SISTEMAS LINUX: CONFIGURACIÓN Y ADMINISTRACIÓN

GESTIÓN DE USUARIOS Y GRUPOS

Archivos y directorios de gestión y configuración

1. INTRODUCCIÓN
2. FICHERO: /ETC/PASSWD
3. FICHERO: /ETC/SHADOW
4. FICHERO: /ETC/GROUP
5. DIRECTORIO: /ETC/SKEL/

1
UNIX-LINUX Gestión de usuarios y grupos.

1. INTRODUCCIÓN.
Algunos ficheros y directorios de configuración implicados en la gestión de usuarios y
grupos son los siguientes:
FICHEROS DIRECTORIOS
/etc/passwd /etc/skel/
/etc/shadow
/etc/group

Siendo que la información de los usuarios y grupos del sistema se almacenan en estos
ficheros, es importante conocer su localización y conocer la estructura de los mismos.

2. FICHERO: /ETC/PASSWD
 Una hojeada al fichero /etc/passwd nos mostrará la mayoría de las características propias
de las cuentas de usuario o del sistema. Cada línea de este archivo representa una
cuenta de usuario y consta de 7 campos delimitados por el signo dos puntos “:”.
 Los 7 campos de cada línea corresponden a la siguiente información:

Cuenta de usuario (username). Es el nombre asignado como identificador del inicio de sesión
(login). Tiene que ser único. La mayoría de las cuentas de usuario están formadas por letras
minúsculas y, ocasionalmente, números. Sin embargo, otros caracteres que podemos utilizar
son los guiones bajos (_) y los guiones (-), así como poner el símbolo de dólar ($) al final.
Además de las cuentas normales, podemos ver cuentas especiales del sistema (daemon, sys,
nobody, mail,…). Se trata de los llamados pseudo-usuarios creados por el sistema para asig-
narles privilegios sobre determinados ficheros, directorios, aplicaciones, etc.:

2
UNIX-LINUX Gestión de usuarios y grupos.

Contraseña (password). Este campo contiene una X que indica que la contraseña está
guardada en el fichero /etc/shadow. Las cuentas de usuario suelen estar protegidas por
2
contraseña, que es obligatoria para poder iniciar sesión en el ordenador.

UID (User ID). La cuenta de usuario no es más que una etiqueta. El sistema utiliza un número
de identificación de usuario para registrar las cuentas. Los UID comienzan desde el 0 y pueden
llegar hasta 4.294.967.295 en los sistemas modernos. En la mayoría de las distribuciones, las
cuentas de usuario se numeran a partir de 1000, dejando los números inferiores para cuentas
3 del sistema. Algunas cuentas del sistema tienen prefijado su UID siendo el mismo en todas las
distribuciones (por ejemplo, root siempre tiene asignado el 0); sin embargo, otras cuentas del
sistema pueden tener prefijado un valor distinto según la distribución (por ejemplo, nobody
suele tener asignado el 65534 en Ubuntu, pero en Fedora, CentOS se le asigna el 99).

GID (Group ID). Las cuentas están vinculadas a uno o varios “grupos”, que se parecen a las
propias cuentas en muchos aspectos. Sin embargo, un grupo es una colección de cuentas de
usuario. Uno de los propósitos principales de los grupos consiste en hacer posible que
4 usuarios den permiso para que ciertos usuarios accedan a sus archivos, al tiempo que evitan
que otros usuarios lo hagan. Cada cuenta está vinculad directamente a un grupo principal por
medio de un número GID.

Comentarios (Comment field). Incluye hasta 5 informaciones distintas separadas por coma:
Nombre completo
Dirección de la oficina
Teléfono de la oficina
5 Teléfono de casa
Observaciones

Directorio de inicio (Home directory). El directorio de inicio (directorio home, directorio per-
6 sonal, directorio de conexión, como lo queramos llamar).

Interprete de comandos predeterminado (Default Shell). Todas las cuentas tienen un

intérprete de comandos asociado de forma predeterminada. Esto es, el nombre completo del
proceso que se arrancará automáticamente para el usuario en el momento en que se
identifique (login). En Linux suele ser Bash (/bin/bash), pero cada usuario individual lo puede
7 cambiar si así lo desea.

3. FICHERO: /ETC/SHADOW
En otros tiempos toda la información del usuario y su contraseña cifrada se almacenaban en el
archivo /etc/passwd (de ahí su nombre). Dado que ese archivo podía ser leído por todo el
mundo, el hecho de que las contraseñas (aunque cifradas) estuviesen en él, se vio claramente
que se trataba de un agujero de seguridad.

Para evitar este riesgo, se usan las Shadow passwords, para que únicamente aparezca una X
en el campo contraseña de /etc/passwd y las contraseñas reales estén guardadas en
/etc/shadow, un archivo que sólo puede leer el administrador del sistema lo que añade una
útil capa de protección.

3
UNIX-LINUX Gestión de usuarios y grupos.

Vamos a observar los campos del fichero /etc/shadow

Línea de ejemplo:

Los campos separados por dos puntos (:)

1 Nombre del inicio de sesión (login), esto es, la cuenta del usuario. Observar que no se
usa el UID.

2 Contraseña cifrada. La contraseña se almacena cifrada, así que el registro no se parece

en nada a la contraseña real. Un asterisco (*) o una exclamación de cierre (!) denotan
que una cuenta carece de contraseña, es decir, que la cuenta no acepta inicios de sesión,
que está bloqueada.

3 Último cambio de contraseña. Es la fecha del último cambio de contraseña. Se guarda

como el número de días que han transcurrido desde el 1 de enero de 1970. Esta fecha de
conoce en los círculos Unix como epoch (Tiempo de época)

4 Duración mínima de la contraseña. Es el número de días que deben pasar antes de

poder cambiar la contraseña. Si la dejamos a 0 el usuario podrá cambiar la contraseña
todas las veces que quiera en el mismo día.

5 Duración máxima de la contraseña. El número de días que deben pasar desde el

último cambio de contraseña hasta que sea obligatorio cambiarla de nuevo. Se puede
establecer para forzar el cambio de una contraseña recién asignada y conocida por el
administrador del sistema. Valor por defecto 99999 (indefinido)

6 Plazo de aviso antes de que expire la contraseña. Si nuestro sistema está configurado
para que las contraseñas expiren, podemos establecer unos días de plazo para que avise
al usuario de que se acerca la fecha en que deberá cambiar la contraseña. Valor por
defecto 7 días

7 Días entre la expiración y la desactivación de la cuenta (Días de gracia). Linux

permite establecer un margen entre la expiración de una cuenta y su completa
desactivación.

8 Fecha de expiración. Muestra la fecha de expiración de la cuenta. Se guarda como el

número de días transcurridos desde el 1 de enero de 1970.

4
UNIX-LINUX Gestión de usuarios y grupos.

4. FICHERO: /ETC/GROUP
Los grupos son colecciones de cuentas de usuarios. Estos quedan definidos en el fichero
/etc/group. Vamos a observar los campos del fichero /etc/group

Ejemplo:

Tenemos 4 campos separados por dos puntos (:)

1 Nombre del grupo. El primer campo especifica el nombre del grupo.

2 Contraseña. Los grupos al igual que las cuentas de usuario, pueden tener contraseñas.
Un valor x significa que la contraseña se encuentra definida en otro lugar, mientras que
un campo vacío indica que el grupo carece de contraseña.

3 GID (Group ID). Linux utiliza los valores GID, al igual que los UID, de manera
interna. La traducción entre los números GID y los nombres de grupo se realiza para
facilitar la vida a los usuarios y administradores.

4 Lista de usuarios. Especifica los usuarios que pertenecen al grupo. Lo hace en forma
de lista delimitada por comas

5. DIRECTORIO: /ETC/SKEL/
Al crear un nuevo usuario lo normal es asignarle un directorio inicial de conexión al mismo.
Este directorio puede ser cualquier lugar arbitrario en el sistema aunque suelen colgar de
/home (por ejemplo: /home/luis). Por esta razón también se le suele denominar “directorio
home” o “directorio personal” del usuario.
Este directorio inicial permite a cada usuario trabajar en un entorno personalizado. En este
directorio, a los usuarios se les permite conservar no sólo sus archivos de configuración sino
también sus archivos de trabajo regular.
El contenido del directorio personal de los nuevos usuarios que creemos dependerá de los
directorios “plantilla” que tengamos definidos como administradores y que especifiquemos en
el momento de crear al nuevo usuario.
El administrador puede tener preparados distintos “directorios plantillas” para distintos tipos
de usuarios (con determinados scripts de arranque; ficheros de configuración del shell y de
otros programas; subdirectorios a modo de esqueleto preparados para distintos cometidos,
etc). Si no especificamos ningún directorio el sistema utiliza el definido por defecto: /etc/skel
Realmente, al crear un usuario y especificar su directorio de conexión, el sistema hará
automáticamente lo siguiente:

5
UNIX-LINUX Gestión de usuarios y grupos.

1. Copia el “directorio plantilla” en la ubicación asignada (por defecto: /home) cambiándole

el nombre por el del nuevo usuario. Por ejemplo:
cp –R /etc/skel /home/luis
2. Luego cambia el propietario y el grupo propietario (chown / chgrp) de forma recursiva
(opción –R) de forma que afecte a todo el contenido del nuevo directorio personal.