administración de usuarios y permisos de archivos en ubuntu
TRANSCRIPT
Administración de usuarios y
permisos de archivos/carpetas
en Ubuntu 15.04
DESCRIPCIÓN BREVE Creación de usuarios y grupos para administrar los
permisos en archivos.
TALLER DE SEGURIDAD Grupo: SOLUTION THE CREEPER
1. CHERO PRADO, JOSE
2. MALDONADO SALDAÑA, MAYRA
3. RIVERA VEGA, JAMES JONATAN
4. VALDIVIA RAMIREZ, JOSE LUIS
INTRODUCCIÓN
Uno de los pilares básicos de la solidez de los sistemas GNU/Linux es su
potente gestión de usuarios y de permisos.
Los sistemas GNU/Linux como Ubuntu son sistemas multiusuario. Esto
significa que está pensado para que pueda ser utilizado por muchas personas,
incluso trabajando simultáneamente, garantizando así la confidencialidad de la
información y la estabilidad del sistema. Precisamente uno de los mecanismos
más importantes para conseguir este objetivo es el referente a los niveles de
acceso de los usuarios a la información del sistema.
En Linux también permite que los archivos sean compartidos entre usuarios y
grupos de usuarios.
A continuación, encontrará una breve presentación de los privilegios que el
sistema GNU/Linux utiliza, así como los comandos utilizados para hacerlo.
‘
Administración de usuarios y permisos de
archivos/carpetas en Ubuntu 15.04
PASO 1: AÑADIR USUARIOS Y GRUPOS
Por debajo del directorio raíz (/) hay un importante grupo de directorios común
a la mayoría de las distribuciones de GNU/Linux. A continuación, hay una lista
de los directorios que aparecen normalmente bajo el directorio raíz (/):
/root - directorio personal del usuario root (superusuario); también
llamado "barra-root".
/home - directorios personales (home) para los diferentes usuarios
A. Añadir usuarios (useradd) y grupo(groupadd)
A la hora de crear un usuario de sistema, podemos pasar los siguientes
parámetros:
-c --comment comentario Permite establecer detalles de la
cuenta de usuario. En la actualidad se utiliza para definir el
nombre completo del usuario.
-d Directorio home del usuario
-s Shell del usuario
-p Password
-g Grupo primario al que asignamos el usuario
-G Grupos a los que también pertenece el usuario
-m Forzamos la creación del directorio en su home
Creando el usuario rivera
Se añadió el usuario rivera, con un comentario que contiene su nombre y su directorio de
trabajo.
Agregar password al usuario rivera
El comando ls-l (LiSta) muestra los archivos de texto con formato y el
permiso que tienen.
Crear grupos fiis, lab
Añade un nuevo usuario llamado valdivia al grupo llamado fiis:
Vemos el directorio creado del usuario valdivia
B. Añadir usuarios(adduser)
sudo adduser nombre_usuario
El sistema pedirá alguna información adicional sobre el usuario y un password o clave. Por
defecto, se crea un grupo con el nombre del usuario y éste será el grupo por defecto. Este
comportamiento se configura en /etc/adduser.conf.
Pedira el password y informacion personal
Se creo tambien un grupo llamado mayra por defecto
Ver el directorio
Para añadir el usuario mayra al Grupo lab:
También puede asignar un grupo al usuario cuando lo está creando:
sudo adduser – ingroup nombregrupo nombre usuario
Ver ls-l
Se crea su directorio
Para añadir a un usuario a varios grupos al mismo tiempo utilice la siguiente
sintaxis:
PASO 2. Eliminar,modicar usuarios y grupos
Creando mas grupos y usuarios
Eliminar usuario y grupo.
Para eliminar usuarios y grupos se emplean userdel y groupdel respectivamente. Por
ejemplo:
Para eliminar un usuario
Para eliminar un grupo
Modificar usuarios y grupos
Para modificar las características de los usuarios y grupos se emplean los
comandos usermod y sudo groupmod.
Cambiamos el nombre del usuario jaimes a Jaimito:
Cambiamos el nombre del grupo temporal1 a lab_pract:
PASO 3. FICHEROS RELACIONADOS CON LA GESTIÓN DE
USUARIOS Y GRUPOS
Algunos ficheros relacionados con las cuentas de usuario son:
/etc/passwd: contiene información sobre cada usuario: ID, grupo
principal, descripción, directorio de inicio, shell, etc. También
contiene el password encriptado, salvo que se usen shadow
passwords.
/etc/shadow: contiene los passwords encriptados de los usuarios
cuando se emplean shadow passwords.
/etc/group: contiene los miembros de cada grupo, excepto para el
grupo principal, que aparece en /etc/passwd.
/etc/skel: directorio que contiene el contenido del directorio de los
nuevos usuarios.
Por ejemplo, ver los listados de los usuarios
El contenido del fichero /etc/passwd determina quien puede acceder al sistema de
manera legitima y que se puede hacer una vez dentro del sistema. Este fichero es
la primera linea de defensa del sistema contra accesos no deseados. Debe de
mantenerse escrupulosamente y libre de errores y fallos de seguridad. En el
tenemos registrados las cuentas de usuarios, asi como las claves de accesos y
privilegios1.
1 http://www.linux-es.org/node/11
Se muestran las siguientes caracteristicas etc/passwd
chero: Nombre de la cuenta (Login)
X: Clave de acceso encriptada (password)
1004: UID de esta cuenta
1002: GID del grupo principal al que pertenece la cuenta
usuario
chero:
Nombre del usuario
/home/chero: Directorio de trabajo de chero
/bin/bash: Interprete de comando (shell) de usuario chero
Tabla 1
El usuario rivera pertenece a los grupos de fiis y lab
Paso 4. Políticas de contraseña
Una política de contraseñas fuerte es uno de los aspectos más importantes en cuanto a seguridad
se trata. La mayoría de los ataques exitosos involucran simples ataques de fuerza bruta o ataques
de diccionario contra contraseñas débiles. Si planeas ofrecer algún tipo de acceso remoto a tu
sistema que involucre el uso de tu sistema local de contraseñas, asegúrate de contar con
requerimiento para la complejidad de las contraseñas, vida útil máxima de las contraseñas, y
auditorías frecuentes de tus sistemas de autenticación.
Longitud mínima de la contraseña De forma predeterminada, Ubuntu requiere un mínimo de 6
caracteres para la creación de una contraseña, además de algunas verificaciones de entropía. Estos
valores son controlados por el archivo /etc/pam.d/common-password que se describe a
continuación:
Si por ejemplo quieres cambiar el mínimo de caracteres para la contraseña de 6 a
8, entonces cambia el valor de la variable correspondiente a min=8 como se muestra
en el siguiente ejemplo:
Ctrl + O : para guardar, presionar enter y luego para salir Ctrl + x
Las verificaciones básicas de entropía y las reglas de longitud mínima no aplican al
administrador que esté usando sudo para la creación de un nuevo usuario.
Caducidad de las contraseñas
Cuando creas nuevos usuarios, deberías establecer una política que indique un mínimo y un
máximo de tiempo para la duración de las contraseñas, obligando al usuario a cambiarla una
vez este tiempo se haya agotado.
Para conocer fácilmente el estado actual de una cuenta de usuario, utiliza la siguiente sintaxis:
La salida obtenida presenta interesantes datos acerca de la cuenta de usuario,
observando que no existen políticas aplicadas:
Para establecer cualquiera de estos valores, utiliza la siguiente sintaxis,
Y sigue cada uno de los mensajes interactivos:
consultando los cambios realizados
El siguiente es un ejemplo de cómo puedes cambiar manualmente la fecha de
expiración (-E) a 07/31/2016, una duración mínima de la contraseña (-m) de 5 días,
una duración máxima de la contraseña (-M) de 90 días, un periodo de inactividad (-
I) de 5 días después de la fecha de expiración de la contraseña, y una advertencia
con (-W) 14 días de anticipación antes de la expiración de la contraseña:
Ver los cambios relizados
Seguridad de perfil de usuario: Cuando se crea un nuevo usuario, la utilidad adduser crea un
nuevo directorio nombrado /home/usuario. El perfil predeterminado es modelado a partir del
contenido del directorio /etc/skel, el cual incluye las características básicas del perfil.
Si tu servidor va a albergar varios usuarios, debes poner especial atención a los permisos de los
directorios personales con la intención de mantener la confidencialidad. Por defecto, los
directorios personales en Ubuntu son creados con permisos de lectura y ejecución globales.
Esto significa que a los usuarios se les permite navegar y acceder a los directorios y archivos
almacenados en los directorios personales de cada uno de los usuarios en el servidor, lo cual
puede llegar a ser contraproducente para tus necesidades específicas.
Para verificar los permisos de los directorios personales de cada uno de los usuarios utiliza la
siguiente sintaxis:
La siguiente salida muestra que el directorio /home/nomb-usuario posee permisos
de lectura globales.
PASO 5: permisos de archivos/carpetas
Propiedades de Archivos Regulares:
Los archivos regulares poseen 3 características principales:
usuario propietario, un grupo propietario, una serie de permisos
Existen tres tipos de permisos:
lectura (r), escritura (w), ejecución (x)
Tabla 2
- Alguien puede ver un archivo si tiene permisos de lectura, pero deberá tener permisos
de escritura para modificarlo. Los permisos de ejecución, permiten que alguien utilice
el archivo como uncomando.
- Para iniciar una aplicación o ejecutar un script, el archivo que contenga la aplicación o
el script deberá ser ejecutable.
- Los archivos normales de datos no usan el tipo de permiso ejecutable.
Tres clases de acceso:
(u)suario, Acceso de (g)rupo propietario, Acceso de (o)tro tipo
- permisos de un archivo se presentan, por lo general, con una serie de nueve
caracteres, tales como rwxr-xr-x.
- Una letra indica que el permiso correspondiente se ha activado, mientras que si
aparece un guión esto significa que no se tiene permiso.
Usuarios propietarios, Grupos propietarios y Permisos2
Algunos archivos están destinados a ser compartidos
Otros archivos, los usuarios desearan mantenerlos en privado
Cada archivo en Linux tiene tres propiedades que permiten a los usuarios controlar quién
tiene acceso al archivo y cómo:
2 http://myslide.es/documents/linux1-modulo-4-propiedades-de-archivos-y-permisos-relator-jcnet.html
- Usuario Propietario
- Grupo Propietario
- Otros Propietarios
Los bits de permisos definen la forma como las tres clases diferentes de usuarios pueden
usar el archivo: el propietario del archivo, los miembros del grupo que poseen el archivo y
cualquier otro usuario.
Por ejemplo creado un txt
Interpretación de Permisos :
Para poder interpretar los permisos de archivos de
Figura 1
El usuario tiene permiso de lectuara(r) y escritura, el grupo solo tiene permiso de lectura como el
ivitado tambien el mismo permiso.
los siguientes usuarios, y sus respectivas membresías de grupo (cat /etc/group):
Usuario grupos
rivera rivera, Lab, fiis
valdivia valdivia, fiis
mayra Mayra, Lab
jaimito jaimes,Lab_pract
Tabla 3
Cambio de permisos de archivos: chmod
Conceptos Claves
– El comando chmod se utiliza para modificar los permisos de archivo
– El primer argumento para chmod usa una sintaxis [ugoa]+/-[rwx] para describir
cómo deberían cambiarse los permisos.
Chmod:
Usualmente, en linux el permiso de archivo se le conoce como el “modo” del archivo
Chmod es un atajo para cambiar modo
Cuando alguien crea un archivo, por defecto el archivo puede ser modificado por solo una
persona, pero puede ser leible por todos en el sistema.
Figura 2
Por ejemplo:
La siguiente muestra presenta varios ejemplos de cómo el comando chmod se puede
utilizar para modificar permisos de un archivo llamado foo, con los permisos
predeterminados de rw-rw-r--.
La primera columna es un ejemplo del uso del comando chmod y la última columna son los
permisos que el archivo tendría después de ejecutar el comando.
Permiso al grupo de escritura(w)
Mas modos de chmod:
Tabla 4
Sintaxis "octal" para el comando chmod:
A cada tipo de permiso se le concede un valor:
– (r) tiene 4,
– (w) tiene 2,
– (x) tiene 1.
Los archivos por defecto tienen los permisos "664"
Los directorios tienen por defecto un modo “775”
Por ejemplo:
Dado a permisos a otros puedan escribir(w)
Notación Octal :
Con la notación octal de tres dígitos cada número representa un componente diferente de
permisos a establecer: clase de usuario, clase de grupo y clase de «otros» (resto del
mundo).
Tabla 5
Tabla 6
PASO 6. Como cambiar los permisos/dueño/grupo de un
fichero/directorio?
El comando chgrp cambia el grupo de propietarios Sintaxis:
El comando chown cambia los usuarios propietarios Sintaxis
-R: indica que los cambios se le deben de aplicar tanto a la carpeta especificada como a
los archivos y subcarpetas.
El usuario root puede cambiar a cualquier archivo el grupo. Los demás usuarios solo
pueden hacerlo con los archivos propios y grupos a los que pertenezca.
Sintaxis chgrp:
chgrp nuevogrp archivo1 [ archivo2 archivo3...]
Por ejemplo: cambia el grupo propietario del archivo /home/rivera al grupo lab_pract
Entramos al directorio /home
Vemos que ha cambiiado el grupo propietario
Sintaxis chown:
chown nuevousr archivo1 [ archivo2 archivo3...]
Por ejemplo: cambia el usuario propietario del archivo /home/valdivia al usuario mayra
Visualizamos los cambios
PASO 6. Practicando
Modificando el nombre del grupo lab_pract en prueba
Luego usamos: cat /etc/group; visualizamos que se a cambiado el nombre
Agregamos al grupo al usuario rivera, mayra
Nueva mente usamos: cat /etc/group; visualizamos que se aumentaron mas usuarios
Eliminamos al usuario jaimito
Nueva mente usamos: cat /etc/group; visualizamos que se quito a jaimito
Para permisos de archivos por ejemplo el usuario rivera creo anteriormente un archivo txt
Llamado ejemplo.txt
Vemos que permisos tien el txt
Todos los usuarios tienen permiso de lectura y escritura; en este caso quiero que los que no
pertescan al grupo podran modificar el archivo, pero podran visualizarlo
Como tambien el usuario mayra pertenece ala grupo prueba y tambien rivera
Por lo tanto mayra si podra modificar el archivo
Entramos a /home/rivera para modificar el txt
Presionamo tecla i para insertar mas datos al texto
Para guardar presionamos Esc y a continuacion escriba :wq
El usuario chero quiere modificar el archivo, no podra por que no pertenece al grupo
El usuario chero accede al directorio /home/rivera para modificar el txt
Al quere modificar el archivo presionando la tecla i le saldra un mensaje
Cuando quiere guardar presiona Esc le saldra un mensaje
Para salir de esto Ctrl +z
CONCLUSIONES
La administracion de grupos y usuarios en ubuntu es de forma segura ya que cuando se crea un
nuevo usuario con su password esta encriptado con sha512 en esto en la seguridad guarda la
autentificacion del usuario.
La administración de cambio de propietario de un grupo o el usuario como propietario de un
archivo creado en /home, ayuda al administrador a manejar todos usuarios y grupos de manera
integral, para poder compartir archivos, depeendiendo del permiso que le dean rwx.
Cada archivo en Linux tiene tres propiedades que permiten a los usuarios controlar quién tiene
acceso al archivo y cómo.