Clase N 4

Tareas administrativas

Administracin de usuarios

Creacin de grupos y usuarios

Atributos de proteccin de los procesos

Atributos de proteccin de los archivos

Los bits SETUID y SETGID en archivos ejecutables

Ambiente y variables de ambiente

Establecimiento del entorno de usuario

Archivo /etc/profile

Archivo .profile

Archivo /etc/bashrc o ~/.bashrc

Archivo /etc/skel

Comando umask
Archivos de bitcoras
Copias de seguridad en Linux (backup)

dump, restore, tar

Administracin de usuarios
La administracin de las cuentas de los usuarios y sus grupos de trabajo
implica una gran responsabilidad, pues el primer paso para mantener la
seguridad del sistema consiste en evitar el acceso al mismo de personas no
autorizadas.

Para que un usuario pueda acceder al sistema, debe estar previamente

registrado ante el mismo. Esta tarea, realizada por el administrador del
sistema, afecta a tres archivos: /etc/passwd, /etc/shadow y /etc/group.

Estos archivos no deben ser editados directamente sino por medio del
conjunto de utilidades suministradas por el sistema para tal fin

Administracin de usuarios

Estructura del archivo /etc/passwd (Campos):

Login del usuario.

Password Encriptado. Puede estar tambien en el /etc/shadow.

Identificacin del Usuario (UID). Cero para el superusuario.

Identificacin del Grupo (GID). Deberia estar creado en el /etc/group.

Informacin General (GECOS).

Directorio de inicio (HOME DIRECTORY).

Shell de inicio.
Ejemplos de lineas en el /etc/passwd:

root:x:0:0:Administrador del Sistema:/root:/bin/bash

iseit:x:1001:100:usuario del Curso:/home/iseit:/bin/bash

Administracin de usuarios

Estructura del archivo /etc/shadow (Campos):

Login del usuario.

Password Encriptado.
Dias transcurridos desde el 1-1-1970 del ultimo cambio del password.
Minimo de das antes que el password sea cambiado.
Mximo de das para cambiar un password.
Das de advertencia antes que el password expire.
Dias despues de expirado un password y la cuenta sea deshabilitada.
Dias transcurridos desde el 1-1-1970 en que ha estado deshabilitada.
Reservado por el sistema.

Ejemplos de lineas en el /etc/shadow:

root:z1Gr223gag1%:23567:0:999999:7:::
iseit:nbs$1515&gRf:13171:15:30:7:::

Administracin de usuarios

Estructura del archivo /etc/group (Campos):

Nombre del grupo.

Password Encriptado del grupo.
Identificacin del grupo.(GID).
Lista de usuarios. (Deben estar /etc/passwd en el campo de login,
separados por comas).

Ejemplos de lineas en el /etc/group:

root:x:0:
curso:x:100:iseit,jose,maria

Administracin de usuarios

Creacin de grupos y usuarios

Orden

Significado

useradd /adduser

Aadir un usuario

userdel

Eliminar un usuario

usermod

Modificar los atributos de un usuario

groupadd

Aadir un grupo

groupdel

Eliminar un grupo

groupmod

Modificar los atributos de un grupo

passwd

Cambiar la contrasea de un usuario

chage

Gestionar la caducidad de la contrasea

Administracin de usuarios

Atributos de proteccin de los procesos

Identificadores del usuario propietario del proceso:

rUID (versin real) siempre corresponde al usuario que cre el proceso
eUID (versin efectiva) corresponde al usuario bajo el cual se comporta el proceso

Ambos identificadores suelen ser iguales, salvo que intervenga el denominado

bit SETUID en el archivo ejecutable que est ejecutando el proceso

Administracin de usuarios

Atributos de proteccin de los procesos

Identificadores del grupo propietario del proceso:

rGID (versin real) corresponde al grupo primario al que pertenece el usuario que cre
el proceso
eGID (versin efectiva) corresponde al grupo bajo el cual se comporta el proceso

Ambos identificadores suelen ser iguales, salvo que intervenga el denominado bit
SETGID en el archivo ejecutable que est ejecutando el proceso
Estos atributos son asignados al proceso en el momento de su creacin, y
heredados de su proceso padre
La orden id muestra todos estos atributos

Administracin de usuarios

Atributos de proteccin de los archivos

OwnerUID Identificador del usuario propietario del archivo.

OwnerGID Identificador del grupo propietario del archivo.
Bits de permiso: Un total de 12 bits que expresan las operaciones del archivo
que son permitidas en funcin del proceso que acceda a este archivo.
Bit

Significado

11

SETUID

10

SETGID

Sticky

Lectura para el propietario.

Escritura para el propietario.

Ejecucin para el propietario

Lectura para el grupo.

Escritura para el grupo.

Ejecucin para el grupo.

Lectura para el resto de usuarios.

Escritura para el resto de usuarios.

Ejecucin para el resto de usuarios.

Administracin de usuarios

Los bits SETUID y SETGID en archivos ejecutables

Estos bits se emplean para permitir que un programa se ejecute bajo los
privilegios de un usuario distinto al que lanza la ejecucin del programa. Su
funcionamiento es el siguiente:

Si el archivo ejecutable tiene el bit SETUID activo, el eUID del proceso que ejecuta

el archivo es hecho igual al ownerUID del archivo.

Si el archivo ejecutable tiene el bit SETGID activo, el eGID del proceso que ejecuta

el archivo es hecho igual al ownerGID del archivo.

Normalmente estos programas pertenecen al superusuario, y permiten a los
usuarios ejecutar tareas privilegiadas bajo ciertas condiciones.
Ejemplo: cambio de la contrasea de un usuario.

La Herramienta Kuser

El Kuser es un utilitario del KDE que permite manejar usuarios y grupos que tendrn acceso al sistema.
Entre sus funciones ms importantes estn las de Crear, Modificar y Eliminar Usuarios o Grupos del Sistema.

Para accesarlo elija la opcin de Sistema desde el men de K y luego el Administrador de Usuarios (kuser).

Aparecer una ventana que en la parte superior tiene los iconos para agregar, eliminar o modificar y luego las etiquetas para

elegir usuarios o grupos, en la parte central aparecen los usuarios o grupos definidos en la actualidad con sus nmeros de id,
login y su descripcin ( ver ejemplos de pantalla a continuacin).

Apariencia del kuser

Ambiente y variables de ambiente

Variable es un nombre al cual se le puede asociar un valor, tal valor puede

cambiar durante la ejecucin de un programa
Cada programa (incluyendo al intrprete de comandos) se inicia en un ambiente
el cual consta de variables ---variables de ambiente--- que hereda del programa
que lo inici y que pueden tener un significado especial para el programa.

Puede examinar las variables de ambiente de bash con el comando set.

Ambiente y variables de ambiente

USER y USERNAME login del usuario

UID nmero que identifica al usuario

TERM nombre de la terminal que est usando

SHELL ruta y nombre del intrprete de comandos

PWD nombre del directorio de trabajo

$HOME nombre del directorio personal del usuario

PS1 y PS2 indican a bash como presentar prompts

PATH ruta de directorios donde bash busca archivos ejecutables

OSTYPE tipo de sistema operativo

Ambiente y variables de ambiente

MAILCHECK frecuencia en segundos con la que bash debe revisar si ha llegado un

nuevo correo a la cola de correos especificada en la variable

MAIL (por defecto la del usuario); LS_COLORS colores que emplea el programa ls;

LINES y COLUMNS indican la cantidad de filas y columnas de la terminal que est

usando

LANG, LANGUAGE y otras variables que comienzan con el prefijo LC_ especifican el

idioma en el que los programas deben interactuar con el usuario

HOSTNAME es el nombre del sistema

HISTFILE mantiene el nombre del archivo con la historia de comandos, su

tamao lo limitan HISTFILESIZE y HISTSIZE

DISPLAY mantiene la direccin del servidor X-Window

Ambiente y variables de ambiente

Establecimiento del entorno de usuario
El administrador tiene la posibilidad de establecer un entorno general de trabajo
para todos los usuarios, pero a su vez el usuario en s dispone de una forma para
establecer su propio entorno individual, de tal manera que por el mero hecho de
identificarse este entorno quede creado.
Con este objetivo existen el archivo /etc/profile y un archivo .profile en el
directorio Home de cada usuario.

Ambiente y variables de ambiente

Archivo /etc/profile

Este archivo contiene algunas variables de entorno y los programas de arranque.

Una vez que el usuario se identifica correctamente, se ejecuta de forma

automtica el shellscript contenido en este archivo.

Dado de que este contenido es el mismo para todos los usuarios, permite crear el

entorno general.

Durante la ejecucin de este shellscript se pueden efectuar una serie de

operaciones de inters general para los usuarios.

Ambiente y variables de ambiente

Archivo /etc/profile

Se analiza la existencia del archivo /etc/motd. Si este archivo existe, se lista su

contenido.

Se establecen los parmetros por defecto para el terminal.

Se analiza si el usuario que se acaba de identificar tiene correo en su buzn. Si

es as se visualiza un mensaje de aviso.

Se analiza la existencia de algn "boletn de noticias" (news) que an no haya

sido ledo por el usuario, visualizando su nombre en caso de que lo haya.

El archivo /etc/profile, es de propiedad del administrador y, por lo tanto, puede ser
modificado cuando lo desee para eliminar aquello que no le guste o para aadir
todo lo que quiera que se ejecute cada vez que se identifica un usuario.

Ambiente y variables de ambiente

Archivo

.profile

Este archivo se crea en el directorio Home del usuario cuando es aadido al

sistema. Normalmente se copia desde el existente en /etc/skel. El archivo .profile,
salvo que as lo disponga el administrador, es de propiedad del usuario y por lo
tanto cada uno puede modificarlo a su gusto para crearse su entorno individual.

Archivo /etc/bashrx

~/.bashrc

Este archivo configura el inicio del terminal del usuario. Cada vez que iniciemos
un terminal, el sistema lee este archivo para identificar "alias" de rdenes,
configurar el "prompt" del sistema, etc.

Archivo /etc/skel
Esto no es un archivo, sino un directorio. Todo lo que se aada en l se copiar
automticamente a los directorios "home" o "raz" de todos los usuarios cuando se
creen en el sistema. As, se pueden incluir los archivos .bashrc, .xinitrc, etc., en
este directorio, y despus crear los usuarios.

Ambiente y variables de ambiente

Orden umask
Modifica los permisos por defecto a la hora de crear nuevos archivos.
Permisos por defecto al crear archivos:
rw-rw-rw- para archivos no ejecutables
rwxrwxrwx si se crea un directorio o un ejecutable.
Para modificar este funcionamiento, cada usuario puede especificar al
sistema aquellos bits que no desea que sean activados, mediante la mscara
de creacin de archivos. La mscara se establece mediante el mandato
umask. Cada bit activo en la mscara es un bit que ser desactivado cuando
se cree un archivo.
El administrador debe velar porque exista una mscara de creacin de
archivos razonable por defecto para cualquier usuario. Esto puede
conseguirse fcilmente utilizando el archivo /etc/profile, el cual sirve para
personalizar el entorno de los usuarios en el momento de su conexin.

Archivos de bitcoras
Existen ciertos archivos de registro `habituales' en los que se almacena informacin.
syslog
El archivo syslog (guardado en /var/adm/ o /var/log/) es quizs el archivo de log ms
importante del sistema; en l se guardan, en texto claro, mensajes relativos a la seguridad de la
mquina, como los accesos o los intentos de acceso a ciertos servicios.
messages
En este archivo de texto se almacenan datos `informativos' de ciertos programas, mensajes de
baja o media prioridad destinados ms a informar que a avisar de sucesos importantes
wtmp
Este archivo es un binario (no se puede leer su contenido directamente con cat o similares) que
almacena informacin relativa a cada conexin y desconexin al sistema.

Archivos de bitcoras
utmp
El archivo utmp es un binario con informacin de cada usuario que est conectado en un momento
dado; el programa /bin/login genera un registro en este archivo cuando un usuario conecta,
mientras que init lo elimina cuando desconecta. Habitualmente este archivo est situado en /
var/adm/
lastlog
El archivo lastlog es un binario guardado generalmente en /var/adm/, y que contiene un
registro para cada usuario con la fecha y hora de su ltima conexin
faillog
Este archivo es equivalente al anterior, pero en lugar de guardar informacin sobre la fecha y
hora del ltimo acceso al sistema lo hace del ltimo intento de acceso de cada usuario

oginlog
Si creamos el archivo /var/adm/loginlog (que en algunas versiones originalmente no existe), se
registrarn en l los intentos fallidos de login, siempre y cuando se produzcan cinco o ms de ellos
seguidos
btmp
En algunos clones de Unix, como Linux o HP-UX, el archivo btmp se utiliza para registrar las
conexiones fallidas al sistema, con un formato similar al que wtmp utiliza para las conexiones que
han tenido xito
sulog
Este es un archivo de texto donde se registran las ejecuciones de la orden su, indicando fecha,
hora, usuario que lanza el programa y usuario cuya identidad adopta, terminal asociada y xito
(`+') o fracaso (`-') de la operacin
debug
En este archivo de texto se registra informacin de depuracin (de debug) de los programas que
se ejecutan en la mquina; esta informacin puede ser enviada por las propias aplicaciones o por
el ncleo del sistema operativo

Copias de seguridad (backup)

dump y restore
Una vez que las fuentes han sido compiladas e instaladas, la utilizacin de dump y restore es
relativamente simple. Para realizar la copia de seguridad de una particin /dev/sda1 sobre
/dev/rmt0, es suficiente hacer:
# dump 0sfu 3600 /dev/rmt0 /dev/sda1
# dump 0sfu mis02:/dev/rmt0 /dev/sda1
Opciones de dump:

0 a 9 : nivel de copia de seguridad. 0 corresponde a una copia de seguridad completa, mientras

que los otros niveles n corresponden a la copia de seguridad de archivos que fueron modificados
desde la ensima copia de seguridad;

s : tamao de la cinta en pies;

f : archivo. Puede estar compuesto de mquina:archivo;

u : escritura de la fecha y del nivel de copia de seguridad en el archivo /etc/dumpdates.

Copias de seguridad (backup)

dump y restore
Existen dos maneras de efectuar una restauracin : en lnea de rdenes o en modo llamado
"interactivo". El segundo modo es ms simple para las restauraciones parciales. El primero es
sobre todo utilizado para las restauraciones completas.
Para restaurar la cinta en modo interactivo es suficiente hacer:
# restore -if /dev/rmt0
# restore -if mis02:/dev/rmt0
Para restaurar completamente una cinta:
# restore rf /dev/rmt0

Para la utilizacin de dump y restore a travs de una red (copia de seguridad sobre dispositivos
remotos), debe utilizar los archivos .rhosts.

Copias de seguridad (backup)

tar
A diferencia de dump o restore, tar permite copia de seguridad de los archivos deseados, excluir
ciertos repertorios, etc. Es necesario notar que el tar utilizado bajo Linux es el tar GNU. Este
posee ciertas opciones particulares.
Para conocer todas las opciones posibles, tar --help.
Una utilizacin simple de tar puede ilustrarse con la copia de seguridad de una particin de
usuarios:
# tar cvf /dev/rmt0 /users | mail backup-user
La lista de archivos ser as enviada al usuario backup-user.