Paso 4 - Gestionando usuarios en GNU/Linux

Presentado por:
Venlly Alexander Bernal Gaitan
Código: 1070967237

GRUPO No. 201494_1

Tutor:
Daniel Andrés Guzmán

Diplomado de Profundización
Linux 301125

Universidad Nacional Abierta y a Distancia – UNAD

Programa Ingeniería de Sistemas
Colombia
2020
 INTRODUCCIÓN

Este trabajo tiene como finalidad dar solución a la actividad planteada para
el paso 4 del diplomado de profundización de Linux, en el cual se
presentarán temas como gestión y administración de grupos y usuarios,
permisos de los mismos, para así entender la importancia de asegurar la
información con estos procedimientos.
 OBJETIVOS

• Analizar porqué es importante establecer parámetros de seguridad de

la información para que así la información llegue a codificada a las manos
indicadas.

• Establecer porqué es importante la integridad de los datos, para así

entender la necesitada de establecer permisos y grupos de acceso a la
información confidencial.

• Hacer un análisis que permita establecer que podría ocurrir si la

información confidencial cae en manos equivocadas.
 ACTIVIDAD INDIVIDUAL

Actividades a desarrollar

La presente actividad requiere de una solución a un requerimiento específico

enfocado a contextualizar al recurso humano de estudiantes de la UNAD que
atienden el proyecto con empresa ISP de Colombia, enfocado a gestionar
permisos sobre archivos y directorios, usuarios y grupos, con sistema
operativo GNU/Linux , el cual permitirá establecer el desarrollo de un trabajo
individual y una discusión grupal para la consolidación de una resultados
donde cada integrante del grupo deberá socializar y adjuntar evidencias de
su experiencia basada en el siguiente requerimiento, derivado de la
problemática principal, así:

- Permisos en ficheros, gestión de usuarios y grupos:

Atributos de los permisos:

Equivalencia de permisos según u g o a:

1. Con base a las convenciones descritas, establecer en la siguiente tabla el
valor octal y el valor decimal del permiso según el caso:

Permisos Valor Valor Valor Binario Valor

octal decimal Hexadecimal
r-x-wxr-- 534 348 101011100 15C
rw-r-xrwx 657 431 110101111 1AF
rwxrw---x 761 497 111110001 1F1
r--rwxrwx 477 319 100111111 13F
-wxrwxr-x 375 253 011111101 FD
-w-r-x-w- 252 170 010101010 AA
--x--xrwx 117 79 001001111 4F
rwx------ 700 448 111000000 1C0

2. Con base a los comandos de ejecución de permisos sobre archivos y

directorios, completar la siguiente tabla especificando su función y
sintaxis:

Administración de Función Sintaxis de ejecución

permisos
chmod Es una llamada al chmod 766 file.txt #
sistema y su brinda acceso total al
comando asociado dueño y lectura y
en el sistema escritura a los demás
operativo UNIX chmod 770 file.txt #
(estandarizados en brinda acceso total al
POSIX y otros dueño y al grupo y
estándares) que elimina todos los
permite cambiar los permisos a los demás
permisos de acceso usuarios
de un fichero o chmod 635 file.txt #
directorio. Permite lectura y
escritura al dueño,
escritura y ejecución al
grupo, y lectura y
ejecución al resto
 chgrp El comando chgrp $ chgrp nuevogrp
permite cambiar el archivo1 [ archivo2
grupo de usuarios archivo3...]
de un archivo o
directorio en
sistemas tipo UNIX.
chown El comando chown chown nuevousuario
en linux (change archivo1
owner) nos permite
cambiar de
propietario en
archivos y
directorios de linux.
Hay diferentes
formas de usar el
comando.

umask Es una orden y una

función en entornos umask [-S] [mask]
POSIX que establece
los permisos por
defecto para los
nuevos archivos y
directorios creados
por el proceso
actual.
Hay tres categorías
llamadas "clases de
permisos" a las que
se aplican estos
permisos que son
usuarios, grupos y
otros.

3. Con base a las convenciones descritas, ejecutar a modo consola el

comando chmod y establecer la estructura y equivalencia de permisos,
completando los espacios en blanco de la siguiente tabla:

Equivale en texto a ejecutar Equivale en octal a ejecutar

chmod u=r, g=wx, o=x chmod 431
chmod u=r, g=rw, o=x chmod 461
chmod u=rwx, g=rx, o=rx chmod 755
chmod u=rwx, g=rwx, o=x chmod 771
chmod u=x, g=0, o=rx chmod 105
chmod u=x, g=w, o=r chmod 124
chmod +w chmod +2
chmod u= , g= , o=x chmod 001
 chmod –rwx chmod –421
chmod u=rwx, g=x, o=x chmod 711
chmod +rwx chmod +421

4. De acuerdo con la siguiente tabla, complete la clasificación de los posibles

tipos de usuarios en GNU/Linux especificando en ellos sus funciones y/o
características, así:

Usuario root Usuarios Usuarios

especiales Normales
Funciones / Son
Características El usuario root en incorporados Son los
GNU/Linux es el por el propio usuarios
usuario que tiene sistema, y habituales del
acceso se encargan sistema, que
administrativo al de utilizarán los
sistema. Los administrar recursos de
usuarios normales los éste. Cada
no tienen este demonios usuario sólo
acceso por del mismo. podrá
razones de Estos personalizar
seguridad. Sin usuarios no su entorno de
embargo, pueden trabajo.
Kubuntu no iniciar
incluye el usuario sesión en el
root. En su lugar, sistema ni
se da acceso tener un
administrativo a shell donde
usuarios trabajar, por
individuales, que tanto no
pueden utilizar la tienen
aplicación "sudo" contraseña
para realizar asignada.
tareas Ejemplos
administrativas. son bin,
La primera cuenta daemon,
de usuario que adm, lp,
creó en su sync,
sistema durante shutdown,
la instalación mail,
tendrá, de forma operator,
predeterminada, squid,
acceso a sudo. apache, etc.
Puede restringir y
permitir el acceso
a sudo a los
usuarios con la
 aplicación
Usuarios y grupos
5. De acuerdo con la siguiente tabla sobre comandos de
administración y control de usuarios en un sistema GNU/Linux
especificando en ellos sus funciones y un ejemplo de sintaxis de
ejecución, así:
Comando Función
adduser Es la versión modificada del
comando useradd y facilita
la posibilidad de especificar
algunos parámetros, como
por ejemplo, del usuario a
crear y el directorio de
inicio (home) para
asociarlo.
useradd Básicamente el comando
useradd en Linux nos
permite crear cuentas de
usuario.
chpasswd El comando chpasswd se
usa para cambiar la
contraseña para usuarios.
Es un comando de
administrador, sólo el
usuario root puede cambiar
la contraseña para
usuarios.
gpasswd Permite administrar grupos
Sintaxis de ejecución
adduser nombre_usuario --
home
/directorio_home_del_usuario
sudo useradd venlly
chpasswd [opciones]
-c Elimina todos los flags
de contraseña.
-e Especifica que las
contraseñas están en formato
encriptado.
-f flags Especifica la lista
separada por comas de flags
de contraseña a establecer.
Los valores válidos de flag
son: ADMIN, ADMCHG, y/o
NOCHECK. Vaya a la
documentación del comando
pwdadm para más detalles
sobre estos valores.
-R load_module Especifica
el módulo I & A usado para
cambiar la contraseña de
usuario.
gpasswd [opcion] GRUPO
Con la opción -a, añadimos
un usuario al grupo:
 gpasswd -a usuario1
grupo1//Añadiendo el usuario
'usuario1' al grupo 'grupo1'.

Con la opción -d, eliminamos

un usuario del grupo:

gpasswd -d usuario1
grupo1//Eliminando el
usuario 'usuario1' del grupo
'grupo1'.

-r, elimina la contraseña del

grupo:

gpasswd -r grupo1

Podemos establecer una lista

de miembros del grupo con -
m:

gpasswd -M usuario1,
usuario2 grupo1

Y para finalizar, añadimos un

administrador del grupo con -
A:

gpasswd -A usuario1
grupo1//Añadiendo el
usuario1 como administrador
de grupo1.
groupadd El comando groupadd se groupadd [opciones]
usa para crear una nueva nombre_de_grupo
cuenta de grupo. Es un
comando de administrador. -g El valor numérico del
identificador de grupo. Este
valor debe ser único. Los
valores entre 0 y 99 se
reservan normalmente para
cuentas del sistema.
-r Este flag ordena a
groupadd que añada una
cuenta de sistema. Este
opción es válida en linux
Redhat únicamente.

Groupdel Elimina un grupo. Sudo groupdel grupo1

groupmod Si queremos cambiar un Sudo groupmod -n grupo1
error de sintaxis del grupo2
nombre del grupo,
podemos solventarlo con
groupmod.
groups imprime los grupos en los groups [nombre-usuario...]
que está un usuario
newusers Es una utilidad de línea de newusers users.txt
comandos útil que se utiliza
para actualizar y crear
nuevas cuentas de usuario
a la vez
userdel Elimina una cuenta de userdel ejemplo de usuario
usuario.
usermod El comando usermod sermod [opciones] LOGIN
modifica los archivos de
cuentas del sistema y Las opciones que se aplican
permite reflejar la cambios al comando usermod son:
que se especifican en la
línea de comandos. -A, -- append
Agrega el usuario al grupo
complementario (s). Use
únicamente la- opción-G

-C, -- coment comentario

Agrega un nuevo valor al
campo de comentarios en el
fichero de contraseñas del
usuario.

-D, --home directorio del

usuario
Nuevo directorio de inicio de
sesión del usuario. Si se da la
opción-m, el contenido del
directorio actual se trasladara
al nuevo directorio de inicio,
que se crea si no existe ya.

-E, -- expiredate tiempo en

que expira
Fecha en la que estará
deshabilitado la cuenta de
usuario. La fecha es
especificada en el formato
AAAA-MM-DD.

-F, -- inactive Inactivo

El número de días hasta que
la cuenta es deshabilitada
permanente después que la
contraseña ha caducado Un
valor de 0 desactiva la cuenta
tan pronto como la
contraseña de cuenta expiró,
y un valor de -1 desactiva
esta función.

-G, --gid GRUPO

El nombre del grupo o el
número de grupo del nuevo
inicio de sesión del usuario
en un nuevo grupo. El grupo
debe existir. Cualquier
archivo del directorio
personal del usuario
propiedad de la anterior
grupo primario del usuario
será propiedad de este nuevo
grupo.

El propietario del grupo de

archivos fuera del directorio
home del usuario debe
definirse manualmente.

-G, -- groups Grupo 1 [,

grupo2, ... [, Groupon]]]
Una lista de grupos
suplementarios del que el
usuario es también un
miembro. Cada grupo se
separa de la siguiente por
una coma, sin dejar el
espacio en blanco. Los
grupos están sujetos a las
mismas restricciones que
recibió el grupo con la
opción-g. Si el usuario es
miembro de un grupo que no
está en la lista, el usuario
será eliminado del grupo.
Este comportamiento puede
ser cambiado a través de la
opción-a, que añade el
usuario a la actual lista de
grupos adicionados.

-L, -- login nuevo inicio de

sesión
El nombre del usuario se
cambiará para un nuevo
inicio de sesión. No hay
cambios. Probablemente, el
directorio home del usuario
debe cambiarse renombrarse
manualmente para reflejar el
nuevo inicio de sesión.

-L, -- lock
Bloquea la contraseña de un
usuario. Esto pone un '!' en
frente de la contraseña
cifrada, desactivando
efectivamente la contraseña.
No se puede utilizar esta
opción con las opciones -p o-
U. Nota: si desea bloquear la
cuenta (no sólo el acceso con
una contraseña), también
puede debe establecer el
EXPIRE_DATE a 1.

-M, --move—home
Mueve el contenido del
directorio personal del
usuario del directorio home a
una nueva ubicación. Esta
opción sólo es válida en
combinación con la opción-d
(o --home) usermod tratará
de adaptar la propiedad de
los archivos y y los atributos
extendidos, pero los cambios
manuales pueden ser que sea
necesario realizarlos después.

-O, -- non-unique
Cuando se utiliza con la
opción-u, esta opción le
permite cambiar el usuario ID
a un valor que no es único.

-P, -- password CONTRASEÑA

La contraseña cifrada,
devuelto por la encriptación.
Nota: No se recomienda esta
opción porque la contraseña
(o contraseña cifrada) será
visible por los usuarios que
estén en ese momento
listando los procesos.

La contraseña se escribirá en
el local / etc / passwd oen el
archivo / etc / shadow. Esto
pudiera ser diferente según
se tenga configurado la base
de datos de las contraseñas
en la configuración de PAM.
Debe asegurarse de que la
contraseña respeta la política
de contraseñas del sistema.

-s, -- shell SHELL

El nombre del nuevo shell de
inicio de sesión del usuario.
Si se deja este campo en
blanco hace que el sistema
seleccione como el shell de
inicio de sesión el que se
encuentra por defecto.

-U, -- UID UID

Permite indicar un nuevo
valor numérico de
identificación del usuario.
Este valor debe ser único, a
menos que se utilice la
opción-o. El valor debe no
puede ser negativo. Los
valores comprendidos entre 0
y 999 son típicamente
reservados para las cuentas
del sistema. El buzón del
usuario y los archivos que
son propiedad del usuario y
que son ubicados en el
directorio home del usuario
tendrá el ID de usuario del
archivo será cambiado
automáticamente. La
propiedades de los archivos
fuera del directorio personal
del usuario debe ser fijada de
forma manual.

-U, --unlock
Permite desbloquear la
contraseña de un usuario.
 Esto elimina el '!' en frente
de la contraseña cifrada. No
puede utilizar esta opción
con-p o-L. Nota: Si se desea
desbloquear la cuenta (no
sólo el acceso con la
contraseña), también debe
establecer el EXPIRE_DATE
(por ejemplo, para 99999, o
al valor de expiración en / etc
/ default / useradd).

-Z, -- selinux -user SEUSER

6. De acuerdo con la siguiente tabla, complete la clasificación de los

archivos de control y seguridad para usuarios y grupos en un sistema
GNU/Linux especificando en ellos sus funciones y/o características,
así:

Archivo Funciones / Características

etc/passwd El archivo / etc / passwd almacena
información esencial, que se requiere durante
el inicio de sesión.
etc/shadow En este fichero almacenamos las contraseñas
cifradas y nos da información sobre caducidad
y validez de la cuenta.
etc/group Contiene los nombres de los grupos y una lisa
de los usuarios que pertenecen a cada grupo.
etc/gshadow Está aquí: Home Shell Linux Administración
Gestión de usuarios /etc/gshadow

Categoría: Gestión de usuarios

/etc/gshadow
Las características del fichero /etc/gshadow
son similares a las del fichero /etc/group
salvo unas peqeuñas diferencias.

En este fichero existe una campo más que es

el de los administradores del grupo; estos
usuario podrán añadir, quitar usuarios del
grupo, modificar la contraseña del grupo y
deshabilitar el acceso mediante newgrp.
/etc/login.defs En el archivo de configuración /etc/login.defs
están definidas las variables que controlan los
aspectos de la creación de usuarios y de los
campos de shadow usada por defecto.
 Algunos de los aspectos que controlan estas
variables son:

Número máximo de días que una contraseña

es válida PASS_MAX_DAYS
El número mínimo de caracteres en la
contraseña PASS_MIN_LEN
Valor mínimo para usuarios normales cuando
se usa useradd UID_MIN
El valor umask por defecto UMASK
Si el comando useradd debe crear el directorio
home por defecto CREATE_HOME
.bash_profile El archivo .bash_profile es un archivo de
inicialización personal para configurar el
entorno del usuario. Se ejecuta el
.bash_profile de un usuario cuando ese
usuario inicia su sesión.
.bashrc El archivo .bashrc es un script que se ejecuta
cada vez que se inicia una nueva sesión de
terminal en modo interactivo .
.bash_logout Es el fichero leido por Bash, cuando salimos
del sistema

Actividad grupal:

De forma grupal discutir y consolidar las respuestas a las siguientes

preguntas, cada pregunta debe responderse entre 150 y 200 palabras.

 ¿Qué ventajas tendría la Empresa al establecer permisos específicos a

cada usuario?

Al establecer permisos específicos, la seguridad de la información será

más robusta, es tan importante asegurar un correcto establecimiento de
permisos específicos, que se puede llegar a limitar el acceso de
información vital, lo que supondría una ventaja en cuanto a que no
cualquier persona puede acceder a esta información.

Claramente si solo algunos usuarios pueden editar o borrar la información,

se garantiza que esta no caiga en manos equivocadas o inexpertas que
puedan hacer que los datos vitales sean modificados, borrados o
difundidos de manera no autorizada, lo que de llegar a pasar podría a ser
bastante crítico para el correcto funcionamiento de la compañía, una
pérdida de información puede ocasionar retraso en cientos de procesos,
reinversión de tiempo y esfuerzos, que traducido en otras palabras es
perdida de dinero. Es por ello que la información debe asegurarse en todos
los medios posibles y esta es una práctica que limita el acceso a la misma.
 ¿Qué desventajas tendría la Empresa al establecer permisos
específicos a cada usuario?

Se podría decir que una de las desventajas sería el impacto que genera
la rotación de personal, debido a que cada vez que una persona cambie
de cargo de funciones o abandone la compañía estos permisos deberán
modificarse, esto sumado a la cantidad de personas que laboran en la
compañía, generaría un gran desgaste del departamento de IT, dar o
quitar permisos a cada uno de ellos, es mejor dar permisos a un grupo
de usuarios y no a cada uno de ellos, adicionalmente si no se cuenta
con un correcto esquema de permisos y un correcto seguimiento a los
mismos, se podrían dejar de hacer algunas de las funciones que tienen
asignadas cada uno de los colaboradores o también con el riesgo de
que estas tareas se realicen de forma incompleta. Es así que antes de
asignar los permisos requeridos, se haga un análisis completo de todos
los permisos que se le van a asignar a cada grupo de usuarios para
así asegurar que las tareas asignadas se cumplan a cabalidad y por
quienes deben ser ejecutadas.

 ¿Cree que es importante documentar un procedimiento de asignación

de usuarios y permisos con el fin de evitar inconvenientes en caso de
reemplazo del funcionario encargado del área de Sistemas?

Claro que sí, todo procedimiento debe ser documentado para

garantizar el correcto funcionamiento de la operación, aun cuando el
encargado del área de sistemas sea reemplazado, puesto que sin una
correcta documentación podrían generarse reprocesos, pérdida de
tiempo y dinero que se podrían haber ahorrado con el aseguramiento
de esta información, por otro lado el documentar un procedimiento no
solo garantiza la información en esta eventualidad, sino que también
sirve de apoyo para la inducción del nuevo personal del área de
sistemas, lo cual dinamizaría tiempos y se lograría dar un manejo sin
un mayor impacto en la operación. Es de resaltar que esta información
del procedimiento de asignación de usuarios y permisos debe ser
auditada y aprobada para que se muestre en ella todo el proceso
llevado a cabo, para que al realizarlo según lo descrito, se pueda
cumplir a cabalidad un arreglo o una nueva asignación de estos
permisos.
 ¿Es importante asignar permisos a archivos de manejo confidencial en
la Empresa?

Los permisos de archivos vitales para la empresa siembre deben estar

controlados, de tal forma de que no cualquier persona pueda acceder
a los mismos, puesto que una buena configuración en los permisos
puede evitar que una persona con no muy buenas intenciones realice
modificaciones a los archivos de la empresa, lo cual generaría perdida
 o fuga de información; de tal modo que una buena gestión de los
permisos asignados a los archivos es una acción que ayuda a mejorar
la seguridad de la información.
Es claro entonces que es importante asignar permisos a archivos de
manejo confidencial en la empresa, estos permisos deben ser
asignados solamente a personal capacitado y de confianza para la
compañía, estos archivos no solo deben asegurarse de esta forma sino
que también deben estar cifrados para su acceso, y deben tener una
copia de respaldo en caso de pérdida de información, secuestro de
información o modificación no autorizada.

La idea es que cada estudiante reflexione y discuta cada interrogante de

manera tal que se pueda consolidar la respuesta a cada pregunta.
 CONCLUSIONES

 Es importante establecer parámetros de seguridad de la información,

como por ejemplo la asignación, de permisos, grupos, usuarios, para
que así la información llegue a codificada a las manos indicadas.
 No se puede dejar una puerta abierta a la integridad de los datos, esto
ocasionaría daños difíciles de solucionar, que de haber sido controlados
a tiempo se podrían haber evitado o solucionado de forma pronta y
eficaz.
 No todos los usuarios de una compañía deben tener acceso a la
información total, así como esta información no puede y no debe ser
compartida con terceros que puedan o no tener buenas intenciones.
 BIBLIOGRAFÍA

Sacristán, J. I. P. (2001). Servicios y permisos. Linux Actual: la primera

revista en castellano del sistema operativo Gnu/Linux, 3(19), 67-70.

Gómez, L. J., & Gómez, L. O. D. (2014). Administración de sistema

operativos. (Páginas. 202 - 205). Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/62479?page=202

Torres, E. F., & Pizarro, G. A. M. (2017). Linux para usuarios. (Páginas. 333
- 338) Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/49434?page=333

Gómez, L. J., & Gómez, L. O. D. (2014). Administración de sistema

operativos. (Páginas. 219 - 221). Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/62479?page=219