Gestionar Usuarios y Grupos en Ubuntu Server 14.04 LTS

GESTIONAR USUARIOS Y GRUPOS - PERMISOS DE ARCHIVOS Y CARPETAS
1
Instituto Tecnolgico de Chilpancingo
Sistemas y Computacin
Ingeniera en Sistemas Computacionales

Gestionar usuarios y grupos en
Ubuntu Server 14.04 LTS
Permisos de archivos y carpetas

Materia: Administracin de Redes

Alumnos: Cardoso de la Rosa Jess
Meja Bello Ulises Adolfo
Silva Jimnez Alejandro
Simn Brito Omar

Chilpancingo, Gro Septiembre del 2014

2
Tabla de contenido

OBJETIVO: ............................................................................................................................................ 3
CONCEPTOS TERICOS ........................................................................................................................ 3
CUENTAS DE USUARIO ........................................................................................................................ 3
TIPOS DE USURIOS .............................................................................................................................. 4
Usuarios normales ........................................................................................................................... 4
Gestionar usuarios y grupos en Ubuntu Server 14.04 LTS .................................................... 5
1. Aadir usuarios y grupos ...................................................................................................... 5
2. Eliminar usuarios y grupos .................................................................................................... 5
3. Modificar usuarios y grupos ................................................................................................ 6
4. Ficheros relacionados con la gestin de usuarios y grupos ..................................... 6
5. Algunos grupos especiales ................................................................................................. 7
6. Lmites a los usuarios ............................................................................................................. 7
Permisos de archivos y carpetas ............................................................................................... 9
Usuario propietario y grupo propietario de un archivo .................................................. 9
Tipos de permisos ....................................................................................................................... 9
Permiso de lectura ............................................................................................................... 10
Permiso de escritura ............................................................................................................ 10
Permiso de ejecucin ......................................................................................................... 11
A quin se puede otorgar permisos? .............................................................................. 12
Visualizar los permisos de un archivo o carpeta............................................................. 13
Cambio de permisos ............................................................................................................... 15
Bibliografa: .................................................................................................................................... 18


3
OBJETIVO:

La presente prctica tiene como objetivo mostrar el proceso de gestin de
usuarios y la asignacin de permisos a archivos y carpetas, ya que esto
ser de gran importancia a la hora de tener privacidad entre usuarios y al
realizar una conexin remota desde un cliente al servidor.

CONCEPTOS TERICOS

LINUX

El sistema Unix es un sistema operativo multiusuario. Linux est basado en el
sistema Unix. Para que mltiples usuarios puedan hacer uso del sistema de
una forma segura y ordenada, es necesario que el sistema disponga de
mecanismos de administracin y seguridad para proteger los datos de
cada usuario, as como para proteger y asegurar el correcto
funcionamiento del sistema.

La administracin de usuarios es una de las partes ms importantes de la
configuracin y mantenimiento de un servidor, adems de estar
directamente relacionada con la seguridad de un sistema Linux, pues los
permisos otorgados a cada uno de los usuarios de un sistema son la clave
al momento de establecer unas polticas de seguridad efectivas.

CUENTAS DE USUARIO

Para poder utilizar el sistema operativo Unix es necesario disponer de una
cuenta de usuario que se compone de nombre de usuario (login) y de
contrasea (password). Las cuentas de usuario son creadas por el
administrador que en Unix es un usuario especial llamado root (ver ms
abajo). Los usuarios debern pertenecer al menos a un grupo de usuarios
ya que obligatoriamente deben tener asignado un grupo principal o grupo
primario.
Cuando un usuario entra en un sistema Unix, debe identificarse indicando
su nombre de usuario (en ingls login) y su contrasea (en ingls password).
Si se equivoca al introducir su nombre o su contrasea, el sistema le
denegar el acceso y no podr entrar.
Una vez se haya identificado de forma satisfactoria, el usuario podr utilizar
el sistema y ejecutar todas las aplicaciones que le sean permitidas, as
como leer, modificar o borrar aquellos archivos sobre los cuales tenga
permiso.

4

Las cuentas de usuario no solo ofrecen al usuario un nombre y una
contrasea, tambin le proporciona una ruta para almacenar sus
documentos y su perfil, generalmente dentro de la carpeta
/home/nombre-usuario y comunmente denominada carpeta home del
usuario, y un intrprete de comandos (shell) que le permitir ejecutar
aplicaciones.

TIPOS DE USURIOS
Usuario root
Tambin llamado superusuario o administrador.
Su UID (User ID) es 0 (cero).
Es la nica cuenta de usuario con privilegios sobre todo el sistema.
Acceso total a todos los archivos y directorios con independencia de
propietarios y permisos.
Controla la administracin de cuentas de usuarios.
Ejecuta tareas de mantenimiento del sistema.
Puede detener el sistema.
Instala software en el sistema.
Puede modificar o reconfigurar el kernel, controladores, etc.

Usuarios normales
Se usan para usuarios individuales.
Cada usuario dispone de un directorio de trabajo, ubicado generalmente
en /home.
Cada usuario puede personalizar su entorno de trabajo.
Tienen solo privilegios completos en su directorio de trabajo o HOME.
Por seguridad, es siempre mejor trabajar como un usuario normal en vez
del usuario root, y cuando se requiera hacer uso de comandos solo de
root, utilizar el comando su.
En las distros actuales de Linux se les asigna generalmente un UID superior
a 500.


5
Gestionar usuarios y grupos en Ubuntu Server 14.04 LTS

Para gestionar los usuario debes usar el comando sudo. Estos son los
comandos:

1. Aadir usuarios y grupos

Para aadir un usuario:
sudo adduser nombreusuario

El sistema pedir alguna informacin adicional sobre el usuario y un
password o clave. Por defecto, se crea un grupo con el nombre del usuario
y ste ser el grupo por defecto. Este comportamiento se configura en
/etc/adduser.conf.

Para aadir un usuario al sistema estableciendo users como su grupo
principal:
sudo adduser --ingroup users nombreusuario

Para ver las opciones de aadir usuarios utiliza el comando man.
sudo man adduser

Para aadir nuevos grupos, cuando el nmero de usuarios es numeroso y
heterogneo y as simplificamos el tema. Esto se hace con el comando
addgroup. Por ejemplo:.
sudo addgroup nombregrupo

Para aadir un nuevo usuario a un grupo existente puedes hacer lo
siguiente:
sudo adduser nombreusuario nombregrupo

Para aadir un usuario existente a un grupo existente puedes usar el mismo
comando:
sudo adduser nombreusuario nombregrupo

2. Eliminar usuarios y grupos

Para eliminar usuarios y grupos se emplean userdel y groupdel
respectivamente. Por ejemplo: Para eliminar el usuario juan:
sudo userdel juan

Si adems se indica la opcin -r, tambin se borrar el directorio personal
del usuario con todo su contenido:

6
sudo userdel -r juan

Para eliminar el grupo profesores:
sudo groupdel profesores

3. Modificar usuarios y grupos

Para modificar las caractersticas de los usuarios y grupos se emplean los
comandos usermod y sudo groupmod. Algunos ejemplos:

Para cambiar el directorio de inicio del usuario juan para que sea
/home/profesores/juan. La opcin -m hace que mueva el contenido del
antiguo directorio al nuevo emplazamiento.
sudo usermod -d /home/profes/juan -m

Para cambiar el grupo inicial del usuario juan para que sea profesores.
sudo usermod -g profesores juan

Para cambiar el nombre del usuario juan. El nuevo nombre es jorge.
sudo usermod -l jorge juan

Para cambiar el nombre del grupo profesores a alumnos.
sudo groupmod -n alumnos profesores

4. Ficheros relacionados con la gestin de usuarios y grupos

Algunos ficheros relacionados con las cuentas de usuario son:

/etc/passwd: contiene informacin sobre cada usuario: ID, grupo principal,
descripcin, directorio de inicio, shell, etc. Tambin contiene el password
encriptado, salvo que se usen shadow passwords.

/etc/shadow: contiene los passwords encriptados de los usuarios cuando
se emplean shadow passwords.

/etc/group: contiene los miembros de cada grupo, excepto para el grupo
principal, que aparece en /etc/passwd.

/etc/skel: directorio que contiene el contenido del directorio de los nuevos
usuarios.


7
5. Algunos grupos especiales

En el sistema existen algunos grupos especiales que sirven para controlar el
acceso de los usuarios a distintos dispositivos. El control se consigue
mediante los permisos adecuados a ficheros de dispositivo situados en
/dev. Algunos de estos grupos son:

cdrom: dispositivos de CDROM. El dispositivo concreto afectado depende
de donde estn conectadas las unidades de CDROM. Por ejemplo,
/dev/hdc.

floppy: unidades de diskette, por ejemplo, /dev/fd0

dialout: puertos serie. Afecta, por ejemplo, a los modems externos
conectados al sistema. Por ejemplo, /dev/ttyS1

audio: controla el acceso a dispositivos relacionados con la tarjeta de
sonido. Por ejemplo, /dev/dsp, /dev/mixer y /dev/sndstat.

Para dar acceso a un usuario a uno de estos servicios, basta con aadirlo
al grupo adecuado. Por ejemplo, para dar acceso al usuario juan a la
disquetera haramos:
sudo adduser juan floppy

Alternativamente, para sistemas pequeos suele ser mejor"desproteger" los
dispositivos adecuados para que todos los usuarios puedan usarlos,
evitando tener que recordar aadir usuarios a los grupos adecuados. Por
ejemplo, para dar acceso de lectura al CDROM (suponiendo que est en
/dev/hdc) y de lectura/escritura a la disketera a todos los usuarios,
haramos:
sudo chmod a+r /dev/hdc
sudo chmod a+rw /dev/fd0*

6. Lmites a los usuarios

En los sistemas UNIX/LINUX existe la posibilidad de limitar recursos a los
usuarios o grupos, por ejemplo, el mximo nmero de logins que puede
realizar simultneamente un usuario, el mximo tiempo de CPU, el mximo
nmero de procesos etc. Estos lmites se controlan en LINUX a travs del
fichero /etc/security/limits.conf. Tambin es posible limitar los tiempos de
acceso a los usuarios. Una de las formas de hacerlo es con el servicio
timeoutd. Este servicio se instala a travs de la distribucin y, una vez
instalado aparece un fichero de configuracin /etc/timeouts. En este

8
fichero de configuracin las lineas en blanco o que comienzan por # no
son interpretadas. El resto de las lneas debe tener alguna de las dos
siguientes sintaxis:

TIMES:TTYS:USERS:GROUPS:MAXIDLE:MAXSESS:MAXDAY:WARN

o bien

TIMES:TTYS:USERS:GROUPS:LOGINSTATUS

Ejemplos de lmites horarios:

El usuario ulises no puede hacer login durante el fin de semana:
SaSu:*:ulises:*:NOLOGIN

Slo el usuario root puede acceder desde las consolas tty1 a tty6:
Al:tty1,tty2,tty3,tty4,tty5,tty6:root:*:LOGIN
Al:tty1,tty2,tty3,tty4,tty5,tty6:*:*:NOLOGIN

Slo el usuario root puede acceder entre las 15:00 y las 16:00h de cada dia:
Al1500-1600:*:root:*:LOGIN
Al1500-1600:*:*:*:NOLOGIN

Una vez que se ha preparado el fichero /etc/timeouts es necesario reiniciar
el servidor timeoutd:

/etc/init.d/timeoutd restart
Stopped /usr/sbin/timeoutd (pid 2412).
Starting /usr/sbin/timeoutd...

Es importante destacar que este proceso no acta durante el proceso de
login lo que da lugar a que, aunque un usuario tenga prohibido el acceso
a una mquina en un momento determinado, inicialmente puede entrar y
slo, una vez que se ejecute el proceso timeoutd, ser expulsado del
sistema. Para conseguir que durante el proceso de login se revisen las
condiciones de timeouts se debe incluir las siguientes lineas en el fichero
/etc/profile:

Comprueba restricciones de timeoutd
/usr/sbin/timeoutd whoami basename \tty\ || exit

Con esta lnea incluso aunque el servicio timeoutd este parado si en el
fichero /etc/timeouts se prohibe el acceso a un usuario ste no podr
entrar en el sistema.

9

Permisos de archivos y carpetas

Usuario propietario y grupo propietario de un archivo

Anteriormente se ha comentado que en Unix todos los archivos
pertenecen obligatoriamente a un usuario y a un grupo. Cuando un
usuario crea un nuevo archivo, el propietario del archivo ser el usuario
que lo ha creado y el grupo del archivo ser el grupo principal de dicho
usuario.

Ejemplo, si un usuario llamado 'pepe' cuyo grupo principal es el grupo
'profesores' crea un nuevo archivo, el propietario del archivo ser 'pepe' y
el grupo propietario del archivo ser 'profesores', o lo que es lo mismo, el
archivo pertenecer al usuario pepe y al grupo profesores.
Obligatoriamente, todos los archivos del sistema pertenecen a algn
usuario y a algn grupo.

Con el comando ls aadiendo la opcin -l (formato largo) podemos
visualizar el usuario propietario y el grupo propietario del archivo, ejemplo:

Mostrar el propietario con el comando ls l

Comprobamos que el usuario propietario es pepe y el grupo
propietario es profesores. La misma informacin podemos verla desde
el administrador de archivos si vamos a la carpeta /home/pepe.

Tipos de permisos

En los Sistemas Unix, la gestin de los permisos que los usuarios y los grupos
de usuarios tienen sobre los archivos y las carpetas, se realiza mediante un
sencillo esquema de tres tipos de permisos que son:


10
Permiso de lectura
Permiso de escritura
Permiso de ejecucin

El significado de estos permisos difiere si se tienen sobre archivos o sobre
carpetas. A continuacin veremos el significado para cada uno de los
casos:

Permiso de lectura

Cuando un usuario tiene permiso de lectura de un archivo significa que
puede leerlo o visualizarlo, bien sea con una aplicacin o mediante
comandos. Ejemplo, si tenemos permiso de lectura sobre el archivo
examen.txt, significa que podemos ver el contenido del archivo. Si el
usuario no tiene permiso de lectura, no podr ver el contenido del archivo.

Cuando un usuario tiene permiso de lectura de una carpeta, significa que
puede visualizar el contenido de la carpeta, es decir, puede ver los
archivos y carpetas que contiene, bien sea con el comando 'ls' o con un
explorador de archivos como Konqueror. Si el usuario no tiene permiso de
lectura sobre la carpeta, no podr ver lo que contiene.

El permiso de lectura se simboliza con la letra 'r' del ingls 'read'.

Permiso de lectura

Cuando un usuario tiene permiso de escritura sobre un archivo significa
que puede modificar su contenido, e incluso borrarlo. Tambin le da
derecho a cambiar los permisos del archivo mediante el comando chmod

11
as como cambiar su propietario y el grupo propietario mediante el
comando chown. Si el usuario no tiene permiso de escritura, no podr
modificar el contenido del archivo.

Cuando un usuario tiene permiso de escritura sobre una carpeta, significa
que puede modificar el contenido de la carpeta, es decir, puede crear y
eliminar archivos y otras carpetas dentro de ella. Si el usuario no tiene
permiso de escritura sobre la carpeta, no podr crear ni eliminar archivos ni
carpetas dentro de ella.

El permiso de escritura se simboliza con la letra 'w' del ingls 'write'.


Permiso de ejecucin

Cuando un usuario tiene permiso de ejecucin de un archivo significa que
puede ejecutarlo. Si el usuario no dispone de permiso de ejecucin, no
podr ejecutarlo aunque sea una aplicacin.

Los nicos archivos ejecutables son las aplicaciones y los archivos de
comandos (scripts). Si tratamos de ejecutar un archivo no ejecutable, dar
errores.

Cuando un usuario tiene permiso de ejecucin sobre una carpeta, significa
que puede entrar en ella, bien sea con el comando 'cd' o con un
explorador de archivos como Konqueror. Si no dispone del permiso de
ejecucin significa que no puede ir a dicha carpeta.

El permiso de ejecucin se simboliza con la letra 'x' del ingls 'eXecute'.

12

Permiso de ejecucin

A quin se puede otorgar permisos?

Los permisos solamente pueden ser otorgados a tres tipos o grupos de
usuarios:

Al usuario propietario del archivo
Al grupo propietario del archivo
Al resto de usuarios del sistema (todos menos el propietario)

Se pueden dar permisos de lectura, escritura, ejecucin combinacin de
ambos al usuario propietario del archivo, al grupo propietario del archivo o
al resto de usuarios del sistema. En Unix no existe la posibilidad de asignar
permisos a usuarios concretos ni a grupos concretos, tan solo se puede
asignar permisos al usuario propietario, al grupo propietario o al resto de
usuarios.

Ejemplo, si disponemos de un archivo llamado 'examen.txt' cuyo
propietario es 'pepe' y cuyo grupo propietario es 'profesores', se pueden
dar permisos de lectura, escritura, ejecucin combinacin de ambos al
usuario 'pepe', al grupo 'profesores' y al resto de usuarios, pero no
podremos dar permisos a otros usuarios distintos de pepe (juan, luis,
pedro,...) ni a otros grupos (alumnos, directivos, personal,...) ya que el
esquema Unix no lo permite.

Supongamos que la siguiente figura representa los permisos de examen.txt:

13

Permisos de archivo

El usuario propietario (pepe) podr leer y escribir en el documento. Los
pertenecientes al grupo profesores podrn leerlo y el resto no podr hacer
nada.

Si deseo que otros usuarios tengan algn permiso sobre el archivo
'examen.txt', no me quedar ms remedio que incluirlos en el grupo
profesores u otorgar el permiso al resto de usuarios pero si hago esto ltimo,
absolutamente todos los usuarios del sistema gozarn del permiso, por eso
no se recomienda salvo que eso sea nuestra intencin.

Para poder cambiar permisos sobre un archivo, es necesario poseer el
permiso de escritura sobre el mismo. El usuario root puede modificar los
permisos de cualquier archivo ya que tiene acceso total sin restricciones a
la administracin del sistema.

Visualizar los permisos de un archivo o carpeta

Con el comando ls -l podemos visualizar los permisos de los archivos o
carpetas. Al ejecutar el comando aparecen todos los archivos, uno por
lnea. El bloque de 10 caracteres del principio simboliza el tipo de archivo y
los permisos.


14

Permisos de archivo

El primer carcter indica de qu tipo de archivo se trata. Si es un guin '-'
significa que se trata de un archivo normal, la letra 'd' significa que se trata
de una carpeta (directory), la letra 'l' significa que se trata de un enlace
(link). Otros valores son s, p, b que se refieren a sockets, tuberas (pipe) y
dispositivos de bloque respectivamente.

Los 9 caracteres siguientes simbolizan los permisos del usuario propietario (3
caracteres), los permisos del grupo propietario (3 caracteres) y los permisos
del resto de usuarios (3 caracteres). Vienen codificados con las letras r, w y
x que se refieren a los permisos de lectura, escritura y ejecucin. Si en lugar
de aparecer dichas letras aparecen guiones significa que se carece de
dicho permiso. Ejemplo, si los diez primeros caracteres son -rw-r----- significa
que es un archivo normal, que el usuario propietario dispone de permisos
de lectura y escritura pero no de ejecucin, que el grupo propietario
dispone tan solo de permiso de lectura y el resto de usuarios no dispone de
ningn permiso. Vemoslo en la siguiente imagen:


15
Permisos de lectura y escritura para el propietario y lectura para el grupo

En el siguiente ejemplo vemos que pepe tiene permiso de lectura y
escritura y que el resto solo tiene permiso de lectura tanto sobre el archivo
'apuntes.doc' como sobre el archivo 'examen.txt'.

// Visualizacin de permisos
ls -l total 8
-rw-r--r-- 1 pepe profesores 359 2011-09-28 18:02 apuntes.doc
-rw-r--r-- 1 pepe profesores 11 2011-09-27 19:26 examen.txt

Cambio de permisos

Para cambiar los permisos de un archivo o una carpeta es necesario
disponer del permiso de escritura (w) sobre dicho archivo o carpeta. Para
hacerlo, se utiliza el comando chmod. La sintaxis del comando chmod es
la siguiente:

chmod [opciones] permiso nombre_archivo_o_carpeta

Los permisos se pueden representar de dos formas. La primera es mediante
las iniciales de a quin va dirigido el permiso (usuario=u, grupo=g, resto=o
(other)), seguido de un signo + si se quiere aadir permiso o un signo - si se
quiere quitar y seguido del tipo de permiso (lectura=r, escritura=w y
ejecucin=x). Ejemplos:

// Dar permiso de escritura al usuario propietario sobre el archivo
'examen.txt'
# chmod u+w examen.txt

// Quitar permiso de escritura al resto de usuarios sobre el archivo
'examen.txt'
# chmod o-w examen.txt

// Dar permiso de ejecucin al grupo propietario sobre el archivo
'/usr/bin/games/tetris'
# chmod g+x /usr/bin/games/tetris

// Dar permiso de lectura al grupo propietario sobre el archivo 'examen.txt'
# chmod g+r examen.txt

// Se pueden poner varios permisos juntos separados por comas
# chmod u+w,g-r,o-r examen.txt

16

// Se pueden poner varios usuarios juntos
# chmod ug+w examen.txt

La segunda forma de representar los permisos es mediante un cdigo
numrico cuya transformacin al binario representara la activacin o
desactivacin de los permisos. El cdigo numrico est compuesto por tres
cifras entre 0 y 7. La primera de ellas representara los permisos del usuario
propietario, la segunda los del grupo propietario y la tercera los del resto
de usuarios.

En binario, las combinaciones representan el tipo de permisos. El bit ms a
la derecha (menos significativo) se refiere al permiso de ejecucin
(1=activar y 0=desactivar). El bit central se refiere al permiso de escritura y
el bit ms a la izquierda se refiere al permiso de lectura. La siguiente tabla
muestra las 8 combinaciones posibles:

Cd Binario Permisos efectivos
0 0 0 0 - - -
1 0 0 1 - - x
2 0 1 0 - w -
3 0 1 1 - w x
4 1 0 0 r - -
5 1 0 1 r - x
6 1 1 0 r w -
7 1 1 1 r w x

Si deseamos otorgar slo permiso de lectura, el cdigo a utilizar es el 4. Si
deseamos otorgar slo permiso de lectura y ejecucin, el cdigo es el 5. Si
deseamos otorgar slo permiso de lectura y escritura, el cdigo es el 6. Si
deseamos otorgar todos los permisos, el cdigo es el 7. Si deseamos quitar
todos los permisos, el cdigo es el 0. Ejemplos:

// Dar todos los permisos al usuario y ninguno ni al grupo ni al resto
chmod 700 examen.txt

// Dar al usuario y al grupo permisos de lectura y ejecucin y ninguno al
resto chmod 550 examen.txt

// Dar todos los permisos al usuario y lectura y ejecucin al grupo y al resto
chmod 755 /usr/bin/games/tetris

// Dar todos los permisos al usuario y de lectura al resto, sobre todos los
archivos chmod 744 *

17

// Cambiar permisos a todos los archivos incluyendo subcarpetas
chmod -R 744 *

Existe la posibilidad de cambiar los permisos utilizando el explorador de
archivos. Para ello tan solo hay que seleccionar los archivos o carpetas y
haciendo clic sobre la seleccin con el botn derecho del ratn >
Propiedades, nos aparecer la ventana de propiedades. Haciendo clic en
la pestaa Permisos podremos establecer los permisos de una forma
sencilla y haciendo clic en 'Permisos avanzados' de una forma
avanzada.


18
Bibliografa:

http://doc.ubuntu-es.org/Gesti%C3%B3n_de_usuarios_y_grupos
http://www.ubuntu-guia.com/2009/09/gestion-de-usuarios-y-grupos-en-
ubuntu.html
http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m1/permisos_de_
archivos_y_carpetas.html
http://doc.ubuntu-es.org/Permisos

Gestionar Usuarios y Grupos en Ubuntu Server 14.04 LTS

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gestionar Usuarios y Grupos en Ubuntu Server 14.04 LTS

Uploaded by

Copyright:

Available Formats

GESTIONAR USUARIOS Y GRUPOS - PERMISOS DE ARCHIVOS Y CARPETAS

You might also like