGID del archivo.

@ormalmente estos programas pertenecen al superusuario, y permiten a los

usuarios ejecutar tareas privilegiadas bajo ciertas condiciones.

Ejemplo: cambio de la contraseAa de un usuario.



La Herramienta Kuser

● El Kuser es un utilitario del KDE que permite manejar usuarios y grupos que tendrán acceso al sistema.

● Entre sus funciones más importantes están las de Crear, Modificar y Eliminar Usuarios o Grupos del Sistema.

● Para accesarlo elija la opción de Sistema desde el menú de K y luego el Administrador de Usuarios (kuser).

● Aparecerá una ventana que en la parte superior tiene los iconos para agregar, eliminar o modificar y luego las etiquetas para

elegir usuarios o grupos, en la parte central aparecen los usuarios o grupos definidos en la actualidad con sus números de id,

login y su descripción ( ver ejemplos de pantalla a continuación).



Apariencia del kuser



Ambiente y variables de ambiente

'ariable es un nombre al cual se le puede asociar un valor, tal valor puede

cambiar durante la ejecución de un programa

#ada programa "incluyendo al intrprete de comandos$ se inicia en un a$biente

el cual consta de variables 444 "ariables de a$biente444 que hereda del programa

que lo inició y que pueden tener un significado especial para el programa.

Puede e0aminar las variables de ambiente de bash con el comando set.




● USER y USERNAME login del usuario

● UID nFmero que identifica al usuario

● TERM nombre de la terminal que est8 usando

● SHELL ruta y nombre del intrprete de comandos

● PWD nombre del directorio de trabajo

● $HOME nombre del directorio personal del usuario

● PS1 y PS2 indican a bash como presentar prompts

● PATH ruta de directorios donde bash busca archivos ejecutables

● OSTYPE tipo de sistema operativo




● MAILCHECK frecuencia en segundos con la que bash debe revisar si ha llegado un

nuevo correo a la cola de correos especificada en la variable

● MAIL "por defecto la del usuario$G LS_COLORS colores que emplea el programa lsG

LINES y COLUMNS indican la cantidad de filas y columnas de la terminal que est8

usando

● LANG, LANGUAGE y otras variables que comienzan con el prefijo LC_ especifican el

idioma en el que los programas deben interactuar con el usuario

● HOSTNAME es el nombre del sistema

● HISTFILE mantiene el nombre del archivo con la historia de comandos, su

tamaAo lo limitan HISTFILESIZE y HISTSIZE

● DISPLAY mantiene la dirección del servidor H4Iindo!




Estableci$iento del entorno de usuario

El administrador tiene la posibilidad de establecer un entorno general de trabajo

para todos los usuarios, pero a su vez el usuario en s7 dispone de una forma para

establecer su propio entorno individual, de tal manera que por el mero hecho de

identificarse este entorno quede creado.

#on este objetivo e0isten el archivo /etc/profile y un archivo .profile en el

directorio (o$e de cada usuario.




Archi"o /etc/profile

● Este archivo contiene algunas variables de entorno y los programas de arranque.

● &na vez que el usuario se identifica correctamente, se ejecuta de forma

autom8tica el shellscript contenido en este archivo.

● 'ado de que este contenido es el mismo para todos los usuarios, permite crear el

entorno general.

● 'urante la ejecución de este shellscript se pueden efectuar una serie de

operaciones de inters general para los usuarios.




Archi"o /etc/profile

● *e analiza la e0istencia del archivo etcmotd. *i este archivo e0iste, se lista su

contenido.

● *e establecen los par8metros por defecto para el terminal.

● *e analiza si el usuario que se acaba de identificar tiene correo en su buzón. *i

es as7 se visualiza un mensaje de aviso.

● *e analiza la e0istencia de algFn Jbolet7n de noticiasJ "ne!s$ que aFn no haya

sido le7do por el usuario, visualizando su nombre en caso de que lo haya.

El archivo etcprofile, es de propiedad del administrador y, por lo tanto, puede ser

modificado cuando lo desee para eliminar aquello que no le guste o para aAadir

todo lo que quiera que se ejecute cada vez que se identifica un usuario.




Archi"o .profile

● Este archivo se crea en el directorio +ome del usuario cuando es aAadido alsistema. @ormalmente se copia desde el e0istente en etcsBel. El archivo .profile,salvo que as7 lo disponga el administrador, es de propiedad del usuario y por lotanto cada uno puede modificarlo a su gusto para crearse su entorno individual.

Archi"o /etc/bashr) o */.bashrc

● Este archivo configura el inicio del terminal del usuario. #ada vez que iniciemosun terminal, el sistema lee este archivo para identificar JaliasJ de órdenes,configurar el JpromptJ del sistema, etc.

Archi"o /etc/s+el

● Esto no es un archivo, sino un directorio. odo lo que se aAada en l se copiar8

autom8ticamente a los directorios JhomeJ o Jra7zJ de todos los usuarios cuando secreen en el sistema. 2s7, se pueden incluir los archivos .bashrc, .0initrc, etc., eneste directorio, y despus crear los usuarios.




Orden u$as+ odifica los permisos por defecto a la hora de crear nuevos archivos.

Permisos por defecto al crear archivos:r!4r!4r!4 para archivos no ejecutablesr!0r!0r!0 si se crea un directorio o un ejecutable.

Para modificar este funcionamiento, cada usuario puede especificar alsistema aquellos bits que no desea que sean activados, mediante la m8scarade creación de archivos. La m8scara se establece mediante el mandatoumasB. #ada bit activo en la m8scara es un bit que ser8 desactivado cuandose cree un archivo.

El administrador debe velar porque e0ista una m8scara de creación de

archivos razonable por defecto para cualquier usuario. Esto puedeconseguirse f8cilmente utilizando el archivo /et/!"#%le, el cual sirve parapersonalizar el entorno de los usuarios en el momento de su cone0ión.



Archivos de bitácoras

E0isten ciertos archivos de registro Khabituales en los que se almacena información.

syslog

El archivo s&sl#' "guardado en /()"/)*+/ o /()"/l#'/$ es quiz8s el archivo de log m8importante del sistemaG en l se guardan, en te0to claro, mensajes relativos a la seguridad de m8quina, como los accesos o los intentos de acceso a ciertos servicios.

$essages

En este archivo de te0to se almacenan datos Kinformativos de ciertos programas, mensajes dbaja o media prioridad destinados m8s a informar que a avisar de sucesos importantes

wt$p

Este archivo es un binario "no se puede leer su contenido directamente con )t o similares$ qu

almacena información relativa a cada cone0ión y descone0ión al sistema.



Archivos de bitácoras

utmp

El archivo ,t+! es un binario con información de cada usuario que est8 conectado en un momentdadoG el programa /-%./l#'%. genera un registro en este archivo cuando un usuario conectamientras que %.%t lo elimina cuando desconecta. +abitualmente este archivo est8 situado en()"/)*+/

lastlog

El archivo l)stl#' es un binario guardado generalmente en /()"/)*+/, y que contiene unregistro para cada usuario con la fecha y hora de su Fltima cone0ión

faillog

Este archivo es equivalente al anterior, pero en lugar de guardar información sobre la fecha yhora del Fltimo acceso al sistema lo hace del Fltimo intento de acceso de cada usuario



oginlog

*i creamos el archivo /()"/)*+/l#'%.l#' "que en algunas versiones originalmente no e0iste$, sregistrar8n en l los intentos fallidos de login , siempre y cuando se produzcan cinco o m8s de elloseguidos

btmp

En algunos clones de &ni0, como Linu0 o +P4&H, el archivo -t+! se utiliza para registrar lacone0iones fallidas al sistema, con un formato similar al que t+! utiliza para las cone0iones qu

han tenido 0ito

sulog

Este es un archivo de te0to donde se registran las ejecuciones de la orden s,, indicando fechhora, usuario que lanza el programa y usuario cuya identidad adopta, terminal asociada y 0it"0$ o fracaso "03$ de la operación

debug

En este archivo de te0to se registra información de depuración "de debug $ de los programas quse ejecutan en la m8quinaG esta información puede ser enviada por las propias aplicaciones o poel nFcleo del sistema operativo



Copias de seguridad (backup)

dump y restore

&na vez que las fuentes han sido compiladas e instaladas, la utilización de dump y restore erelativamente simple. Para realizar la copia de seguridad de una partición devsda3 sobredevrmt1, es suficiente hacer:

# dump 0sfu 3600 /dev/rmt0 /dev/sda1

# dump 0sfu mis02:/dev/rmt0 /dev/sda1

Opciones de du$p:

● a - : nivel de copia de seguridad. 1 corresponde a una copia de seguridad completa, mientras

que los otros niveles n corresponden a la copia de seguridad de archivos que fueron modificados

desde la ensima copia de seguridadG

●

s : tamaAo de la cinta en piesG● f : archivo. Puede estar compuesto de m8quina:archivoG

● u : escritura de la fecha y del nivel de copia de seguridad en el archivo etcdumpdates.




dump y restore

E0isten dos maneras de efectuar una restauración : en l7nea de órdenes o en modo llamad

JinteractivoJ. El segundo modo es m8s simple para las restauraciones parciales. El primero e

sobre todo utilizado para las restauraciones completas.

Para restaurar la cinta en modo interactivo es suficiente hacer:

# restore -if /dev/rmt0

# restore -if mis02:/dev/rmt0

Para restaurar completamente una cinta:

# restore rf /dev/rmt0

Para la utilización de dump y restore a travs de una red "copia de seguridad sobre dispositivoremotos$, debe utilizar los archivos .rhosts.




tar

2 diferencia de dump o restore, tar permite copia de seguridad de los archivos deseados, e0clu

ciertos repertorios, etc. Es necesario notar que el tar utilizado bajo Linu0 es el tar (@&. Est

posee ciertas opciones particulares.

Para conocer todas las opciones posibles, tar 44help.

&na utilización simple de tar puede ilustrarse con la copia de seguridad de una partición d

usuarios:

M tar cvf devrmt1 users N mail bacBup4user

La lista de archivos ser8 as7 enviada al usuario bacBup4user.



Documents

4. Administración de Usuarios.pdf