GESTION DE SERVIDORES

TAREA 7
PLAN DE ADMINISTRACION

PROFESOR: Dr. Abimael Antonio Pineda

NOMBRE: Joel Rodriguez Ramos
ID : 00691176
PLAN DE ADMINISTRACION 50 USUARIOS DE UNA
EMPRESA MAQUILADORA DE PANTALONES DE
MEZCLILLA
Linux es un sistema multiusuario; esta característica permite proporcionar servicio y
procesamiento a varios usuarios de forma simultánea. Por esta razón, manejar correctamente
sus usuarios y grupos es un tópico esencial en la administración de sistemas Linux. En este
tutorial incluimos conceptos como: añadir y borrar usuarios/grupos, añadir usuarios a grupos
específicos y le brindamos consejos importantes que le ayudarán a una administración
eficiente y óptima de sus usuarios y grupos.

Los comandos mencionados durante este tutorial asumen que usted es el usuario root. Si tiene
privilegios de superusuario utilice el prefijo sudo antes de cada comando.

Administración de usuarios
Crear un nuevo usuario (Creamos los 50 usuarios
necesarios)
Para agregar un usuario nuevo, puede ejecutar alguno de los siguientes
comandos:

adduser nuevousuario

useradd nuevousuario

Tenga en cuenta que por defecto, esta acción creará un grupo del mismo
nombre (nuevousuario), es decir que el identificador de usuario UID y el
identificador de grupo GID serán iguales. Además se creará el directorio
principal del usuario: /home/nuevousuario (por defecto).

Si quiere incluir al usuario en un grupo justo al momento de crearlo puede

utilizar:

useradd nuevousuario -g grupoprincipal

El parámetro -g añade el grupo principal del nuevo usuario. ¡Recuerde que

el grupo especificado debe existir! ¿Qué ocurre entonces si nuestro
usuario debe estar en más de un grupo? También tiene la opción de
agregar grupos secundarios usando la opción -G seguido del grupo
secundario. Si requiere más de un grupo secundario, puede agregar dos o
más grupos separándolos por comas. Por ejemplo:

useradd nuevousuario -g grupoprincipal -G

gruposecundario1,gruposecundario2

Otra opción útil de este comando es cuando se especifica un directorio

principal distinto:

useradd -d /home/otrodirectorio

Para llevar un control más claro de cada usuario, y debido a que el nombre
de usuario podría no proporcionar información suficiente, puede
especificar el nombre completo del usuario usando la opción -c, por
ejemplo:

useradd -c "Julia Schneider" julia

Establecer contraseñas
Una vez que cree un nuevo usuario (o en cualquier momento que
considere necesario), es hora de crear una contraseña asociada a dicho
usuario. Siempre se recomienda usar contraseñas con un nivel de
seguridad alto:

• Combine letras mayúsculas, minúsculas y números.

• No use secuencias de números.
• Agregue signos como /, *, -, +, _, ?, ..

El comando utilizado para establecer contraseñas es passwd seguido por el

nombre del usuario. Por ejemplo, para establecer la contraseña del
usuario julia utilice:

passwd julia
Asi le haremos para los 50 usuarios de la empresa.

Su shell le pedirá que indique la contraseña y que luego la confirme. Por

seguridad Linux no muestra su contraseña ni caracteres ocultos mientras
escribe, así que debe hacerlo con cuidado. A continuación un ejemplo de
la salida en su terminal al usar el comando anterior:

Changing password for user julia.

New password:

Retype new password:

passwd: all authentication tokens updated successfully.

Existen opciones que puede utilizar junto con el comando passwd para
bloquear la contraseña (-l o --lock), desbloquearla (u o --unlock) e incluso
para establecer el tiempo máximo de vida de la contraseña: --maximum=DÍAS.

Por ejemplo, si desea que la contraseña del usuario julia expire en 90

días:

passwd --maximum=90 julia

Sabrá que el procedimiento fue exitoso si ve un mensaje similar al

siguiente:

Adjusting aging data for user julia.

passwd: Success

Otras operacione
Comando usermod
Con el comando usermod se pueden realizar varios cambios en la
configuración de los usuarios del sistema. Algunos ejemplos a
continuación.

• Para cambiar el nombre de inicio de sesión de un usuario:

• usermod -l nombreantiguo nombrenuevo

• Para cambiar el directorio /home de un usuario utilice:

• usermod -d /nuevo/directorio -m nombredeusuario

• Para agregar el usuario a otros grupos suplementarios:

• usermod -G grupo1,grupo2,grupo3

• Use el parámetro --expiredate seguido por la fecha en formato

AAAA-MM-DD para establecer la fecha de expiración de la cuenta
de usuario:

• usermod --expiredate 2017-01-02 nombredeusuario

• Para bloquear la contraseña de un usuario:

• usermod --lock nombredeusuario

• Para desbloquear la contraseña de un usuario:

• usermod --unlock nombredeusuario

Borrar una cuenta de usuario

Para borrar una cuenta de usuario, debe utilizar el comando userdel.
Recuerde que debe ser usuario root para ejecutar la acción:
userdel nombredeusuario

El comando arriba borraría únicamente la cuenta del

usuario nombredeusuario, pero no elimina los archivos asociados a este
usuario.

Utilice el siguiente comando con cuidado: si desea borrar la cuenta de

un usuario, y además forzar la eliminación del directorio principal y de
todos sus archivos (incluso si el usuario está activo o los archivos están en
uso):

userdel -rf nombredeusuario

Mostrar los grupos a los cuales pertenece un usuario

Puede usar los siguientes comandos para identificar los grupos a los
cuales pertenece un usuario en particular:

groups nombredeusuario

id nombredeusuario

Comando chage
El comando chage (change age) cambia el número de días entre los cuales
debe cambiar la contraseña. Cuando el usuario inicie sesión, aparecerá un
mensaje indicando que debe cambiar la contraseña antes de que expire.

Si su servidor no posee la utilidad chage puede instalarla usando:

apt-get install chage

Para Debian/Ubuntu.

yum install chage

Para RHEL/Fedora/CentOS.

Para ver información con respecto a la contraseña de un usuario ejecute:

chage --list nombredeusuario

A continuación un ejemplo de salida para un usuario cuya información de

contraseña no ha sido editada:

Last password change : Jul 27, 2016

Password expires : never

Password inactive : never

Account expires : never

Minimum number of days between password change : 0

Maximum number of days between password change : 99999

Number of days of warning before password expires : 7

Para establecer el número de días máximo para la expiración de la

contraseña utilice la opción -M seguido del número de días. Por ejemplo:
digamos que quiere que la contraseña expire cada 90 días:

chage -M 90 nombredeusuario

Esto es equivalente al comando utilizado con useradd anteriormente.

Para establecer una contraseña como vencida o expirada, utilice el

siguiente comando. Este es especialmente útil cuando usted es el
administrador de un sistema Linux, y desea mantener la privacidad del
usuario en cuestión.
chage -d 0 username

De esta manera, la próxima vez que el usuario inicie sesión, se le pedirá

que cambie su contraseña. Establecer fechas de expiración de
contraseñas es una buena práctica que se recomienda aplicar a todos los
usuarios del sistema.

Archivos importantes
/etc/passwd
Es la base de datos de usuarios en el sistema. Toda la información de
usuarios locales se almacena en texto plano bajo este archivo. Cada línea
representa un usuario y tiene siete campos separados por el signo de dos
puntos (:).

Cuenta (nombre de usuario) : Contraseña : UID (ID de usuario) : GID (ID de

grupo) : GECOS (campo opcional con propósitos informativos) : Directorio

(directorio principal o home del usuario) : shell (ruta al shell

predeterminado, campo opcional)

Para ver el contenido en este archivo puede ejecutar:

cat /etc/passwd

Se muestra una línea de ejemplo:

julia:x:504:506:Julia Schneider:/home/julia:/bin/bash

/etc/shadow
Este archivo almacena las contraseñas reales de cada usuario en formato
encriptado. Además almacena cierta información relacionada con la
cuenta de usuario. La explicación del contenido de este archivo se escapa
del alcance de este tutorial, pero su disposición es muy similar a la del
archivo passwd. Se muestra en el siguiente ejemplo una línea del
archivo shadow:

julia:Z9B3Qve$f7tlKI8Shimc9ZDx.7KQGFBxFUrAX2xzMEOJVJ7YcEhePU5cR8Lo09V25aF

bWe51eu3047K7kTlQJ3LG1K15y1:17043:0:90:7:::

Administración de grupos
Linux utiliza grupos para organizar los usuarios. Estos simplemente son
conjuntos de cuentas de usuarios que comparten ciertos permisos. A todos
los usuarios se les asigna un identificador de usuario (uid) y de grupo (gid).
Administrar correctamente sus grupos es de gran importancia.

Lista de grupos disponibles

Para enumerar los grupos disponibles en su sistema, puede utilizar el
archivo /etc/group. Verá una lista de los grupos disponibles en el orden en
el cual fueron agregados, los primeros de la lista son los grupos básicos
del sistema:

root:x:0:

bin:x:1:bin,daemon

daemon:x:2:bin,daemon

sys:x:3:bin,adm

adm:x:4:adm,daemon

...
Los grupos del sistema están identificados con los GIDs 1-499
(identificadores de grupo reservados para el sistema). El grupo más
importante es root, el cual otorga administración y control total del sistema.

Crear un nuevo grupo

Para crear un grupo nuevo utilice:

groupadd nombredelgrupo

Para crear un nuevo grupo del sistema añada el parámetro -r al

comando groupadd:

groupadd -r nombredelgrupo

Modificar los ajustes del grupo

El comando groupmod permite hacer algunos cambios a los grupos
disponibles.

Para cambiar el nombre de un grupo utilice:

groupmod -n gruponuevo grupoantiguo

Agregar y remover usuarios a un grupo con

gpasswd
Puede agregar usuarios a un grupo utilizando:

gpasswd -a nombredeusuario nombredegrupoPara remover un usuario de un

grupo al cual pertenece:

gpasswd -d nombredeusuario nombredegrupo

Borrar grupos
Para borrar un grupo simplemente ejecute:

groupdel nombredelgrupo

Permisos y propiedades de usuarios y grupos

A medida que crea usuarios y grupos, lo más probable es que desee
determinar los permisos y propiedades de estos dentro del sistema de
archivos.

Si un usuario es el administrador del sistema, y requiere permisos root se

recomienda que dicho administrador tenga su propio usuario y que ejecute
los comandos que requieran privilegios de superusuario usando el
prefijo sudo.

Permisos
La lectura, escritura y ejecución son los tres parámetros principales de los
permisos. Debido a que los usuarios se disponen en grupos cuando sus
cuentas son creadas, también puede especificar si ciertos grupos pueden
leer, escribir o ejecutar un archivo.

Algunas de las operaciones que requieren privilegios root incluyen: crear,

remover y administrar cuentas de usuario; remover o modificar archivos
del sistema; reiniciar servicios del sistema. En contraste, un usuario regular
puede ejecutar operaciones como: ejecutar un cliente de red; operar
archivos para los cuales tiene los permisos apropiados; instalar algunos
paquetes de software; entre otros.

Cómo identificar los permisos y propietarios

de los archivos y directorios del sistema
Para aprender a identificar los atributos de un archivo/directorio y
determinar cuáles son los permisos y propietarios siga los siguientes
pasos:
1. Diríjase a un directorio de su preferencia y ejecute el comando ls -
l. Observe el siguiente ejemplo:

Al ejecutar el comando, veremos una lista de los archivos y

subdirectorios que contiene el directorio actual (pwd). En este ejemplo
podemos ver el script AnalisisRed.sh acompañado de varios
parámetros que iremos entendiendo a lo largo del tutorial.
El tercer parámetro indica el usuario al cual pertenece el
archivo: rubencs. El parámetro que le sigue indica el grupo
propietario del archivo: operadoresred. Este último parámetro
podría ser igual al usuario si este no está asociado a ningún grupo.
2. El siguiente parámetro que debemos ver con cuidado es la
secuencia -rw-rw-r--, ¿Alguna vez se ha preguntado qué significa
cada una de estas letras?, hay que mirarlo paso a paso:
o Esta secuencia contiene diez (10) caracteres que indican los
permisos del archivo o directorio. Para entenderlo debemos
dividir la secuencia en el primer carácter y tres grupos de tres
caracteres. Miremos más de cerca el archivo del ejemplo:

Tal como se observa en la imagen arriba, el primer carácter

indica el tipo de archivo. El primer grupo revela los permisos
del usuario propietario del archivo, el siguiente muestra los
permisos del grupo propietario y el último grupo indica los
permisos que regirán al resto de los usuarios.
Cada una de las letras indica el tipo de permiso, y cada grupo
de tres caracteres está ordenado en la forma rwx, así:
 ▪ r indica read o permiso de lectura;
▪ w indica write o permiso de escritura;
▪ x indica execute o permiso de ejecución.
▪ - el guion indica que el archivo o directorio carece del
permiso correspondiente en dicha posición. Por
ejemplo, si en el grupo de permisos del propietario
aparece r--, significa que el usuario propietario solo
tiene permisos para leer o visualizar el archivo.
o Tipos de archivo
Tal como se mencionó, el primer parámetro indica el tipo de
fichero, existen tres principales:
▪ - indica un archivo regular;
▪ d indica directorios o carpetas;
▪ l o link indica que es un enlace simbólico;
o Permisos de lectura
Este permiso indica que el usuario puede leer o visualizar el
contenido de un archivo. Si un usuario tiene permiso de lectura
de una carpeta, entonces este podrá ver el contenido de dicho
directorio. Para el caso de nuestro ejemplo:

o Permisos de escritura
Los permisos de escritura en un archivo simplemente indican
que el usuario puede modificar el contenido del archivo y sus
permisos usando chmod o chown. El usuario también podrá
eliminar el archivo si tiene permisos de escritura. Cuando el
permiso aplica a un directorio, el usuario puede modificar el
contenido dentro de dicho directorio e incluso eliminarlo. Para
 nuestro ejemplo:

o Permisos de ejecución
El permiso de ejecución se explica por sí solo: un usuario
puede ejecutar un archivo solo si posee este tipo de permisos
(los archivos ejecutables son las aplicaciones y scripts). En
nuestro ejemplo, el archivo AnalisisRed.sh es un script,
veamos quiénes poseen permisos para ejecutarlo:

En resumen, nuestro archivo puede ser leído por cualquier

usuario, modificado por el propietario y el grupo, y no puede
ser ejecutado por nadie. En la próxima sección aprenderá
cómo cambiar estos permisos.

Usar referencias binarias para configurar

permisos
Otra manera muy común de denominar y configurar permisos es usando
referencias binarias. Para entender cómo funcionan estas referencias,
recuerde que los permisos están dados por tres caracteres rwx y que
existen tres grupos establecidos para otorgar permisos (propietario, grupo
y resto de los usuarios).

Tenga en cuenta que un permiso en forma binaria está representado

por tres números enteros: el primer número representa los permisos del
propietario, el segundo representa los permisos de grupo; y el último
número representa los permisos del resto de los usuarios. Los números
son una representación binaria de los caracteres rwx asignando a cada
letra un valor:

• r=4
• w=2
• x=1

Para obtener el número entero que representa cada conjunto de permisos,

debe sumar los permisos que desea habilitar para cada conjunto. Si algún
permiso no será habilitado no sumará el entero correspondiente a dicho
permiso. Por ejemplo, digamos que un archivo posee los siguientes
permisos:

-rwxrw-r--

El usuario tiene todos los permisos habilitados (rwx), por lo que debe
sumar 4+2+1 = 7. Solo están habilitados los permisos de lectura (r) y
escritura (w) en los grupos, por lo tanto, el número entero que identificará
los permisos de grupos será 6 (4+2+0). Finalmente, el resto de los
usuarios solo puede leer (r) el archivo, este conjunto de permisos se
representará entonces con 4 (4+0+0). Así, los permisos de este archivo
estarán representados con el número 764.

Cómo configurar/cambiar los permisos de

archivos y directorios
Hay distintos métodos que puede utilizar para cambiar los permisos y
propietarios de un archivo o directorio. La explicación y comprensión de
las referencias binarias facilitará este proceso:

1. Para cambiar los permisos a través de la línea de comandos se

utiliza chmod con la siguiente sintaxis:
2. chmod [permisos] nombre_del_archivo

Puede especificar los permisos a través de una representación

binaria, o utilizando la letra inicial a quién va dirigido el permiso
(usuario=u; grupo=g; otros=o; todos=a del inglés all); seguido del
signo + (agregar) - (quitar); y finalmente el permiso
correspondiente r/w/x. Ejemplos:

chmod u+x AnalisisRed.sh

Otorga el permiso de ejecución al usuario.

chmod g-r AnalisisRed.sh

Revoca el permiso de lectura al grupo.

chmod o-w AnalisisRed.sh

Revoca el permiso de escritura al resto de los usuarios.

chmod a+rw AnalisisRed.sh

Otorga el permiso de lectura y escritura a todos los usuarios.

chmod 740 AnalisisRed.sh

Otorga al usuario todos los permisos (rwx); a los grupos solo el

permiso de lectura (r); y ningún permiso al resto de los usuarios. Este
último método es el más sencillo y recomendable.

3. Para cambiar la asignación de propiedad del usuario o grupo de un

archivo (o directorio) se utiliza:

4. chown usuario:grupo nombre_del_archivo

Simplemente se indica cuál usuario y cuál grupos serán propietarios

de dicho archivo.
 5. Si solo desea cambiar el grupo propietario puede utilizar chgrp
nuevo_grupo nombre_del_archivo.

6. Siguiendo con el ejemplo anterior hagamos un par de cambios y

veamos cómo afectan los atributos del archivo:

7. chown rubencs:administradores AnalisisRed.sh

8. chmod 700 AnalisisRed.sh

El primer comando mantuvo a rubencs como el propietario del

archivo, pero definió un nuevo grupo propietario: administradores.
El segundo comando otorga todos los permisos a rubencs como
propietario del archivo, y revoca todos los permisos a los grupos y
otros usuarios.
Si volvemos a usar ls -l para visualizar los permisos del archivo,
podremos ver los cambios:

[root@centos rubencs]# ls -l

total 4

-rwx------ 1 rubencs administradores 107 Aug 1 15:56 AnalisisRed.sh

Ahora el propietario (rubencs) será capaz de visualizar, modificar y

ejecutar el script. Ningún otro usuario (excepto root) tendrá acceso
al archivo.

Consejos
Al administrar un sistema Linux debe ser muy cauteloso con respecto a la
asignación de permisos y propietarios de sus archivos y directorios. La
recomendación general es conceder la menor cantidad de permisos
posibles a un usuario. ¡Los permisos de escritura y ejecución pueden ser
peligrosos si no administran con cuidado!

Recuerde ser consecuente en la asignación de permisos, de lo contrario

podría ocasionar contradicciones. Por ejemplo: Digamos que otorga
permisos de lectura del archivo HolaChile.txt al grupo "Administradores".
Pero el directorio que contiene el archivo HolaChile.txt no posee permisos
de lectura para ese grupo, o es propiedad de un grupo distinto. Si esto
ocurre, el grupo "Administradores" no podrá acceder al directorio donde se
encuentra el archivo -y por lo tanto- no será capaz de usarlo.

Además, es importante mantener una organización apropiada de los

grupos y usuarios. Siempre que cree un usuario nuevo inclúyalo en el
grupo adecuado.

Para ver una lista de los grupos en su sistema, incluyendo los usuarios que
pertenecen a cada grupo, puede utilizar:

sudo cat /etc/group

BLIBLIOGRAFIA
Bauer, M. (2005). Linux Server Security (2nd ed.). O’Reilly Media.

Von Hagen, W., & Jones, B. J. (2006). Linux Server Hacks: v. 2: Tips & tools for

connecting, monitoring, and troubleshooting. O’Reilly Media.