Administrar usuarios y grupos, permisos y atributos de archivos y habilitar el acceso sudo en cuentas - Parte 8 (2023)

En agosto pasado, la Fundación Linux inició laLFCCertificación (Administrador de sistemas certificado por Linux Foundation), un programa completamente nuevo cuyo propósito es permitir que las personas en todas partes y en cualquier lugar realicen un examen para obtener la certificación en soporte operativo básico a intermedio para sistemas Linux, que incluye soporte para sistemas y servicios en ejecución, junto con monitoreo y análisis general, además de inteligencia toma de decisiones para poder decidir cuándo es necesario escalar los problemas a los equipos de soporte de nivel superior.

Eche un vistazo rápido al siguiente video que describe una introducción al Programa de certificación de Linux Foundation.

Este artículo es la Parte 8 de una serie larga de 10 tutoriales, aquí en esta sección, lo guiaremos sobre cómo administrar los permisos de usuarios y grupos en el sistema Linux, que se requieren para el examen de certificación LFCS.

Dado que Linux es un sistema operativo multiusuario (en el sentido de que permite que múltiples usuarios en diferentes computadoras o terminales accedan a un solo sistema), necesitará saber cómo realizar una administración de usuarios efectiva: cómo agregar, editar, suspender o eliminar cuentas de usuario, además de otorgarles los permisos necesarios para realizar las tareas asignadas.

Adición de cuentas de usuario

Para agregar una nueva cuenta de usuario, puede ejecutar cualquiera de los siguientes dos comandos como root.

# adduser [nueva_cuenta]# useradd [nueva_cuenta]

Cuando se agrega una nueva cuenta de usuario al sistema, se realizan las siguientes operaciones.

1.Se crea su directorio de inicio (/inicio/nombre de usuariopor defecto).

2.Los siguientes archivos ocultos se copian en el directorio de inicio del usuario y se utilizarán para proporcionar variables de entorno para su sesión de usuario.

.bash_logout.bash_profile.bashrc

3.Se crea una cola de correo para el usuario en /var/spool/mail/nombre de usuario.

4.Se crea un grupo y se le asigna el mismo nombre que la nueva cuenta de usuario.

Entendiendo /etc/passwd

La información completa de la cuenta se almacena en el/etc/contraseñaarchivo. Este archivo contiene un registro por cuenta de usuario del sistema y tiene el siguiente formato (los campos están delimitados por dos puntos).

[nombre de usuario]:[x]:[UID]:[GID]:[Comentario]:[Directorio de inicio]:[Shell predeterminado]

1. Campos[nombre de usuario]y[Comentario]se explican por sí mismos.
2. ElXen el segundo campo indica que la cuenta está protegida por una contraseña sombreada (en/etc/sombra), que se necesita para iniciar sesión como[nombre de usuario].
3. El[UID]y[GID]Los campos son números enteros que representan la IDentificación de usuario y la IDentificación de grupo principal a la que[nombre de usuario]pertenece, respectivamente.
4. El[Directorio de inicio]indica la ruta absoluta a[nombre de usuario]el directorio de inicio de , y
5. El[Concha predeterminada]es el shell que estará disponible para este usuario cuando inicie sesión en el sistema.

Comprender /etc/grupo

La información del grupo se almacena en el/etc/grupoarchivo. Cada registro tiene el siguiente formato.

[Nombre del grupo]:[Contraseña del grupo]:[GID]:[Miembros del grupo]

1. [Nombre del grupo]es el nombre del grupo.
2. UnXen[Contraseña de grupo]indica que no se están utilizando contraseñas de grupo.
3. [GID]: igual que en /etc/passwd.
4. [Miembros del grupo]: una lista separada por comas de los usuarios que son miembros de[Nombre del grupo].

Después de agregar una cuenta, puede editar la siguiente información (para nombrar algunos campos) usando elmodo de usuariocomando, cuya sintaxis básica de usermod es la siguiente.

# usermod [opciones] [nombre de usuario]

Establecer la fecha de caducidad de una cuenta

Utilizar el-fecha de caducidadbandera seguida de una fecha enAAAA-MM-DDformato.

# usermod --expiredate 2014-10-30 tecmint

Adición del usuario a grupos complementarios

Usa el combinado-aG, o-adjuntar –gruposopciones, seguido de una lista de grupos separados por comas.

# usermod --append --groups raíz,usuarios tecmint

Cambiar la ubicación predeterminada del directorio de inicio del usuario

Utilizar el-d, o-hogaropciones, seguido de la ruta absoluta al nuevo directorio de inicio.

# modusuario --home /tmp tecmint

Cambiando el shell que el usuario usará por defecto

Usar-caparazón, seguido de la ruta al nuevo shell.

# modusuario --shell /bin/sh tecmint

Mostrar los grupos de los que un usuario es miembro

# grupos tecmint# id tecmint

Ahora vamos a ejecutar todos los comandos anteriores de una sola vez.

# usermod --expiredate 2014-10-30 --append --groups root,usuarios --home /tmp --shell /bin/sh tecmint

En el ejemplo anterior, estableceremos la fecha de caducidad deltecmintcuenta de usuario a30 de octubre de 2014. También añadiremos la cuenta a laraízy grupo de usuarios. Finalmente, estableceremosshcomo su shell predeterminado y cambie la ubicación del directorio de inicio a/tmp:

Leer también:

1. 15 ejemplos de comandos useradd en Linux
2. 15 ejemplos de comandos usermod en Linux

Para las cuentas existentes, también podemos hacer lo siguiente.

Deshabilitar cuenta bloqueando contraseña

Utilizar el-L(L mayúscula) o el-cerraropción para bloquear la contraseña de un usuario.

# modusuario --bloquear tecmint

Desbloqueo de contraseña de usuario

Utilizar el–tuo el-desbloquearopción para desbloquear la contraseña de un usuario que estaba previamente bloqueada.

# modusuario --desbloquear tecmint

Creación de un nuevo grupo para acceso de lectura y escritura a archivos a los que deben acceder varios usuarios

Ejecute la siguiente serie de comandos para lograr el objetivo.

# groupadd common_group # Agregar un nuevo grupo# chown :common_group common.txt # Cambiar el propietario del grupo de common.txt a common_group# usermod -aG common_group user1 # Agregar usuario1 a common_group# usermod -aG common_group user2 # Agregar usuario2 a common_group# usermod -aG common_group user3 # Agregar usuario3 a common_group

Eliminación de un grupo

Puede eliminar un grupo con el siguiente comando.

# groupdel [nombre_del_grupo]

Si hay archivos propiedad deNombre del grupo, no se eliminarán, pero el propietario del grupo se establecerá en elG.I.D.del grupo que fue eliminado.

Permisos de archivo de Linux

Además de los permisos básicos de lectura, escritura y ejecución que discutimos enHerramientas de archivado y configuración de atributos de archivo: parte 3de esta serie, hay otras configuraciones de permisos menos utilizadas (pero no menos importantes), a veces denominadas “permisos especiales”.

Al igual que los permisos básicos discutidos anteriormente, se establecen mediante un archivo octal o mediante una letra (notación simbólica) que indica el tipo de permiso.

Eliminación de cuentas de usuario

Puede eliminar una cuenta (junto con su directorio de inicio, si es propiedad del usuario, y todos los archivos que residen allí, y también la cola de correo) usando elusuariodelcomando con el-eliminaropción.

# userdel --remove [nombre de usuario]

Manejo de grupo

Cada vez que se agrega una nueva cuenta de usuario al sistema, se crea un grupo con el mismo nombre con el nombre de usuario como único miembro. Otros usuarios se pueden agregar al grupo más adelante. Uno de los propósitos de los grupos es implementar un control de acceso simple a los archivos y otros recursos del sistema al establecer los permisos correctos en esos recursos.

Por ejemplo, suponga que tiene los siguientes usuarios.

1. usuario1 (grupo principal: usuario1)
2. usuario2 (grupo principal: usuario2)
3. usuario3 (grupo principal: usuario3)

Todos ellos necesitanleeryescribiracceder a un archivo llamadocomún.txtubicado en algún lugar de su sistema local, o tal vez en un recurso compartido de red queusuario1ha creado. Puede sentirse tentado a hacer algo como,

# chmod 660 common.txtOR# chmod u=rw,g=rw,o= common.txt [observe el espacio entre el último signo igual y el nombre del archivo]

Sin embargo, esto sólo proporcionaráleeryescribiracceso al propietario del archivo y a aquellos usuarios que sean miembros del grupo propietario del archivo (usuario1en este caso). Una vez más, puede sentirse tentado a agregarusuario2yusuario3agruparusuario1, pero eso también les dará acceso al resto de los archivos propiedad del usuariousuario1y grupousuario1.

Aquí es donde los grupos son útiles, y esto es lo que debe hacer en un caso como este.

Entendiendo a Setuid

Cuando elfijar tiempose aplica un permiso a un archivo ejecutable, un usuario que ejecuta el programa hereda los privilegios efectivos del propietario del programa. Dado que este enfoque puede generar problemas de seguridad razonables, la cantidad de archivos con permiso setuid debe mantenerse al mínimo. Es probable que encuentre programas con este conjunto de permisos cuando un usuario del sistema necesite acceder a un archivo propiedad de root.

Resumiendo, no se trata solo de que el usuario pueda ejecutar el archivo binario, sino que también puede hacerlo con privilegios de root. Por ejemplo, vamos a comprobar los permisos de/bin/contraseña. Este binario se utiliza para cambiar la contraseña de una cuenta y modifica la/etc/sombraarchivo. El superusuario puede cambiar la contraseña de cualquier persona, pero todos los demás usuarios solo deberían poder cambiar la suya.

Por lo tanto, cualquier usuario debe tener permiso para ejecutar/bin/contraseña, pero solo la raíz podrá especificar una cuenta. Otros usuarios solo pueden cambiar sus contraseñas correspondientes.

Entendiendo Setgid

Cuando elsetgidbit está establecido, el efectivoG.I.D.del usuario real se convierte en el del propietario del grupo. Por lo tanto, cualquier usuario puede acceder a un archivo bajo los privilegios otorgados al grupo propietario de dicho archivo. Además, cuando el bit setgid se establece en un directorio, los archivos recién creados heredan el mismo grupo que el directorio y los subdirectorios recién creados también heredarán el bit setgid del directorio principal. Lo más probable es que utilice este enfoque cada vez que los miembros de un determinado grupo necesiten acceder a todos los archivos de un directorio, independientemente del grupo principal del propietario del archivo.

# chmod g+s [nombre de archivo]

Para configurar elsetgiden forma octal, anteponga el número2a los permisos básicos actuales (o deseados).

# chmod 2755 [directorio]

Configuración del SETGID en un directorio

Entendiendo Sticky Bit

Cuando el "poco pegajoso” está configurado en los archivos, Linux simplemente lo ignora, mientras que para los directorios tiene el efecto de evitar que los usuarios eliminen o incluso cambien el nombre de los archivos que contiene, a menos que el usuario sea propietario del directorio, el archivo o sea root.

# chmod o+t [directorio]

Para configurar elpoco pegajosoen forma octal, anteponga el número1a los permisos básicos actuales (o deseados).

# chmod 1755 [directorio]

Sin el bit adhesivo, cualquiera que pueda escribir en el directorio puede eliminar o cambiar el nombre de los archivos. Por esa razón, el bit adhesivo se encuentra comúnmente en directorios, como/tmp, que son de escritura mundial.

Atributos especiales de archivos de Linux

Hay otros atributos que permiten límites adicionales en las operaciones que se permiten en los archivos. Por ejemplo, evite que el archivo sea renombrado, movido, eliminado o incluso modificado. Se establecen con elcomando chattry se puede ver usando ellsattrherramienta, de la siguiente manera.

# chattr +i archivo1# chattr +a archivo2

Después de ejecutar esos dos comandos,archivo1será inmutable (lo que significa que no se puede mover, renombrar, modificar o eliminar) mientras quearchivo2entrará en el modo de solo agregar (solo se puede abrir en el modo de agregar para escribir).

Acceder a la cuenta raíz y usar sudo

Una de las formas en que los usuarios pueden obtener acceso a la cuenta raíz es escribiendo.

$ son

y luego ingresando la contraseña de root.

Si la autenticación tiene éxito, iniciará sesión comoraízcon el directorio de trabajo actual igual que antes. Si desea que lo coloquen en el directorio de inicio de la raíz, ejecute.

$ son -

y luego ingrese la contraseña de root.

El procedimiento anterior requiere que un usuario normal conozca la contraseña de root, lo que representa un grave riesgo de seguridad. Por esa razón, el administrador del sistema puede configurar elsudocomando para permitir que un usuario común ejecute comandos como un usuario diferente (generalmente el superusuario) de una manera muy controlada y limitada. Por lo tanto, se pueden establecer restricciones en un usuario para permitirle ejecutar uno o más comandos privilegiados específicos y ningún otro.

Leer también:Diferencia entre usuario su y sudo

Para autenticarse usandosudo, el usuario utiliza su propia contraseña. Después de ingresar el comando, se nos solicitará nuestra contraseña (no la del superusuario) y si la autenticación tiene éxito (y si el usuario tiene privilegios para ejecutar el comando), se ejecuta el comando especificado.

Para otorgar acceso a sudo, el administrador del sistema debe editar el/etc/sudoersarchivo. Se recomienda que este archivo sea editado usando elvisudocomando en lugar de abrirlo directamente con un editor de texto.

# visudo

Esto abre la/etc/sudoersarchivo usandoempuje(puede seguir las instrucciones dadas enInstalar y usar vim como editor - Parte 2de esta serie para editar el archivo).

Estas son las líneas más relevantes.

Valores predeterminados ruta_segura="/usr/sbin:/usr/bin:/sbin"root ALL=(ALL) ALLtecmint ALL=/bin/yum updategacanepa ALL=NOPASSWD:/bin/updatedb%admin ALL=(ALL) ALL

Echemos un vistazo más de cerca a ellos.

Valores predeterminados ruta_segura="/usr/sbin:/usr/bin:/sbin:/usr/local/bin"

Esta línea le permite especificar los directorios que se utilizarán parasudo, y se usa para evitar el uso de directorios específicos del usuario, lo que puede dañar el sistema.

Las siguientes líneas se utilizan para especificar permisos.

raíz TODO = (TODO) TODO

1. La primeraTODOLa palabra clave indica que esta regla se aplica a todos los hosts.
2. El segundoTODOindica que el usuario de la primera columna puede ejecutar comandos con los privilegios de cualquier usuario.
3. El terceroTODOsignifica que se puede ejecutar cualquier comando.

tecmint ALL=/bin/yum actualización

Si no se especifica ningún usuario después de la=sign, sudo asume el usuario root. En este caso, el usuariotecmintserá capaz de correractualización mmmcomo raíz.

gacanepa ALL=NOPASSWD:/bin/updatedb

ElSIN CONTRASEÑAdirectiva permite al usuario gacanepa ejecutar/bin/actualizadobsin necesidad de introducir su contraseña.

%admin TODO=(TODO) TODO

El%signo indica que esta línea se aplica a un grupo llamado “administración”. El significado del resto de la línea es idéntico al de un usuario normal. Esto significa que los miembros del grupo “administración” puede ejecutar todos los comandos como cualquier usuario en todos los hosts.

Para ver qué privilegios le otorga sudo, use el botón "-l” opción para listarlos.

PAM (Módulos de autenticación enchufables)

Módulos de autenticación enchufables(PAM) ofrecen la flexibilidad de establecer un esquema de autenticación específico por aplicación y/o por servicio utilizando módulos. Esta herramienta presente en todas las distribuciones modernas de Linux superó el problema que a menudo enfrentaban los desarrolladores en los primeros días de Linux, cuando cada programa que requería autenticación debía compilarse especialmente para saber cómo obtener la información necesaria.

Por ejemplo, con PAM, no importa si su contraseña está almacenada en/etc/sombrao en un servidor separado dentro de su red.

Por ejemplo, cuando el programa de inicio de sesión necesita autenticar a un usuario, PAM proporciona dinámicamente la biblioteca que contiene las funciones para el esquema de autenticación correcto. Por lo tanto, cambiar el esquema de autenticación para la aplicación de inicio de sesión (o cualquier otro programa que use PAM) es fácil ya que solo implica editar un archivo de configuración (muy probablemente, un archivo con el nombre de la aplicación, ubicado dentro/etc/pam.d, y menos probable en/etc/pam.conf).

archivos dentro/etc/pam.dindicar qué aplicaciones están utilizando PAM de forma nativa. Además, podemos saber si una determinada aplicación usa PAM comprobando si la biblioteca PAM (libro) ha sido vinculado a él:

# ldd $(que inicio de sesión) | grep libpam # el inicio de sesión usa PAM# ldd $(que arriba) | grep libpam # top no usa PAM

En la imagen de arriba podemos ver que ellibrose ha vinculado con la aplicación de inicio de sesión. Esto tiene sentido ya que esta aplicación está involucrada en la operación de autenticación de usuarios del sistema, mientras que top no lo hace.

Examinemos el archivo de configuración de PAM paraContraseña– sí, la conocida utilidad para cambiar las contraseñas de los usuarios. Está localizado en/etc/pam.d/passwd:

# gato /etc/contraseña

La primera columna indica eltipode autenticación que se utilizará con elmódulo-ruta(tercera columna). Cuando aparece un guión antes del tipo, PAM no se registrará en el registro del sistema si el módulo no se puede cargar porque no se pudo encontrar en el sistema.

Están disponibles los siguientes tipos de autenticación:

1. cuenta: este tipo de módulo comprueba si el usuario o el servicio ha proporcionado credenciales válidas para autenticarse.
2. autenticación: este tipo de módulo verifica que el usuario es quien dice ser y otorga los privilegios necesarios.
3. contraseña: este tipo de módulo permite al usuario o servicio actualizar su contraseña.
4. sesión: este tipo de módulo indica qué se debe hacer antes y/o después de que la autenticación sea exitosa.

La segunda columna (llamadacontrol) indica lo que debe suceder si falla la autenticación con este módulo:

1. requisito: si la autenticación a través de este módulo falla, la autenticación general se denegará de inmediato.
2. requeridoes similar al requisito, aunque se llamará a todos los demás módulos enumerados para este servicio antes de denegar la autenticación.
3. suficiente: si la autenticación a través de este módulo falla, PAM aún otorgará la autenticación incluso si falla una anterior marcada como requerida.
4. opcional: si la autenticación a través de este módulo falla o tiene éxito, no sucede nada a menos que este sea el único módulo de este tipo definido para este servicio.
5. incluirsignifica que las líneas del tipo dado deben leerse desde otro archivo.
6. subpilaes similar a include pero las fallas o éxitos de autenticación no provocan la salida del módulo completo, sino solo de la subpila.

La cuarta columna, si existe, muestra los argumentos que se pasarán al módulo.

Las primeras tres líneas en/etc/pam.d/passwd(mostrado arriba), cargue elautenticación del sistemamódulo para comprobar que el usuario ha proporcionado credenciales válidas (cuenta). Si es así, le permite cambiar el token de autenticación (contraseña) al darle permiso para usar passwd (autenticación).

Por ejemplo, si agrega

recordar = 2

a la siguiente linea

contraseña suficiente pam_unix.so sha512 shadow nullok try_first_pass use_authtok

en/etc/pam.d/system-auth:

contraseña suficiente pam_unix.so sha512 shadow nullok try_first_pass use_authtok Remember=2

las dos últimas contraseñas hash de cada usuario se guardan en/etc/seguridad/opasswdpara que no se puedan reutilizar:

Resumen

Las habilidades efectivas de administración de archivos y usuarios son herramientas esenciales para cualquier administrador de sistemas. En este artículo hemos cubierto los conceptos básicos y esperamos que pueda usarlo como un buen punto de partida para construir. Siéntase libre de dejar sus comentarios o preguntas a continuación, y le responderemos rápidamente.