Captulo 11 Usuario, Grupos y Permisos Usuarios y Grupos

Init, lee el archivo /etc/inittab para ver cuantas terminales hay, y mediante fork crea un proceso hijo para cada terminal. Cada proceso hijo ejecuta getty, que es quien imprime el prompt del login y obtiene el nombre de usuario. Cuando el usuario entra al sistema, se ejecuta login con el nombre como argumento y se ejecuta el shell de ese usuario. El shell del usuario se especifica en el /etc/passwd. El shell espera por un comando y luego lanza un !"# y un $%$C por cada comando.

Todos los usuarios se encuentran en /home, salvo root que se encuentra en /root. La estructura del directorio /home/nombre-usuario por ejemplo si doy de alta al usuario pepe sera /home/pepe donde tendr! sus respectivo documentos, fotos, mp", etc. Las contrase#as se guardan en secreto, el sistema encripta la contrase#a usando un algoritmo desarrollado &'( llamado )$' y deja el valor encriptado visible. $ara romper la clave la forma es mediante fuer*a bruta mediante la utilizaci%n de un diccionario. $ero solo el usuario root puede ver el archivo donde se guarda las contrase#as que es /etc/shadow. Cuando el usuario se logonea, la contrase#a que introduce se encripta. El valor encriptado se compara con la entrada de la contrase#a del usuario. &i ambos valores coinciden se permite la entrada del usuario. 'na buena contrase#a tiene que ser letras may(scula, min(sculas, n(meros y signos. Cada vez que creamos un usuario esto se agrega en el archivo /etc/passwd, el grupo que pertenece en /etc/group y su contrase#a encriptada /etc/shadow.

/etc/passwd
)eremos que los campos est!n separados con *++, como bien dijimos anteriormente aca se guardan la informaci%n del usuario dado de alta. , more -etc-pass.d root / 0 0 root -root -bin-bash 1escripci%n de los distintos campos Campo 1 Campo , Campo Es el nombre del usuario, identificador de inicio de sesin (login). Tiene que ser nico. La 'x' indica la contrasea encriptada del usuario, adems tambin indica que se est aciendo uso del arc i!o , si no se ace uso de este arc i!o, este campo se !er"a al#o as" como$ ''. %mero de identificacin del usuario (UID). Tiene que ser nico. 0 para root, #eneralmente las cuentas o usuarios especiales se numeran del & al &'' ( las de usuario normal del &'& en delante, en las distribuciones mas recientes esta numeracin comien)a a partir del *''. %umeracin de identificacin del #rupo (GID). El que aparece es el nmero de #rupo principal del usuario, pero puede pertenecer a otros, esto se confi#ura en . +omentarios o el nombre completo del usuario. ,irectorio de traba-o (Home) donde se sita al usuario despus del inicio de sesin. Shell que !a a utili)ar el usuario de forma predeterminada.

Campo . Campo / Campo 0 Campo 1

/etc/shadow
2nteriormente *en sistemas 'ni/+ las contrase#as cifradas se almacenaban en el mismo archivo de /etc/passwd, el problema es que 3passwd3 es un archivo que puede ser ledo por cualquier usuario del sistema, aunque solo puede ser modificado por root. Con cualquier computadora potente de hoy en da, un buen programa de descifrado de contrase#as y paciencia es posible 4crac5ear4 contrase#as d6biles *por eso la conveniencia de cambiar peri%dicamente la contrase#a de root y de otras cuentas importantes+. El archivo 3shadow3, resuelve el problema ya que solo puede ser ledo por root. Consid6rese a 3shadow3 como una e/tensi%n de 3passwd3 ya que no solo almacena la contrase#a encriptada, sino que tiene otros campos de control de contrase#as. , more -etc-shado. root ghy789gju:Cc;<r9gt8=uuu7> ;097= 0 ????? 8 8 @; 1escripci%n de los distintos campos Campo 1 Campo , Campo Campo . Campo / Campo 0 Campo 1 Campo 2 Campo 3 %ombre de la cuenta del usuario. +ontrasea cifrada o encriptada, un '.' indica cuenta de 'nolo#in'. ,"as transcurridos desde el &/ene/&01' asta la fec a en que la contrasea fue cambiada por ltima !e). %mero de d"as que deben transcurrir asta que la contrasea se pueda !ol!er a cambiar. %mero de d"as tras los cuales a( que cambiar la contrasea. (2& si#nifica nunca). 3 partir de este dato se obtiene la fec a de e4piracin de la contrasea. %mero de d"as antes de la e4piracin de la contrasea en que se le a!isar al usuario al inicio de la sesin. ,"as despus de la e4piracin en que la contrasea se in abilitara, si es que no se cambio. 5ec a de caducidad de la cuenta. 6e e4presa en d"as transcurridos desde el &/Enero/&01' (epoc ). 7eser!ado.

/etc/group
Este archivo guarda la relaci%n de los grupos a los que pertenecen los usuarios del sistema, contiene una lnea para cada usuario con tres o cuatro campos por usuario , more -etc-group root / 0 root 1escripci%n de los distintos campos Campo 1 Campo , Campo 8ndica el usuario. '43 indica la contrase#a del grupo, que no e/iste, si hubiera se mostrara un 3hash3 encriptado. Es el 9roup 8, (GID) o identificacin del #rupo.

Campo .

Es opcional e indica la lista de #rupos a los que pertenece el usuario

2ctualmente al crear al usuario con se crea tambi6n autom!ticamente su grupo principal de trabajo GI), con el mismo nombre del usuario. Es decir, si se a#ade el usuario 3sergio3 tambi6n se crea el /etc/group el grupo 3sergio3. 2un as, e/isten comandos de administraci%n de grupos que se e/plicar!n m!s adelante.

'hell
$or defecto la shell que se utiliza por defecto es bash. AB'-Linu/ viene con varios shell que podemos elegir entre una lista. , cat -etc-shells , -etc-shells valid login shells -bin-csh -bin-sh -usr-bin-es -usr-bin-5sh -bin-5sh -usr-bin-rc -usr-bin-tcsh -bin-tcsh -usr-bin-esh -bin-dash -bin-bash -bin-rbash Bosotros podemos bajar otros tipo de shell como por ejemplo scponly que en este caso restringe el uso de scp y sftp. Estos tipos de shell al crear el usuario o mediante un usuario ya e/istente se lo indicamos.

pwcon5 y pwuncon5
El comportamiento por defecto de todas las distros modernas de AB'-Linu/ es activar la protecci%n e/tendida del archivo , que *se insiste+ oculta efectivamente el 3hash3 cifrado de la contrase#a de . $ero si por alguna bizarra y e/tra#a situaci%n de compatibilidad se requiriera tener las contrase#as cifradas en el mismo archivo de se usara el comando
, more -etc-pass.d root / 0 0 root -root -bin-bash sergio / 90; 900 &ergio Aonz!lez -home-sergio -bin-bash ... *La 3/3 en el campo < indica que se hace uso de -etc-shado.+ , more -etc-shado. root ghy789gju:Cc;<r9gt8=uuu7> ;097= 0 ????? 8 8 @; sergio rfgf==71A88=s1CC1>>u8=asd ;097= 0 @; ? @; @;

, p.unconv , more -etc-pass.d root ghy789gju:Cc;<r9gt8=uuu7> 0 0 root -root -bin-bash sergio rfgf==71A88=s1CC1>>u8=asd 90; 900 &ergio Aonz!lez -home-sergio -bin-bash D , more -etc-shado. -etc-shado. Bo such file or directory *2l ejecutar p.unconv, el archivo shado. se elimina y las contrase#as cifradas 3pasaron3 a pass.d+

En cualquier momento es posible reactivar la protecci%n de shadow , p.conv , ls @l -etc-pass.d -etc-shado. @r.@r@@r@@ ; root root ;;07 <008@08@0= 0; 08 -etc-pass.d @r@@@@@@@@ ; root root 7?? <00?@08@0= 0; 08 -etc-shado. &e vuelve a crear el archivo, adem!s n%tese los permisos tan restrictivos *.66+ que tiene este archivo, haciendo sumamente difcil que cualquier usuario que no sea root lo lea.

/etc/login7defs
En el archivo de configuraci%n est!n definidas las variables que controlan los aspectos de la creaci%n de usuarios y de los campos de usadas por defecto. 2lgunos de los aspectos que controlan estas variables son B(mero m!/imo de das que una contrase#a es v!lida P(''89(%8)(:'. El n(mero mnimo de caracteres en la contrase#a P(''89I&8;$&. )alor mnimo para usuarios normales cuando se usa UI)89I&. El valor por defecto U9('#. &i el comando debe crear el directorio home por defecto C"$(<$8=!9$.

Easta con leer este archivo para conocer el resto de las variables que son auto descriptivas y ajustarlas al gusto. >ecu6rdese que se usaran principalmente al momento de crear o modificar usuarios con los comandos y que en breve se e/plicaran.

/etc/skel
Es un directorio, contiene todos los archivos que se copiaron al crear los usuarios *.bashrc, .bash pro!ile, .pro!ile+. Cualquier cosa que pongamos ac! al crear un nuevo usuario se copiara dentro de su home.

7bash8profile 7bash8logout 7bashrc

6e e-ecuta cuando el usuario inicia la sesin. 6e e-ecuta cuando el usuario abandona la sesin. 6e e-ecuta cuando el usuario inicia la sesin.

Comando+ adduser
Con este comando veremos que nos pedir! los datos siendo un asistente , adduser nombre@usuario Tenemos un archivo de configuraci%n llamado /etc/adduser.con! donde ya tenemos varias variables configuradas por defecto que tomara el comando adduser. , more -etc-adduser.conf
, -etc-adduser.conf Fadduser3 configuration. , &ee adduser*=+ and adduser.conf*9+ for full documentation. , The 1&GELL variable specifies the default login shell on your , system. 1&GELLH-bin-bash , The 1GIJE variable specifies the directory containing users3 home , directories. 1GIJEH-home , Kf A>I'$GIJE& is 4yes4, then the home directories .ill be created as , -home-groupname-user. A>I'$GIJE&Hno , Kf LETTE>GIJE& is 4yes4, then the created home directories .ill have , an e/tra directory @ the first letter of the user name. Cor e/ample , -home-u-user. LETTE>GIJE&Hno , The &LEL variable specifies the directory containing 4s5eletal4 user , filesM in other .ords, files such as a sample .profile that .ill be , copied to the ne. user3s home directory .hen it is created. &LELH-etc-s5el , CK>&TN&O&TEJNPA'QK1 to L2&TN&O&TEJNPA'QK1 inclusive is the range for 'K1s , for dynamically allocated administrative and system accounts-groups. , $lease note that system soft.are, such as the users allocated by the base@pass.d , pac5age, may assume that 'K1s less than ;00 are unallocated. CK>&TN&O&TEJN'K1H;00 L2&TN&O&TEJN'K1H??? CK>&TN&O&TEJNAK1H;00 L2&TN&O&TEJNAK1H??? , CK>&TNPA'QK1 to L2&TNPA'QK1 inclusive is the range of 'K1s of dynamically , allocated user accounts-groups. CK>&TN'K1H;000 L2&TN'K1H<???? CK>&TNAK1H;000

L2&TNAK1H<???? , The '&E>A>I'$& variable can be either 4yes4 or 4no4. Kf 4yes4 each , created user .ill be given their o.n group to use as a default. Kf , 4no4, each created user .ill be placed in the group .hose gid is , '&E>&NAK1 *see belo.+. '&E>A>I'$&Hyes , Kf '&E>A>I'$& is 4no4, then '&E>&NAK1 should be the AK1 of the group , Fusers3 *or the equivalent group+ on your system. '&E>&NAK1H;00 , Kf 1K>NJI1E is set, directories .ill be created .ith the specified , mode. Ither.ise the default mode 0899 .ill be used. 1K>NJI1EH089; , Kf &ETAK1NGIJE is 4yes4 home directories for users .ith their o.n , group the setgid bit .ill be set. This .as the default for , versions RR ".;" of adduser. Eecause it has some bad side effects .e , no longer do this per default. Kf you .ant it nevertheless you can , still set it here. &ETAK1NGIJEHno , Kf S'IT2'&E> is set, a default quota .ill be set from that user .ith , Fedquota @p S'IT2'&E> ne.user3 S'IT2'&E>H44 , Kf &LELNKABI>EN>EAE: is set, adduser .ill ignore files matching this , regular e/pression .hen creating a ne. home directory &LELNKABI>EN>EAE:H4dp5g@*oldTne.TdistTsave+4 , &et this if you .ant the @@addNe/traNgroups option to adduser to add , ne. users to other groups. , This is the list of groups that ne. non@system users .ill be added to , 1efault ,E:T>2NA>I'$&H4dialout cdrom floppy audio video plugdev users4 , Kf 211NE:T>2NA>I'$& is set to something non@zero, the E:T>2NA>I'$& , option above .ill be default behavior for adding ne., non@system users ,211NE:T>2NA>I'$&H; , chec5 user and group names also against this regular e/pression. ,B2JEN>EAE:H4UPa@zQP@a@z0@?NQVWX4

Comando+ useradd
Con este comando nosotros le tenemos que pasar los par!metros. useradd PopcionesQ Bombre@usuario Ipciones >c comentario :ara especificar un comentario para la nue!a cuenta. >d directorio>del> :ara establecer el directorio de traba-o del usuario. Es usuario con!eniente, a fin de tener un sistema bien or#ani)ado, que este se localice dentro del directorio /home. >f :ara establecer la fec a de e4piracin de la cuenta de usuario. fechae4piracion Esta debe in#resarse en el si#uiente formato$ """"-##-DD.

>g grupoinicial >G grupo1,grupo,

>m

>s shell >u uid

:ara establecer el #rupo inicial al que pertenecer el usuario. ,e forma predeterminada se establece como nico #rupo. $ota% El #rupo asi#nado (a debe e4istir. :ara establecer #rupos e4tra a los que pertenecer el usurio. 6e debe separar utili)ando una coma ( sin espacios. Esto es mu( con!eniente cuando se desea que el usuario ten#a acceso a determinados recursos del sistema, como acceso a la unidad de disquetes, administracin de cuentas ::: ( :;:. $ota% los #rupos asi#nados deben e4istir. :ara especificar que el directorio de traba-o del usuario debe ser creado, ( dentro se copiarn los arc i!os especificados en /etc/s&el. :ara cambiar esto, a( que completar la opcin -m con -& 'nue(odirs&el) donde nue(odirs&el es la carpeta de la cual se sacarn los perfiles. 6e utili)a para establecer la shell que podr utili)ar el usuario. ,e forma predeterminada, se establece bash como shell predeterminado. 6e utili)a para establecer el UID, es decir, la ID del usuario, el nmero de identificacin de usuario. Este debe ser nico. +uando se crea una cuenta de usuario por primera !e), #eneralmente se asi#nar *'' como UID del usuario. Los UID entre ' ( 00 son reser!ados para las cuentas de los ser!icios del sistema.

Ejemplo , useradd @g ;00 @d -home-pablo @s -bin-bash @A floppy,pppuser @m pablo , pass.d pablo Toma la configuraci%n del archivo /etc/de!ault/useradd, este comando no nos pide que le indiquemos la password por eso mismo nosotros tendremos que ejecutar el comando passowd seguido del nombre del usuario.. Ejemplo , useradd @1 A>I'$H;00 GIJEH-home KB2CTK)EH@; E:$K>EH &GELLH-bin-sh &LELH-etc-s5el C>E2TENJ2KLN&$IILHno

Comando+ usermod
Con este comando nosotros podremos modificar el usuario. usermod PopcionesQ Bombre@usuario

Ipciones >c comentario :ara especificar un comentario para la nue!a cuenta. >d directorio>del> :ara establecer el directorio de traba-o del usuario. Es usuario con!eniente, a fin de tener un sistema bien or#ani)ado, que este se localice dentro del directorio /home. >f :ara establecer la fec a de e4piracin de la cuenta de usuario. fechae4piracion Esta debe in#resarse en el si#uiente formato$ """"-##-DD. >g grupoinicial :ara establecer el #rupo inicial al que pertenecer el usuario. ,e forma predeterminada se establece como nico #rupo. $ota% El #rupo asi#nado (a debe e4istir. >G :ara establecer #rupos e4tra a los que pertenecer el usurio. 6e grupo1,grupo, debe separar utili)ando una coma ( sin espacios. Esto es mu( con!eniente cuando se desea que el usuario ten#a acceso a determinados recursos del sistema, como acceso a la unidad de disquetes, administracin de cuentas ::: ( :;:. $ota% los #rupos asi#nados deben e4istir. >m :ara especificar que el directorio de traba-o del usuario debe ser creado, ( dentro se copiarn los arc i!os especificados en /etc/s&el. :ara cambiar esto, a( que completar la opcin -m con -& 'nue(odirs&el) donde nue(odirs&el es la carpeta de la cual se sacarn los perfiles. >s shell 6e utili)a para establecer la shell que podr utili)ar el usuario. ,e forma predeterminada, se establece bash como shell predeterminado. >u uid 6e utili)a para establecer el UID, es decir, la ID del usuario, el nmero de identificacin de usuario. Este debe ser nico. +uando se crea una cuenta de usuario por primera !e), #eneralmente se asi#nar *'' como UID del usuario. Los UID entre ' ( 00 son reser!ados para las cuentas de los ser!icios del sistema. >a, >>append 3#re#a al usuario los #rupos adicionales -G sino a#re#o esto reempla)o los que pon#o por los que tiene. >;, >>lock :one frente de la contrasea /etc/shadow un * esto desacti!a la contrasea del usuario aparte de bloquear de esta forma tambin tenemos que utili)ar +,-I.+ D"/+. Ejemplo , usermod @A ...@data,users @a pablo

Comando+ userdel
Con este comando podemos borrar un usuario determinado tambi6n podemos borrar si queremos su directorio home. Esto lo que hace es borrar dentro de los archivos /etc/passwd, /etc/shadow y /etc/group. userdel PopcionesQ Bombre@usuario Ipciones >r 7emue!e el usuario (/etc/passwd, /etc/shadow ( /etc/group0 ( su

>f

>h Ejemplo

directorio. >emueve el usuario y su directorio en forma forzada, es decir si el usuario esta logueado. Esto puede traer problemas al sistema. :ara establecer la fec a de e4piracin de la cuenta de usuario. Esta debe in#resarse en el si#uiente formato$ """"-##-DD. 3(uda.

En este ejemplo solo borra el usuario pero no borra su directorio. , userdel pablo , userdel @r pablo

Comando+ id
Juestra el nombre y grupo del usuario en n(meros *el UID y GID+ y a que grupos adicionales pertenecen. id PopcionesQ PusuarioQ Ipciones >g, >>group >G, >>groups >u, >>user Ejemplo , id pablo 8mprime solamente el #rupo. Kmprime los grupos adicionales. 8mprime solamente el UID.

Grupos
El objetivo de los grupos es dar o restringir permisos sobre algunos archivos a ciertos usuarios. $or ejemplo un archivo llamado apunte7t4t que pertenezca al grupo profesores que tenga permiso de lectura para el grupo y no para otros usuarios, podr! ser ledo (nicamente por el due#o y por usuarios que pertenezcan al grupo profesores. Cada usuario tiene un grupo principal *puede especificarse durante la creaci%n con la opci%n GID, *-g nombregrupo de useradd+, puede pertenecer a diversos grupos y si conoce la clave de alg(n grupo con clave puede volverse miembro durante la sesi%n. Los programas relacionados son groupadd groupdel groupmod groups newgrp :ara a#re#ar un #rupo. :ara borrar un #rupo. :ara modificar un #rupo. <n usuario puede !er los #rupos a los que pertenece con este pro#rama. :ara cambiarme a otro #rupo (al que debe pertenecer),

Esto lo que hace es modificar el archivo /etc/group. Ejemplo , groupdel pablo Ipciones de groupadd >g , >>gid >h Ejemplo , groupadd pablo Ipciones de groupmod >g , >>gid >n, >>new>name >h Ejemplo , groupmod @n pablonuevo pablo Le indicamos que nmero de 98, principal utili)ara. +ambia el nombre del #rupo !ie-o por el nue!o. 3(uda. Le indicamos que nmero de 98, principal utili)ara. 3(uda.

Permisos
2l realizar un listado veremos los permisos de los directorios y archivos , ls @l dr./r@/r@/ < root root dr./r@/r@/ Y root root dr./r@/r@/ ;= root root dr./r@/r@/ ;80 root root ... Y0?7 may <Y ;0 ;? bin ;0<Y jun " ;7 0Y boot "7Y0 jun ;Y 0? <" dev ;<<== jun ;Y ;" <0 etc

Tomamos como ejemplo /bin vemos que tiene al principio drw4r>4r>4, vemos que luego de la letra d *directorio+, viene luego tres grupos de con rw4 r>4 y r>4. )emos que el primer grupo corresponde al due#o del archivo, el siguiente al grupo y el ultimo a otros grupos que no sea el principal. Todos los ficheros y directorios en un sistema U&I% tienen asociado un n(mero compuesto de cuatro cifras en octal. Los tres dgitos menos significativos especifican los permisos que tienen los usuarios sobre ese fichero *lectura *r+, escritura *w+ y ejecuci%n *4+ para el usuario, los usuarios pertenecientes al grupo o para otros+ ;ectura ?r@ $scritura ?w@ "rchi(o $ :oder acceder a los contenidos de un arc i!o. Directorio $ :oder leer un directorio, !er qu fic eros contiene. "rchi(o $ :oder modificar o aadir contenido de un arc i!o.

$AecuciBn ?4@

Directorio $ :oder borrar o mo!er fic eros en un directorio. "rchi(o $ :oder e-ecutar un pro#rama binario o #uin de s ell. Directorio $ :oder entrar en un directorio.

$or ejemplo para sacar permisos de lectura a los usuarios en archivos de configuraci%n de un servidor. Ictal B(mero 0 ; < " Y 9 7 8 Einario B(mero 0 ; ;0 ;; ;00 ;0; ;;0 ;;; $ermisos @@@ @@/ @.@ @./ r@@ r@/ r.@ r./ 1escripci%n Bing(n permiso garantizado. Ejecutable. Jodificable. Jodificable-Ejecutable. Legible. Legible-Ejecutable. Legible-Jodificable. Legible-Jodificable-Ejecutable.

Los permisos para estos " tipos de usuarios puede estar dado por una cadena de ? caracteres. Ictal B(mero 0888 0899 0800 0777 1ue#o Columna r./ r./ r./ r.@ Arupo Columna r./ r@/ @@@ r.@ Itros Columna r./ r@/ @@@ r.@ Completo C%digo r./r./r./ r./r@/r@/ r./@@@@@@ r.@r.@r.

sst rwx rwx rwx 421 421 421 421 S U G O S=SUID, SGID y Sticky Bit U=Usuario G=Grupo O=Otros

Tambi6n tenemos el umas& *abreviatura de user mask, m!scara de usuario+ es una orden y una funci%n en entornos $I&K: que establece los permisos por defecto para los nuevos archivos y directorios creados por el proceso actual. Los sistemas 'ni/ modernos permiten que las m!scaras se especifiquen de dos modos 'n permiso por defecto, tambi6n llamado m!scara simb%lica. $or ejemplo, uHr./,gHr./,oH 'n n(mero en octal que controla qu6 permisos se enmascarar!n *no se establecer!n+ para cualquier nuevo archivo, por ejemplo, 008.

En ambos casos debe tenerse en cuenta que la mayora de los sistemas 'ni/ no permiten que nuevos archivos sean creados con permisos de ejecuci%n activados, independientemente de la m!scara. Ejemplo , umas5 00<< $or defecto la creaci%n de archivos es 777 Z umas5 *00<<+ H 7YY. $or defecto la creaci%n de directorios es 888 Z umas5 *00<<+ H 899.

Comando+ chmod
$ara cambiar la m!scara de permisos de un archivo o directorio, usamos el comando chmod. La sinta/is de este comando es la siguiente chmod PopcionesQ archivoTdirectorio Ipciones >5 >" =uestra lo que reali)a. 7ecursi!o.

&e puede usar n(meros y letras para indicar los permisos. Ejemplo , chmod u[/,g@.,o@. archivo; , chmod uHr/ archivo; El signo *C+ significa que agrega permisos, y el signo *>+ que saca permisos, si no ponemos ninguno de estos dos signos reemplaza lo que ponemos por lo que hay. Con letras PugoQP[@HQPr./Q *uHusuario,gHgrupo,oHotros+. Con n(meros P0@8QP0@8QP0@8Q

'ticky bit
El stic>( bit tiene significado cuando se aplica a directorios. &i el stic>( bit est! activo en un directorio, un usuario s%lo puede borrar archivos que son de su propiedad o para los que tiene permiso de escritura, incluso cuando tiene acceso de escritura al directorio. En un directorio evita que un usuario que no sea el due#o del directorio pero que tenga permiso de escritura, pueda borrar o renombrar archivos que no le pertenecen. Esto est! pensado para directorios como /tmp, que tienen permiso de escritura global, pero no es deseable permitir a cualquier usuario borrar los archivos que quiera. El stic>( bit aparece como 3t3 en los listados largos de directorios. Ejemplo , ls @ld -tmp dr./r./r.t " root root Y0?7 jun ;Y ;Y ;8 -tmp

Esto se agrega con el comando chmod con el valor 1 y agrega una t min(scula que tapa el valor de la 4, si es may(scula significa que en su lugar no habia una 4. , chmod 1888 -tmp $ara sacarlo , chmod o@t -tmp

(tributo 'GI) 1-ara "rchi(os0

Este bit describe permisos al grupo del archivo. Cuando el atributo SGID *poner id del grupo+ est! activo en los permisos del grupo, y ese archivo es ejecutable, los procesos que lo ejecutan obtienen acceso a los recursos del sistema basados en el grupo que crea el proceso *no el grupo que lo lanza+. >esumiendo esta e/plicaci%n, podemos decir el bit SGID empleado con archivos ejecutables cambia la identificaci%n del grupo por la del due#o del archivo para otros. Esto se agrega con el comando chmod con el valor , y agrega una s min(scula que tapa el valor de la 4, si es may(scula significa que en su lugar no habia una 4. , chmod ,899 mi@programa $ara sacarlo , chmod g@s mi@programa

(tributo 'UI) 1-ara "rchi(os0

Este bit describe permisos al usuario del archivo. Cuando el atributo SUID *poner id de usuario+ est! activo en los permisos del propietario, y ese archivo es ejecutable, los procesos que lo ejecutan obtienen acceso a los recursos del sistema basados en el usuario que crea el proceso *no el usuario que lo lanza+. >esumiendo esta e/plicaci%n, podemos decir el bit SUID empleado con archivos ejecutables cambia la identificaci%n del usuario por la del due#o del archivo para otros. Esto se agrega con el comando chmod con el valor . y agrega una s min(scula que tapa el valor de la 4, si es may(scula significa que en su lugar no habia una 4. , chmod .899 mi@programa $ara sacarlo , chmod u@s mi@programa

Comando+ chrgp
Con este comando me permite cambiar solo el grupo del archivo o directorio. chgrp grupo archivos Ipciones

>5 >" Ejemplo

=uestra lo que reali)a. 7ecursi!o.

, chgrp users archivo.t/t , chgrp @> users directorio@pablo

Comando+ chown
Con este comando me permite cambiar el due#o y-o grupo del archivo o directorio. cho.n due#oP grupoQ archivos Ipciones >5 >" Ejemplo , cho.n nobody archivo.t/t , cho.n nobody nogroup archivo.t/t , cho.n nobody nogroup @> directorio@pablo =uestra lo que reali)a. 7ecursi!o.

2omando% chattr
+ambia los atributos de los fic eros en un sistema de fic eros ext3/ext4/ext5. Esta incluido en el paquete e3!sprogs. chattr PopcionesQ PmodoQ fichero

Ipciones >5 >" 2tributos [ &e usa para a#adir atributos. @ &e usa para sacar atributos. H &e usa para especificar los atributos. =uestra lo que reali)a. 7ecursi!o.

2lgunos atributos son ( evita que se modifique el campo atime al acceder a un fichero.

a s%lo permite abrir el fichero para a#adir datos. c el fichero se guarda autom!ticamente comprimido por el 5ernel. ) cuando un directorio es modificado,los cambios son escritos sncronamente. d e/cluye al fichero para ser respaldado por dump. i impide modificar,eliminar,renombrar el fichero y tambi6n enlazarlo. s al borrar un fichero con este atributo,sus bloques son rellenados con ceros. ' cuando un fichero es modificado,los cambios son escritos sncronamente. u cuando un fichero es eliminado,su contenido es guardado.

&ota ) es equivalente a la opci%n de montaje \dirsync] ' es equivalente a la opci%n de montaje \sync]. Ejemplo , chattr [i mi@archivo , chattr @i mi@archivo

2omando% lsattr
Juestra los atributos de los ficheros en un sistema de ficheros e4t,/e4t-/e4t.. lsattr PopcionesQ fichero Ipciones >5 >" >a Ejemplo , lsattr mi@archivo @@@@i@@@@@@@@@@@@e@ a =uestra lo que reali)a. 7ecursi!o. =uestra todos los fic eros de un directorio.

6istas de acceso con "26

Los (C;s permiten otorgar privilegios de acceso adicionales. El propietario de un archivo puede, gracias a los (C;s, otorgar privilegios a uno o m!s usuarios y-o grupos que se sustituir!n a los privilegios de acceso de base. Con los (C;s es posible otorgar privilegios a un usuario que no es parte del grupo sin modificar los privilegios de los otros. Kgualmente se pueden autorizar privilegios de acceso a un grupo de usuarios que no pertenecen al grupo del archivo. Bo hay lmites en lo que respecta al n(mero de usuarios o grupos a adicionar con los (C;s. El respaldo hecho con tar no memoriza los (C;s definidos.

Las (C; cumplen con el est!ndar P!'I% *Portable !perating 'ystem for 'nI%+. 'n (C; est! compuesto de varias entradas de tipo (C;. 'na entrada especifica los permisos de acceso a un objeto asociado a un usuario o grupo de usuarios utilizando una combinaci%n de privilegios tradicionales r, w y 4. Es decir una entrada (C; esta compuesta de un tag que especifica una identidad de usuario tag opcional de usuarios o grupos la lista de permisos otorgados Gay que bajar el paquete acl. , apt@get install acl El 5ernel de la familia <.7 incluye el soporte de acl para e/t<-e/t"-e/tY, jfs y /fs. &i el 5ernel no incluye el soporte hay que compilar el 5ernel. $ara verificarlo , uname @a ^^ grep @i 3acl3 -boot-config@X*uname @r+
CIBCKANE:T<NC&N$I&K:N2CLHy CIBCKANE:T"NC&N$I&K:N2CLHy CIBCKANE:TYNC&N$I&K:N2CLHy CIBCKAN>EK&E>C&NC&N$I&K:N2CLHy CIBCKAN_C&N$I&K:N2CLHy CIBCKANC&N$I&K:N2CLHy CIBCKAN:C&N$I&K:N2CLHy CIBCKANICC&<NC&N$I&K:N2CLHy CIBCKANET>C&NC&N$I&K:N2CLHy CIBCKANAEBE>KCN2CLHy CIBCKANTJ$C&N$I&K:N2CLHy CIBCKAN_CC&<NC&N$I&K:N2CLHy CIBCKANBC&N)"N2CLHy CIBCKANBC&1N)<N2CLHy CIBCKANBC&1N)"N2CLHy CONFIG_NFS_AC _SU!!O"#=$

&ota+ Bosotros al implementar acl tenemos que tener un filesystem aparte.

$or ejemplo si en linea de comandos por el momento queremos montar una partici%n con acl realizamos lo siguiente , mount -dev-particion @o defaults,acl -punto@de@montaje &i queremos que sea permanente tenemos que editar el archivo /etc/fstab. , vi -etc-fstab -dev-particion -punto@de@montaje e/tY defaults,acl 0 <

'na vez que tenemos montada nuestra partici%n podremos utilizar los siguiente comandos

setfacl
El comando setfacl nos permite posicionar los (C;s. Jostraremos solamente las opciones @m, @4, @; y @" . Ipciones >m, >>modify >4, >>remo5e >b, >>remo5e>all >;, >>logical >", >>recursi5e >d >k Ejemplo 2signa-modifica *>m+ recursivamente *>"+ permisos por defecto *>d+ al grupo `grupo1a, como lectura, escritura, e/ploraci%n-ejecucion *rw4+ a partir de `/dira , setfacl @> @d @m group grupo; r./ -dir 2l listarlo veremos que agrega un 3C3 esto significa que tiene (C;. , ls @ld -dir dr./r./r@/C < root root Y0?7 jun <; ;0 0? dir 2signa-modifica *>m+ permisos de lectura, e/ploraci%n *r4+ al grupo 4grupo,4, en el directorio 4/dir/sub>dir4 , setfacl @m group grupo< r. -dir-sub@dir 2signa-modifica *>m+ permisos de lectura, escritura y ejecuci%n *rw4+ al usuario 4usuario14, para el archivo 4/dir/sub>dir/script7sh4 , setfacl @m user usuario; r./ -dir-sub@dir-script.sh $ara eliminar un usuario , setfacl @/ user usuario; -dir-sub@dir-script.sh =odifica los "26 de un arc i!o o directorio Elimina las entradas "26s . Elimina todas las entradas "26s. Enrutamiento de los enlaces simblicos. 3plicacin de los "26s de forma recursi!a. 3si#na los permisos por defecto. ?orra los permisos por defecto.

get!acl
El comando getfacl nos permite mostrar los (C;s.

Ipciones >; >" Ejemplo , getfacl -mi@directorio-archivo Auardar los acl del directorio y su contenido en forma recursiva, para luego restaurarlo. , getfacl @> -mi@directorio b -mi@directorio.acl , setfacl @m group grupo< r. -mi@directorio , setfacl @@restoreH-mi@directorio.acl El enrutamiento de los enlaces simblicos :ermite !er los "26s de forma recursi!a

7uota de disco
En sistemas con muchos usuarios se presenta un problema, el espacio en disco duro, los usuarios guardan y guardan cosas en el disco duro y si no e/iste un limite para esto el espacio de disco duro se terminar!, esto posiblemente se solucione agregando mas discos duros, pero al final resultar! lo mismo, el disco se llenar! de nueva cuenta. Las cuotas de disco no son m!s que un limite para los usuarios que les indica que cantidad de espacio en disco pueden almacenar y en caso de alcanzar este limite no podr!n almacenar m!s cosas. $ara poder aplicar cuotas de disco a los usuarios nuestro 5ernel debe soportar cuotas, es decir debi% haber sido compilado con soporte para cuotas, por defecto los sistemas debian y ubuntu traen el 5ernel compilado con 6sta opci%n, lo siguiente es ejecutar el comando Eajamos el paquete quota , apt@get install quota Las cuotas puede ser utilizadas dentro de un filesystem por ejemplo el home. , grep home -etc-fstab -dev-mapper-)olAroup00@lvhome -home e/tY defaults 0 <

Editamos el archivo /etc/fstab y agregamos lo siguiente , vi -etc-fstab -dev-mapper-)olAroup00@lvhome -home e/tY defaults,usrDuota 0 <

usrDuota H Cuota para usuario determinados. grpDuota H Cuota para grupos de usuarios *todos los que pertenecen a un grupo determinado se le da un espacio de disco+.

&e puede agregar las dos opciones si queremos. Luego volvemos a remontar el filesystem , mount @o remount -home )erificamos , mount T grep home -dev-mapper-)olAroup00@lvhome on -home type e/tY *r.,usrquota+