• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Administración de Usuarios, Grupos y Permisos
 

Administración de Usuarios, Grupos y Permisos

on

  • 1,237 views

 

Statistics

Views

Total Views
1,237
Views on SlideShare
1,131
Embed Views
106

Actions

Likes
1
Downloads
35
Comments
0

1 Embed 106

http://kgarayg.blogspot.com 106

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Administración de Usuarios, Grupos y Permisos Administración de Usuarios, Grupos y Permisos Document Transcript

    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasAdministración de UsuariosLinux es un sistema operativo multiusuario, por lo tanto el administrador del sistema, que puede ser root o algunotro usuario con nivel de administrador, tiene que asignar un nombre de usuario (login) y una contraseña(password) a los usuarios para que puedan empezar a trabajar. Cada usuario, tiene su propio login y su propiapassword para acceder al sistema. Esto permite prevenir que otro usuario utilice un login que no le corresponde,pues es secreto.El archivo donde están almacenados los passwords de los usuarios es /etc/passwd.Para que un password sea válido debe contener como mínimo 6 caracteres, y el primero debe ser alfabético; peroúnicamente los 8 primeros son significativos.El password puede contener letras en mayúsculas o minúsculas, caracteres numéricos y caracteres especiales.Para crear un nuevo password o cambiar uno ya existente se utiliza el comando passwd, cuya sintaxis es: # passwd [NombreUsuario]El archivo de PasswordsLinux guarda la información de todos los usuarios junto con sus passwords (lógicamente cifrados) en unarchivo. Es el archivo passwd, dentro del directorio /etc. Es muy simple en Linux leer este archivo, ya que esaccesible a cualquier usuario. Tiene la siguiente forma: ale:heJuwMrBVa6mg:1001:202:Alejandra Garcia:/home/ale:/bin/sh pepe:GezuA6krN/BsE:1002:202:Jose Alvarez:/home/pepe:/bin/sh juan:ze7EPYLjRYX9I:1003:202:Juan Jose Cao:/home/juan:/bin/kshVamos a ver qué significa todo esto. Podemos decir que el formato de cada línea es: campo1:campo2:campo3:campo4:campo5:campo6:campo7donde: campo1) login del usuario campo2) password encriptado campo3) número UID (identificación de usuario) campo4) número GID (identificación de grupo) campo5) datos del usuario campo6) directorio de trabajo campo7) directorio del shell Nota: Los usuarios tienen su número de usuario (UID), también tienen un número de grupo (GID). Cada usuario debe pertenecer a un grupo. Los grupos están numerados en el archivo /etc/group.Como el archivo passwd es accesible por cualquier usuario, lo que siempre se hace es activar el shadow.¿Recuerda, cuando instalamos que en una de las pantallas de instalación nos permitía habilitar MD5 y shadow?.Bueno, es el mismo shadow. Shadow quiere decir sombra en inglés, lo puedo asociar a ocultar o esconder. Elarchivo shadow también se encuentra dentro del directorio /etc, y a diferencia de passwd, éste no es visiblepara cualquier usuario.Compruébelo en su sistema logueándose como un usuario cualquiera y verá que no le da permiso de lectura. Estearchivo no puede ser accedido por cualquier usuario, sólo el superusuario o root tiene permiso de acceder a él.Veamos como es este caso, en donde el archivo de passwords está protegido con el archivo shadow.El archivo shadow es el que contiene las contraseñas encriptadas, y el archivo passwd, en el campo que antesguardaba las contraseñas, ahora tiene una X, significando esto que, este usuario tiene una contraseña, es unamarca. La contraseña no está aquí. Administración de Servidores.- Prof. Kramer Garay Gómez
    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasEjemplo ale:heJuwMrBVa6mg:11750:0:99999:7:-1:-1:134529868Esta es una línea del archivo shadow. Vamos a ver ahora el significado de cada campo. campo1) Nombre de usuario campo2) Contraseña encriptada campo3) Cantidad de días desde el 1/1/1970 que se habilitó la contraseña campo4) Cantidad de días antes de cambiar la contraseña campo5) Cantidad de días después, que se debe cambiar la contraseña campo6) Cantidad de días antes de que expire la contraseña, y avisa al usuario campo7) Cantidad de días después de que expire la contraseña, y se inhabilita la cuenta. campo8) Cantidad de días después, desde 1/1/1970, que la cuenta está deshabilitada. campo9) Campo reservado Nota: Los campos que contienen un –1, significa, que la cantidad de días es infinita.Crear UsuariosEl comando para agregar un usuario es: useradd [opciones] <NombreUsuario> useradd NombreUsuarioEsta es la forma más simple del comando useradd. Como la mayoría de los comandos en Linux, se puede usarcon varios identificadores, las opciones más usuales del comando useradd son: -c comentario para especificar un comentario para la nueva cuenta. -d directoriodeusuario para establecer el directorio de trabajo del usuario. Es conveniente, a fin de tener un sistema bien organizado, que este se localice dentro del directorio /home. -e fechaexpiracion para establecer la fecha de expiración de la cuenta de usuario. Esta debe ingresarse en el siguiente formato: AAAA-MM-DD. -g grupoinicial para establecer el grupo inicial al que pertenecerá el usuario. De forma predeterminada se establece como único grupo. Nota: El grupo asignado ya debe existir. -G grupo1,grupo2 para establecer grupos extra a los que pertenecerá el usuario. Se deben separar utilizando una coma y sin espacios. Esto es muy conveniente cuando se desea que el usuario tenga acceso a determinados recursos del sistema, como acceso a la unidad de disquetes, administración de cuentas PPP y POP. Nota: los grupos asignados deben existir. -m para especificar que el directorio de trabajo del usuario debe ser creado , y dentro se copiarán los archivos especificados en /etc/skel. Para cambiar esto, hay que completar la opción -m con –k <nuevodirskel> donde nuevodirskel es la carpeta de la cual se sacarán los perfiles de usuario. -s shell Se utiliza para establecer la shell que podrá utilizar el usuario. De forma predeterminada, se establece bash como shell predeterminado. -u uid Se utiliza para establecer el UID, es decir, la ID del usuario, el número de identificación de usuario. Este debe ser único. Cuando se crea una cuenta de usuario por primera vez, generalmente se asignará 500 como UID del usuario. Los UID entre 0 y 99 son reservados para las cuentas de los servicios del sistema. Administración de Servidores.- Prof. Kramer Garay Gómez
    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasEjemplo: # useradd -u 500 -d /home/alexa -G floppy,pppusers,popusers alexa Nota: No crea el directorio de usuario /home/alexa . Debe existir con anterioridadEsto creará una cuenta de usuario llamada alexa, que se encuentra incluida en los grupos floppy, pppusers ypopusers, que tendrá un UID=500 y tendrá un directorio de trabajo en /home/alexa.Otro ejemplo: # useradd -m –s /bin/bash jjlopezAquí crearé un usuario jjlopez con su directorio de usuario /home/jjlopez y usará bash como shell.Existen más opciones y comentarios adicionales para el comando useradd, estas se encuentran especificadas enlos manuales, las páginas man. Para acceder a esta información, utilice el comando man useradd. Nota: Este comando lo usa solamente rootEn el caso de saltar todas estas opciones, useradd va a tomar las opciones por default desde un archivo:/etc/default/useradd en caso de Redhat/etc/adduser.conf en caso de DebianOtra forma de crear usuarios es directamente, agregar la entrada en /etc/passwd. Edite este archivo yagréguelo a mano. Tenga cuidado, no repita un nombre de usuario. Los nombres de usuario y UID deben serúnicos. Se debe especificar el GID, nombre completo y resto de información. Se debe crear el directorio inicial(/home/usuario, por ejemplo), y poner los permisos en el directorio para que el usuario sea el dueño. Sedeben suministrar archivos de comandos de inicialización en el nuevo directorio y se debe hacer alguna otraconfiguración del sistema (por ejemplo, preparar un buzón para el correo electrónico entrante para el nuevousuario en /var/spool/mail).Todo esto es lo que hace el comando useradd o adduser dependiendo del software que esté instalado.El programa /usr/sbin/useradd usa una serie de valores por defecto. Los leerá del archivo/etc/default/useradd, si este existe. Si no existe, entonces utiliza algunos valores internos por defecto, quepueden verse ejecutando /usr/sbin/useradd -D. Vamos a ver que contiene el archivo/etc/default/useradd:GROUP=100 Grupo de usuario cuando se utilice useradd -n. Sino en RedHat®, el número 100 significa que se creará un GID igual al UID, si no se indica lo contrario.HOME=/home Donde se guardarán los directorios de todos los usuariosINACTIVE=-1 Número de días a los cuales se volverá inactiva la cuenta del usuario, contadas a partir del día del desactivamientoEXPIRE= Día en el que será desactivada la cuentaSHELL=/bin/bash El shell por defecto para el usuarioSKEL=/etc/skel Lugar de donde se deben copiar archivos al nuevo directorio del usuarioEjemplo: # cat /etc/default/useradd GROUP=100 HOME=/home INACTIVE=-1 EXPIRE= SHELL=/bin/bash SKEL=/etc/skelSi estas opciones no son de nuestro agrado debemos cambiarlas por los valores que consideremos oportunos. Sipor ejemplo preferimos que el grupo por defecto sea el 100, que el password expire a fin de año, no queremosbloquear una cuenta debido a que haya expirado el password y deseamos como shell por defecto /bin/bash,utilizaríamos la siguiente orden: # useradd -D -g100 –e2006-12-31 -f0 -s/bin/bash Administración de Servidores.- Prof. Kramer Garay Gómez
    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasEstos valores serán almacenados por defecto en el fichero /etc/default/useradd. Nota: El archivo /etc/default/useradd se puede abrir con un editor de texto y corregirlo, en vezEntonces, si ahora creo un usuario de esta forma: de usar # useradd -m -c "Usuario Invitado" invitado el comandEsto creará una entrada en el fichero /etc/passwd con el siguiente formato: o invitado:x:505:100:Usuario Invitado:/home/invitado:/bin/bash anterior.Pero también creará una entrada en el fichero /etc/shadow con el siguiente formato: invitado:!:0:0:60:0:0:0:0Además se creará el directorio de usuario (home directory) y los contenidos de /etc/skel serán copiados en él.Como no especifiqué un UID para el usuario, el sistema asumirá el siguiente que tenga disponible.La cuenta del usuario invitado ha sido creada, pero todavía no está disponible ya que no se le ha definido unacontraseña. Para establecer la contraseña hacemos lo siguiente: # passwd invitado Changing password for user invitado New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfullyVeamos un ejemplo de cambio de contraseña: # passwd alexaCambiará la clave de alexa. Solo root puede cambiar la clave de otro usuario de esta forma. Cada usuariopuede cambiar su propia clave con passwd también. Nota: ¡Cuidado! Si esta logueado como root, y al usar el comando passwd, se olvida de poner el nombre de usuario al que le desea cambiar la contraseña, lo que sucederá es cambiar su propia contraseña (la del usuario root).El comando adduser que se utiliza en Debian o derivados, toma las opciones por defecto que estánconfiguradas en el archivo /etc/adduser.conf. Veamos:# /etc/adduser.conf: `adduser configuration.# See adduser(8) and adduser.conf(5) for full documentation.# The DSHELL variable specifies the default login shell on your# system.DSHELL=/bin/bash# The DHOME variable specifies the directory containing users home# directories.DHOME=/home# If GROUPHOMES is "yes", then the home directories will be created as# /home/groupname/user.GROUPHOMES=no# If LETTERHOMES is "yes", then the created home directories will have# an extra directory - the first letter of the user name. For example:# /home/u/user.LETTERHOMES=no# The SKEL variable specifies the directory containing "skeletal" user# files; in other words, files such as a sample .profile that will be# copied to the new users home directory when it is created.SKEL=/etc/skel# FIRST_SYSTEM_UID to LAST_SYSTEM_UID inclusive is the range for UIDs# for dynamically allocated administrative and system accounts. Administración de Servidores.- Prof. Kramer Garay Gómez
    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasFIRST_SYSTEM_UID=100LAST_SYSTEM_UID=999# FIRST_UID to LAST_UID inclusive is the range of UIDs of dynamically# allocated user accounts.FIRST_UID=1000LAST_UID=29999# The USERGROUPS variable can be either "yes" or "no". If "yes" each# created user will be given their own group to use as a default, and# their home directories will be g+s. If "no", each created user will# be placed in the group whose gid is USERS_GID (see below).USERGROUPS=no# If USERGROUPS is "no", then USERS_GID should be the GID of the group# `users (or the equivalent group) on your system.USERS_GID=100# If QUOTAUSER is set, a default quota will be set from that user with# `edquota -p QUOTAUSER newuserQUOTAUSER="alexa"Otros archivos importantes para la administración de usuariosCuando se agrega un usuario o grupo con los comandos useradd o groupadd respectivamente, el contenido delos siguientes archivos es de interés. Nota: Ya vimos el comando useradd. No se preocupe por groupadd, lo veremos después./etc/skel es un directorio, contiene todos los archivos (ejemplo: .bash_logout, .bash_profile, .bash_profile.swp,.bashrc) u otros que serán colocados en el directorio de un usuario (home directory) al generar al usuario.El directorio /etc/skel es bastante simple de configurar y usar. Proporciona una forma de estar seguro de quetodos los nuevos usuarios del sistema tienen la misma configuración inicial. El directorio /etc/skel es usadopor el programa /usr/sbin/useradd.Para empezar, creamos un directorio /etc/skel. La mejor forma de hacerlo es como usuario root. Despuéscopiamos en /etc/skel aquellos archivos que queremos que cada nuevo usuario tenga en su directorio home.Por ejemplo, .bash_profile, .bashrc, .bash_logout, dircolors, .inputrc, y .vimrc./etc/default/useradd ya lo explicamos en párrafos anteriores./etc/login.defs (si se utilizan shadow passwords) especifica varios parámetros en la configuración delproceso de entrada al sistema (login), o “logueo”. Entre las opciones que podemos configurar en este archivoestán: permisos de los usuarios para cambiar su información de usuario, temas relativos a la expiración depasswords, consolas desde la que se permite login como root, en que archivo se fijan diversas variables deentorno, valor inicial para el PATH (ruta de búsqueda de archivos), carácter de borrado, registro de entradascorrectas e intentos de entrada incorrectas, tiempo de espera tras cada login fallido, etc. Suele venir biencomentado y con valores que no requieren cambios, pero es bueno darle una mirada al menos para estar al tantode estos valores. Aquí tenemos un ejemplo de este archivo: # *REQUIRED* # Directory where mailboxes reside, _or_ name of file, relative to the # home directory. If you _do_ define both, MAIL_DIR takes precedence. # QMAIL_DIR is for Qmail # #QMAIL_DIR Maildir MAIL_DIR /var/spool/mail #MAIL_FILE .mail # Password aging controls: # # PASS_MAX_DAYS Maximum number of days a password may be used. # PASS_MIN_DAYS Minimum number of days allowed between password changes. # PASS_MIN_LEN Minimum acceptable password length. # PASS_WARN_AGE Number of days warning given before a password expires. Administración de Servidores.- Prof. Kramer Garay Gómez
    • Universidad Católica Los Ángeles Chimbote Ingeniería de Sistemas # PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 # # Min/max values for automatic uid selection in useradd # UID_MIN 500 UID_MAX 60000 # # Min/max values for automatic gid selection in groupadd # GID_MIN 500 GID_MAX 60000 # If defined, this command is run when removing a user. # It should remove any at/cron/print jobs etc. owned by # the user to be removed (passed as the first argument). # #USERDEL_CMD /usr/sbin/userdel_local # # If useradd should create home directories for users by default # On RH systems, we do. This option is ORed with the -m flag on # useradd command line. # CREATE_HOME yes Nota: Existe la página man de este archivo. Podemos consultarlo con el comando man login.defs.Borrar usuariosDe forma parecida, borrar usuarios puede hacerse con los comandos userdel o deluser dependiendo de quesoftware fuera instalado en el sistema. Para eliminar un usuario del sistema, debe ingresar: userdel [opciones] nombreUsuarioUn Ejemplo: # userdel ale (Siendo ale el usuario que deseo eliminar.)Este comando, al igual que la mayoría de los comandos Linux, soporta varias opciones. Si lo uso así, sin ningúnidentificador, elimina al usuario del archivo /etc/passwd y también de /etc/shadow y /etc/group. A partirde ese momento el usuario en cuestión ya no puede loguearse, es decir, que ya no puede entrar al sistema. Elusuario desaparece del sistema, pero no desaparecen su directorio de usuario ni su buzón de mensajes. Si quieroque un usuario se vaya con todo su bagaje, debo usar: # userdel -r aleSi se desea "deshabilitar" temporalmente un usuario para que no se conecte al sistema (sin borrar la cuenta delusuario), se puede prefijar con un asterisco ("*") el campo de la clave en /etc/passwd. Por ejemplo,cambiando la linea de /etc/passwd correspondiente al usuario ale: ale:*Xv8Q981g71oKK:102:100:Alejandra Garcia:/home/ale:/bin/bashEsto evitará que ale se conecte.Modificar atributos de usuarioPara modificar la información asociada con un usuario se utiliza el comando usermod. Su sintaxis es similar a ladel comando useradd. Por ejemplo si quisiéramos cambiar el intérprete de comandos del usuario agarcia,deberíamos utilizar algo como esto: # usermod -s /bin/csh agarciaEl único cambio que se produciría en el archivo /etc/passwd, sería en su último campo, el relativo a la shell.Si nuestra intención fuera modificar la fecha de expiración de la cuenta al día 9/12/2003 emplearíamos elsiguiente comando: # usermod -e 12/09/2003 agarcia Administración de Servidores.- Prof. Kramer Garay Gómez Página 40
    • Universidad Católica Los Ángeles Chimbote Ingeniería de Sistemas Nota: El formato de la fecha es MM/DD/YYYY En este caso el único fichero modificado sería el /etc/shadow.Cambio de UID del usuario # usermod -u UID usuarioCambio el default GID de cierto usuario .También podría poner un nombre de grupo. # usermod -g GID usuarioOtros comandos de usuarioid: Muestra el nombre y grupo del usuario en números (el UID y GID) y a que grupos pertenecen. id [opciones] [usuario]Opciones: -u Muestra solo el número de usuario. -g Muestra solo el número de grupo. -G Muestra solo los grupos al que pertenece ese usuario. [usuario] es para ver la información de cierto usuario.su: Sirve para loguearse como otro usuario. su [opciones] [usuario]Opciones: - Obtiene un login de ese usuario. Es igual que poner -l o -login. -c Pasa un comando al shell con el usuario especificado. Nota: Restrinja los permisos de /bin/login y /bin/su. Vea más adelante para la explicación de por qué.Aquí vemos un ejemplo de cómo debe hacerse. Antes de restringir su a un grupo privilegiado, primero debecrear ese grupo con groupadd. Por ejemplo, "redes" es el nombre de grupo que voy a utilizar. Asegúrese deañadir a su usuario o a cualquier usuario privilegiado al grupo "redes" creado. Ejecute los siguientes comandos: chmod 0700 /bin/login chgrp redes /bin/su chmod o-rx /bin/suGruposEl objetivo de los grupos es dar o restringir permisos sobre algunos archivos a ciertos usuarios (vea la siguientesección sobre Permisos en Unix). Por ejemplo un archivo apunte.txt que pertenezca al grupo profesores, quetenga permiso de lectura para el grupo y no para otros usuarios, podrá ser leído únicamente por el dueño y porusuarios que pertenezcan al grupo profesores. Cada usuario tiene un grupo principal (puede especificarse durantela creación con la opción GID, -g nombregrupo de useradd), puede pertenecer a diversos grupos y si conocela clave de algún grupo con clave puede volverse miembro durante una sesión. Los programas relacionados congrupos son: groupadd Para agregar un grupo groupdel Para borrar un grupo groupmod Para modificar un grupo groupmod –n Cambiar el nombre de un Grupo groupmod –g Cambiar el nombre de un GID groups Un usuario puede ver los grupos a los que pertenece con este programa newgrp Para cambiarme a otro grupo (al que debo pertenecer, por supuesto)Cuando un usuario pertenece a más de un grupo, al entrar el sistema siempre será asignado al que aparece en elarchivo /etc/passwd y para poderse cambiar a otro tendrá que hacerlo con el comando:newgrp otro_grupo donde otro_grupo es otro de los grupos a los que pertenece.El archivo /etc/group es el que contiene información acerca de los grupos. El formato de cada línea es: nombre_de_grupo:clave:GID:otros miembrosEl campo clave es la clave del grupo transformada con DES o MD5. Si el grupo tiene clave shadow en estearchivo aparecerá el carácter x y la clave transformada estará en otro archivo (por defecto /etc/gshadow). Administración de Servidores.- Prof. Kramer Garay Gómez Página 41
    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasAlgunos ejemplos de grupos pueden ser: root:*:0: usuarios:*:100:alexa,pepe,cor invitados:*:200: otros:*:250:sauronEl primer grupo, root, es un grupo especial del sistema reservado para la cuenta root. El siguiente grupo,usuarios, es para usuarios normales. Tiene un GID de 100. Los usuarios alexa, pepe y cor tienen acceso aeste grupo. Recuerde que en /etc/passwd cada usuario tiene un GID por defecto. Sin embargo, los usuariospueden pertenecer a más de un grupo, añadiendo sus nombres de usuario a otras líneas de grupo en/etc/group. El comando groups lista a qué grupos se tiene acceso. El tercer grupo, invitados, es parausuarios invitados, y otros es para "otros" usuarios. El usuario sauron tiene acceso a este grupo.Como se puede ver, el campo clave de /etc/group raramente se utiliza. A veces se utiliza para dar una clavepara acceder a un grupo. Pocas veces esto es necesario. Para evitar que los usuarios cambien a gruposprivilegiados (con el comando newgrp), se pone el campo de la clave a "*".No es recomendable editar directamente estos archivos, sino más bien emplear los programas presentados en estasección. Como hemos citado anteriormente, cada usuario pertenece a uno o más grupos. La única importanciareal de las relaciones de grupo es la perteneciente a los permisos de archivos. Cada archivo tiene un grupopropietario y un conjunto de permisos de grupo que define de que forma pueden acceder al archivo los usuariosdel grupo.Hay varios grupos definidos en el sistema, como pueden ser bin, mail, y sys. Los usuarios no deben pertenecera ninguno de estos grupos; se utilizan para permisos de archivos del sistema. En su lugar, los usuarios debenpertenecer a un grupo individual, como usuarios. Si quiere ser detallista, se pueden mantener varios grupos deusuarios como por ejemplo estudiantes, soporte y facultad.Se pueden usar los comandos addgroup o groupadd para añadir grupos a su sistema. Normalmente es mássencillo añadir líneas a /etc/group uno mismo, puesto que no se necesitan más configuraciones para añadir ungrupo. Para borrar un grupo, solo hay que borrar su entrada de /etc/group. Nota: Verifique que en el archivo /etc/passwd no haya usuarios perteneciendo a ese grupo que va a eliminar.Ejemplo: contable::101:cguerra,jpaz personal::102:agarcia,jpazAquí, se han creado los grupos contable, con identificador de grupo 101 y personal, con GID 102. Losmiembros del grupo personal son los usuarios agarcia y jpaz, si por alguna razón quiere integrar otro usuarioen cualquier grupo, solo agregue una coma después del último miembro y escriba el nombre_de_usuario que lecorresponda. Es conveniente indicar que si en el sistema de archivos se encuentra un directorio como: drwxrwx--- 2 root personal 1024 Abr 29 11:32 confidencial/entonces sólo: root, agarcia y jpaz tendrán acceso a él. Administración de Servidores.- Prof. Kramer Garay Gómez Página 42
    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasPermisosHaga un listado largo de cualquier directorio y vera algo como lo siguiente: [alexa@linux]$ ls -la total 13 drwxr-sr-x 2 alexa user 1024 May 2 09:04 . drwxrwsr-x 4 root staff 1024 Apr 17 21:08 .. -rw------- 1 alexa user 2541 May 2 22:04 .bash_history -rw-r--r-- 1 alexa user 164 Apr 23 14:57 .bash_profile -rw-r--r-- 1 alexa user 55 Apr 23 14:44 .bashrc -rwxrwxr-x 1 alexa user 0 Apr 14 19:29 a.out -rwxrwxr-x 1 alexa user 40 Apr 30 12:14 hola.pl -r-------- 1 alexa user 64 Apr 29 14:04 hola -rwxrw-r-- 1 alexa user 902 Apr 29 13:57 prueba -rw-rw-r-- 1 alexa user 50 Apr 30 12:31 probador -rwxrwxr-x 1 alexa user 175 Apr 30 12:30 prue.sh -rwxrwxr-x 1 alexa user 56 Apr 23 15:08 quetal.shComo se puede apreciar en este listado, también están el directorio actual, representado por un punto "." y eldirectorio padre representado por dos puntos "..". Ellos también poseen permisos y atributos que sonmostrados.El primer campo que aparece en el listado es la máscara de permisos. Vamos a explicar qué significa estamáscara de 10 bits.Esta máscara de 10 dígitos la puedo dividir en partes para entender mejor. Veamos unas tablas que nosesclarecerán un poco mas que significa cada uno de estos caracteres. Primero vamos a ver aquellos caracteresque podrían aparecer en el primer bit, que en el ejemplo anterior podemos ver que es un guión, esto nos indicaque es un archivo común. La tabla siguiente explica el significado del primer símbolo de acuerdo al tipo dearchivo:Los siguientes 9 bits se toman en grupos de tres y cada grupo pertenece a una clase de permisos. Nos quedan tresgrupos, entonces. Primer grupo usuario dueño al que pertenece el archivo/directorio (u) Segundo grupo grupo al que pertenece dicho archivo/directorio (g) Tercer grupo todos los demás usuarios del sistema (o) Administración de Servidores.- Prof. Kramer Garay Gómez Página 43
    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasLos 3 tipos de permisos, tienen una correspondencia numérica. r (en octal 4) lee (read) archivo o directorio w (en octal 2) modifica/borra (write) archivo o directorio x (en octal 1) ejecuta (execute) archivo o busca el directorioEl dueño de un archivo controla que usuarios tienen permiso de acceso y de que manera pueden hacerlo; elcomando ls -l despliega los permisos de acceso asociados a un archivo, el primer campo de 10 caracteresdescribe los permisos asociados con ese archivo, un campo típico se ilustra a continuación : -rwxrw-r-- 1 alexa user 902 Apr 29 13:57 pruebaEl primer símbolo nos esta indicando que el archivo es un archivo común, generalmente de texto. El primergrupo de tres símbolos representa los permisos para el dueño del archivo (owner) que en este caso poseepermisos de lectura, escritura y ejecución. El segundo grupo de tres símbolos representa los permisos para elgrupo al cual pertenece el archivo (group), que en este caso tienen permisos de lectura y escritura. El tercergrupo de tres símbolos representa los permisos para todo el resto de los usuarios (other), en este caso es solo delectura. El numero que sigue (1) representa el numero de punteros o inodos que el archivo posee. Esto representala cantidad de enlaces que existen a este archivo y no interesa demasiado en este momento. A continuación estáel nombre del dueño del archivo y del grupo al cual pertenece el archivo. El "902" representa el tamaño delarchivo expresado en bytes. Lo siguiente es la fecha y hora de modificación del archivo e inmediatamentedespués está el nombre del mismo.Para comprender exactamente la máscara de permisos en formato numérico veamos la siguiente tabla, dondetenemos la correspondencia de cada permiso con la numeración en octal y en binario.Todo esto nos será útil cuando queramos cambiar atributos de un determinado archivo o directorio. Por ejemplopara sacar permisos de lectura a los usuarios en archivos de configuración de un servidor. Octal Binario Número Número Permisos Descripción 0 000 --- Ningún permiso garantizado 1 001 --x Ejecutable 2 010 -w- Modificable 3 011 -wx Modificable/Ejecutable 4 100 r-- Legible 5 101 r-x Legible/Ejecutable 6 110 rw- Legible/Modificable 7 111 rwx Legible/Modificable/EjecutableLos permisos para estos 3 tipos de usuarios puede estar dado por una cadena de 9 caracteres.Veamos estos ejemplos: Octal Dueño Grupo Otros Completo Número Columna Columna Columna Código 777 rwx rwx rwx rwxrwxrwx 755 rwx r-x r-x rwxr-xr-x 700 rwx --- --- rwx------ 666 rw- rw- rw- rw-rw-rw-Veamos unos detalles másPermisos: Son bits que definen el acceso a un fichero o directorio. Los permisos para directorio tienen un sentido diferente a los permisos para archivos. Más abajo se explican algunas diferencias. Lectura (r): Archivo: Poder acceder a los contenidos de un archivo Directorio: Poder leer un directorio, ver qué ficheros contiene Escritura (w): Archivo: Poder modificar o añadir contenido a un archivo Directorio: Poder borrar o mover ficheros en un directorio Ejecución(x): Archivo: Poder ejecutar un programa binario o guión de shell Directorio: Poder entrar en un directorio Nota: Tenga mucho cuidado con aquellos directorios que tengan permiso de escritura. Cualquiera podría borrar un archivo, aunque no sea de su propiedad y esto puede ser un riesgo, tanto para el sistema como para los datos de los usuarios.Comando chmodPara cambiar la máscara de permisos de un archivo o directorio, usamos el comando chmod. La sintaxis de estecomando es la siguiente: chmod [permisos] archivo Administración de Servidores.- Prof. Kramer Garay Gómez Página 44
    • Universidad Católica Los Ángeles Chimbote Ingeniería de Sistemas[permisos] puede estar en formato numérico, o en formato alfabético. El formato numérico es el que ya vimos,los tres números en octal. El formato alfabético contiene los tipos de permisos en letras (r,w,x), en vez denúmeros y tengo que especificar a quien o quienes se lo voy a aplicar (u,g,o).Sería así: con letras [ugo][+-=][rwx] con números [0-7][0-7][0-7]El método para cambiar un permiso con letras es el siguiente : Las letras u, g y o representan el Usuario, elGrupo, y Otros (todos los demás). El signo + significa que el permiso se va a conceder, mientras que el signo -significa que el permiso se va a revocar. El signo = significa que se instalen los permisos como se muestra acontinuación, algunos ejemplos de cambio de permisos son: $ chmod u+x,g-w,o-w archivo1 $ chmod u=rx archivo1El segundo método interpreta el número puesto como su equivalente en binario (nueve dígitos binarios),activando el permiso donde se haya puesto un 1 y desactivándolo donde se haya puesto un 0; por ejemplo: $ chmod 755 archivo1Significa que a archivo1 se le asignaron permisos de la siguiente manera: 7 5 5 111 101 101 rwx r-x r-xEjercicio:Veamos la máscara de permisos de un archivo llamado estudio: $ ls -l estudio -rw-rw-r-- 1 alexa alexa 57 May 5 16:47 estudioEl siguiente comando elimina todos los permisos de acceso para el grupo y el resto de usuarios: $ chmod go-rw estudio $ ls -l estudio -rw------- 1 alexa alexa 57 May 5 16:47 estudioEl administrador puede cambiar los permisos de todos los archivos del sistema y puede fijar una política inicialpara la máscara de permisos que todos los usuarios tendrán.Comando chgrpAdemás de chmod se emplean los siguientes programas para realizar estas labores: chgrp grupo archivosCambia el grupo de el o los archivos especificados. Por ejemplo: # chgrp profesores notas* tps*cambiará todos los archivos con prefijos notas y tps al grupo profesores. Como opción puede recibir -Rpara aplicar el cambio recursivamente en un directorio (es decir a subdirectorios también). Este programa puedeser usado por cualquier usuario para cambiar el grupo de sus archivos a otro grupo al que el mismo usuariopertenezca.Comando chownCambia el usuario (y opcionalmente el grupo) de los archivos especificados. chown usuario[:grupo] archivosAl igual que chgrp con la opción -R efectúa el cambio recursivamente en subdirectorios. Por ejemplo # chown -R ale:administra tpgnutella/Pondrá al usuario ale como dueño de todos los archivos y subdirectorios del directorio tpgnutella, todosquedarán con el grupo administra. También puede usarse para cambiar el grupo de un archivo (si no seespecifica el nombre del usuario).Además tenemos otros bits de permisos que no podemos pasar por alto cuando estamos tratando de temas deseguridad.Sticky bitEl sticky bit tiene significado cuando se aplica a directorios. Si el sticky bit está activo en un directorio, unusuario sólo puede borrar archivos que son de su propiedad o para los que tiene permiso de escritura, inclusocuando tiene acceso de escritura al directorio. En un directorio evita que un usuario que no sea el dueño deldirectorio pero que tenga permiso de escritura, pueda borrar o renombrar archivos que no le pertenecen. Administración de Servidores.- Prof. Kramer Garay Gómez Página 45
    • Universidad Católica Los Ángeles Chimbote Ingeniería de SistemasEsto está pensado para directorios como /tmp, que tienen permiso de escritura global, pero no es deseablepermitir a cualquier usuario borrar los archivos que quiera. El sticky bit aparece como t en los listados largos dedirectorios. O sea cuando se hace un ls –l veremos: drwxrwxrwt 19 root root 8192 Jun 20 11:40 tmpAtributo SUID: (Para Archivos)Este bit describe permisos al usuario del archivo. Cuando el atributo SUID (poner id de usuario) está activo enlos permisos del propietario, y ese archivo es ejecutable, los procesos que lo ejecutan obtienen acceso a losrecursos del sistema basados en el usuario que crea el proceso (no el usuario que lo lanza).Resumiendo esta explicación, podemos decir: el bit SUID empleado con archivos ejecutables cambia laidentificación del usuario por la del dueño del archivo.Por ejemplo: /usr/bin/passwd es un ejecutable propiedad de root y con el bit SUID activo. ¿Por qué?Este programa lo puede usar cualquier usuario para modificar su clave de acceso, que se almacena en -rw-r--r-- 1 root root 1265 Jun 29 19:41 /etc/passwdpero según los permisos que vemos en este archivo, sólo root puede escribir y modificarlo. Entonces seríaimposible que cualquier usuario pudiera cambiar su clave si no puede modificar este archivo. La solución paraeste problema consiste en activar el bit SUID para este archivo: -r-s--x--x 1 root root 10704 Apr 19 13:15 /usr/bin/passwdEntonces, cuando se ejecute, el proceso generado por él es un proceso propiedad de root con todos losprivilegios que ello acarrea. Esto puede ser un riesgo para la seguridad. Por tal razón debemos prestar atención,ya que en este tipo de programas se pueden producir buffer overflow, que comprometan el sistema. Este permisopuede ser útil para que usuarios normales ejecuten programas que requieren ser ejecutados por root y por lomismo debe usarse con precaución. Con chmod se modifica empleando u y s. Por Ejemplo: $ chmod u+s cvsEsto indica que cuando el programa cvs se ejecute, debe cambiarse la identificación por la del dueño de eseprograma.Consejos: • Asignar el bit SUID solo cuando sea estrictamente necesario. • Comprobar que los programas con este bit activo no tiene ningún desbordamiento de buffer (conocido). • Jamás asignarlo si el programa permite salir a la shell.Atributo SGID: (Para archivos)Si está activo en los permisos de grupo, este bit controla el estado de "poner id de grupo" de un archivo. Trabajacomo SUID, pero, en vez de aplicarse al usuario, se aplica al grupo. El archivo tiene que ser ejecutable para queesto tenga algún efecto. Se establece con g y s. Por Ejemplo $ chmod g+s cvsAtributo SGID: (Para directorios)Si activa el bit SGID en un directorio, los archivos creados en ese directorio tendrán puesto su grupo como elgrupo del directorio. Los ficheros de configuración del sistema (normalmente en /etc) es habitual que tengan elmodo 640 (-rw-r-----), y que sean propiedad de root. Dependiendo de los requisitos de seguridad delsistema, esto se puede modificar. Nunca deje un fichero del sistema con permiso de escritura para un grupo opara otros. Algunos ficheros de configuración, incluyendo /etc/shadow, sólo deberían tener permiso de lecturapara root, y los directorios de /etc no deberían ser accesibles, al menos por otros.SUID Shell ScriptsLos scripts de shell SUID son un serio riesgo de seguridad, y por esta razón el núcleo no los acepta. Sin importarlo seguro que piense que es su script de shell, puede ser utilizado para que un cracker pueda obtener acceso auna shell de root. Administración de Servidores.- Prof. Kramer Garay Gómez Página 46