Montando un servidor. Parte 2 Cron

21ene10

Quiero que a esta hora se haga la copia de seguridad, o se heche a todo el mundo del sistema o lo que sea. Pues bien esto se programa en el fichero /etc/crontab. Este fichero tiene un formato muy simple pero muy potente.

El formato es el siguiente tiene 7 columnas:

  • Minutos 0-59
  • Horas 0-23
  • Dia 1-31
  • Mes 1-12
  • Dia de la semana 0-7, donde 0 y siete son domingos
  • Usuario
  • Comando (lista de comandos separados por comas o un solo comando)

En vez de sus valores se puede aplicar * que significara siempre, (ojo, no lo pongáis en minutos ya que cada minuto se podría ejecutar y podría sobrecargar el sistema).

Apagar todos los dias el equipo alas 1 de la tarde:

0 13 * * * root poweroff

Entrar en juego mas caracteres como:

(,) por ejemplo si colocamos 1,10,20,30 en la columna días, se ejecutara el comando todos esos días.

(/) la */numero indica todos los valores con incremento de número, por ejemplo */2 en hora significaría cada dos horas.

(-) indica un rango, 1-15 en días se ejecutaría todos los dias del 1 al 15

Todos estos comandos se pueden mezclar entre ellos para componer la columna.

Una vez explicado este fichero hacer la copia de seguridad diaria será cosa fácil , por ejemplo si el equipo se iniciara todos los dias alas 7 de la mañana, ejecutaríamos la copia alas 7,30.

30 7 * * * root ComandoDeCopiaDeSeguridad

El script de copia de seguridad lo veremos en el siguiente apartado, cuando lo consiga programar.


Filed under: Mundo Linux   |  Deja un comentario

Montando un servidor. Parte I – Usuarios

20ene10

Pues aquí viene una serie de varios capítulos , espero que escuetos y fáciles de desarrollar, donde relataré mi periplo en el mundo de los servidores Linux, en este caso Ubuntu. Vamos a empezar descargándonos la versión server de Ubuntu e instalando en nuestra máquina.

No voy a entrar en detalle en la instalación porque no tiene donde entrar, salvo cuando te pide los servidores que quieres instalar.Yo elegí el apache, mysql y ssh, que son los que me hacen falta para mis proyectos de todas formas puedes instalarlos fácilmente después de la instalación.

Una vez instalado, lo primero que vamos a hacer es crear la cuentas de usuario que quieran acceder al servidor. Con el mandato adduser pepe, añadimos el usuario pepe, después nos pide la contraseña y algunos datos como nombre, rom, correo, etc. Estos últimos se pueden dejar en blanco. Estas cuentas nos proporcionaran los usuarios del servidor ssh para conectarnos remotamente que es lo que veremos en el próximo capítulo. También nos ha creado la carpeta /home/pepe y su perfil.

Para eliminar un usuario deluser, este comando no borra el directorio /home/pepe, asi que podríamos utilizar este deluser –remove-home pepe, que también elimina el directorio. Existe un comando mas avanzado deluser –remove–all-files –backup pepe, que elimina todos los ficheros que pertenecen a pepe y aparte te hace una copia de seguridad de los archivos que se borrarán.

Los usuarios creado con adduser no podrán usar el modo superusuario ya que no son adminisradores (curioso esto).

pepe is not in the sudoers file. This incident will be reported.

Y es reportado y quedará archivado que el usuario pepe a intentado entrar en modo superusuario en el fichero /var/log/auth.log

Al instalar ubuntu creamos un usuario por defecto que se inserta en el grupo admin automáticamente, con este usuario es el único con el que podemos entrar en modo superusuario ahora mismo.

Siguiendo con el ejemplo anterior para que el usuario pepe pueda acceder a modo superusuario, tenemos que:

  1. Asignarle el grupo Admin.
  2. Insertar en el fichero sudoers la siguiente línea: pepe ALL=(ALL) ALL

La segunda opción no es muy recomendable puesto que asignas todos los permisos al usuario pepe, siguiendo la metodología del fichero sudoers se le podrían habilitar ciertos comandos de superusuario a pepe, como parar o arrancar el servidor apache como podemos ver aquí. Simpre me gusta poner la documentación en mi web, por si los links caen y se pierde esta información.

MANUAL DE SUDO, VISUDO Y SUDOERS

Copyright 2005-2008 Sergio González Durán
Se concede permiso para copiar, distribuir y/o modificar este documento siempre y cuando se cite al autor y la fuente de linuxtotal.com.mx y según los términos de la GNU Free Documentation License, Versión 1.2 o cualquiera posterior publicada por la Free Software Foundation.

autor: sergio.gonzalez.duran@gmail.com

[ÍNDICE...]

En ambientes donde varios usuarios usan uno o más sistemas GNU/Linux, es necesario otorgar distintos permisos o privilegios para que estos puedan hacer uso de comandos propios del usuario administrador ‘root’. Totalmente fuera de lugar e impensable es ‘entregar’ la contraseña de root para que los usuarios puedan hacer uso de los programas propios de sus funciones pero que son propiedad de ‘root’. Por otro lado, hacer uso del comando su tampoco es práctico porque es lo mismo, necesitan la contraseña de root, asi que la mejor alternativa es hacer uso de sudo.

¿Exáctamente que es y que hace sudo?. sudo permite implementar un control de acceso altamente granulado de que usuarios ejecutan que comandos. Si un usuario normal desea ejecutar un comando de root (o de cualquier otro usuario), sudo verifica en su lista de permisos y si está permitido la ejecución de ese comando para ese usuario, entonces sudo se encarga de ejecutarlo. Es decir, sudo es un programa que basado en una lista de control (/etc/sudoers) permite (o no) la ejecución al usuario que lo invocó sobre un determinado programa propiedad de otro usuario, generalmente del administrador del sistema ‘root’.

sudo, para fines prácticos se puede dividir en tres partes:

  • sudo, el comando con permisos de SUID, que los usuarios usan para ejecutar otros comandos a los que se les permite usar.
  • visudo, el comando que permite al administrador modificar /etc/sudoers.
  • /etc/sudoers, el archivo de permisos que le indica a sudo que usuarios ejecutan cuáles comandos.

sudo

sudo (SUperuser DO) lo ejecuta un usuario normal, al que se supone tiene permisos para ejecutar cierto comando. Entonces, sudo requiere que los usuarios se autentifiquen a si mismos a través de su contraseña para permitirles la ejecución del comando. Veamos un ejemplo:

$ sudo /sbin/ifconfig
Password:
eth0      Link encap:Ethernet  HWaddr 4C:00:10:60:5F:21
          inet addr:200.13.110.62  Bcast:200.13.110.255  Mask:255.255.255.0
          inet6 addr: fe80::4e00:10ff:fe60:5f21/64 Scope:Link
...

Como se podrá observar se usa el comando sudo seguido del comando (con toda su ruta si es que este no esta en el PATH del usuario) al que se tiene permiso. sudo pregunta por la contraseña del usuario que ejecuta el comando y listo.

Por defecto, después de hacer lo anterior tendrás 5 minutos para volver a usar el mismo comando u otros a los que tuvieras derecho, sin necesidad de ingresar la contraseña de nuevo. Si se quiere extender el tiempo por otros 5 minutos usa la opción sudo -v (validate). Por el contario, si ya terminaste lo que tenías que hacer, puedes usar sudo -k (kill) para terminar con el tiempo de gracia de validación.

Ahora bien, ¿Qué comandos son los que puedo utilizar?, pues la opción -l es la indicada para eso:

$ sudo -l
User sergio may run the following commands on this host:
    (root) /sbin/ifconfig
    (root) /sbin/lspci

En el caso anterior se ejecutó un comando de root, pero no tiene que ser asi, también es posible ejecutar comandos de otros usuarios del sistema indicando la opción -u:

$ sudo -u ana /comando/de/ana

Una de las opciones más interesantes es la que permite editar archivos de texto de root (claro, con el permiso otorgado en ‘sudoers’ como se verá más adelante), y esto se logra con la opción -e, esta opción esta ligada a otro comando de sudo llamado sudoedit que invoca al editor por defecto del usuario, que generalmente es ‘vi’.

$ sudo -e /etc/inittab  
(Permitira modificar el archivo indicado como si se fuera root)

Cuando se configura sudo se tienen múltiples opciones que se pueden establecer, estás se consultan a través de la opción -L

$> sudo -L
Available options in a sudoers ``Defaults'' line:

syslog: Syslog facility if syslog is being used for logging
syslog_goodpri: Syslog priority to use when user authenticates successfully
syslog_badpri: Syslog priority to use when user authenticates unsuccessfully
long_otp_prompt: Put OTP prompt on its own line
ignore_dot: Ignore '.' in $PATH
mail_always: Always send mail when sudo is run
mail_badpass: Send mail if user authentication fails
mail_no_user: Send mail if the user is not in sudoers
mail_no_host: Send mail if the user is not in sudoers for this host
mail_no_perms: Send mail if the user is not allowed to run a command
tty_tickets: Use a separate timestamp for each user/tty combo
lecture: Lecture user the first time they run sudo
lecture_file: File containing the sudo lecture
authenticate: Require users to authenticate by default
root_sudo: Root may run sudo
...
varias opciones más

Bastante útil, ya que nos muestra las opciones y una pequeña descripción, estás opciones se establecen en el archivo de configuración ‘sudoers’.

Una de las opciones más importantes de consulta es -V, que permite listar las opciones (defaults) establecidas por defecto para sudo todos los usuarios, comandos, equipos, etc. Más adelante en este tutorial, aprenderemos como establecer opciones específicas para ciertos usuarios, comandos o equipos. NOTA: tienes que ser ‘root’ para usar esta opción.

# sudo -V
Sudo version 1.6.9p5

Sudoers path: /etc/sudoers
Authentication methods: 'pam'
Syslog facility if syslog is being used for logging: local2
Syslog priority to use when user authenticates successfully: notice
Syslog priority to use when user authenticates unsuccessfully: alert
Send mail if the user is not in sudoers
Lecture user the first time they run sudo
Require users to authenticate by default
Root may run sudo
Log the hostname in the (non-syslog) log file
Allow some information gathering to give useful error messages
Visudo will honor the EDITOR environment variable
Set the LOGNAME and USER environment variables
Reset the environment to a default set of variables
Length at which to wrap log file lines (0 for no wrap): 80
Authentication timestamp timeout: 5 minutes
Password prompt timeout: 5 minutes
Number of tries to enter a password: 3
Umask to use or 0777 to use user's: 022
Path to log file: /var/log/sudo.log
...
varias opciones más listadas

Con intención, trunque el listado anterior en la línea “Path to log file: /var/log/sudo.log”, donde se indica cual es el archivo ‘log’ o de bitacora por defecto de sudo, en este archivo se loguea absolutamente todo lo que se haga con sudo, que usuarios ejecutaron que, intentos de uso, etc.

visudo

Permite la edición del archivo de configuración de sudo sudoers. Invoca al editor que se tenga por defecto que generalemente es ‘vi’. visudo cuando es usado, bloquea el archivo /etc/sudoers de tal manera que nadie más lo puede utilizar, esto por razones obvias de seguridad que evitarán que dos o más usuarios administradores modifiquen accidentalmente los cambios que el otro realizó.

Otra característica importande de visudo es que al cerrar el archivo, verifica que el archivo este bien configurado, es decir, detectará si hay errores de sintaxis principalmente en sus múltiples opciones o reglas de acceso que se tengan. Por esta razón no debe editarse /etc/sudoers directamente (perfectamente posible ya que es un archivo de texto como cualquier otro) sino siempre usar visudo.

Si al cerrar visudo detecta un error nos mostrará la línea donde se encuentra, y la pregunta “What now?”:

>>> sudoers file: syntax error, line 15 <<<
What now?

Se tienen tres opciones para esta pregunta:

  • e – edita de nuevo el archivo, colocando el cursor en la línea del error (si el editor soporta esta función.)
  • x – salir sin guardar los cambios.
  • Q – salir y guarda los cambios.

Por defecto el archivo de configuración es /etc/sudoers pero se pueden editar otros archivos que no sean ese y que se aplique la sintaxis de sudo, y esto se logra con la opción -f (visudo -f /otro/archivo).

Si tan solo se desea comprobar que /etc/sudoers esta bien configurado se usa la opción -c, toma por el archivo de configuración por defecto o si no se indica algún otro.

#> visudo -c
/etc/sudoers file parsed OK

La opción -s activa el modo ‘estricto’ del uso de visudo, es decir no solo se comprobará lo sintáctico sino también el orden correcto de las reglas, por ejemplo si se define el alias para un grupo de comandos y este se usa antes de su definición, con esta opción se detectará este tipo de errores.

Sudoers

Archivo de configuración de sudo, generalmente ubicado bajo /etc y se modifica a través del uso de visudo. En este archivo se establece quien (usuarios) puede ejecutar que (comandos) y de que modo (opciones), generando efectivamente una lista de control de acceso que puede ser tan detallada como se desee.

Es más fácil entender sudo si dividimos en tres partes su posible configuración, estás son:

  • Alias
  • Opciones (Defaults)
  • Reglas de acceso

Por extraño que parezca ninguna de las secciones es obligatoria, o tienen que estar en algún orden específico, pero la que al menos debe de existir es la tercera, que es la definción de los controles o reglas de acceso. Se detallará cada uno de estos en un momento. Para los que les gusta saber más la cuestión técnica es interesante saber que la construcción de un archivo sudoers esta basado en la forma BNF (Backus-Naur Form), concretamente en versión extendida (EBNF), si estudiaste algún curso de informática universitario seguramente sabes de lo que hablo. EBNF describe de una forma precisa y exacta la gramática de un lenguaje, esta se va creando a través de reglas de producción que a la vez son la base para ser referenciadas por otras reglas. Afortunadamente no necesitas saber nada de esto, solo entender como se aplican estas reglas.

Alias

Un alias se refiere a un usuario, un comando o a un equipo. El alias engloba bajo un solo nombre (nombre del alias) una serie de elementos que después en la parte de definición de reglas serán refiridos aplicados bajos cierto criterio. Es decir, regresando a EBNF estamos creando las reglas de producción inicial. La forma para crear un alias es la siguiente:

tipo_alias NOMBRE_DEL_ALIAS = elemento1, elemento2, elemento3, … elementoN

tipo_alias NOMBRE1 = elemento1, elemento2 : NOMBRE2 = elemento1, elemento2

En el segundo caso, separado por “:” es posible indicar más de un alias en una misma definción.

El tipo_alias define los elementos, es decir, dependiendo del tipo de alias serán sus elementos. Los tipo de alias son cuatro y son los siguientes:

  • Cmnd_Alias – define alias de comandos.
  • User_Alias – define alias de usuarios normales.
  • Runas_Alias – define alias de usuarios administradores o con privilegios.
  • Host_Alias – define alias de hosts o equipos.

El NOMBRE_DEL_ALIAS puede llevar letras, números o guión bajo ( _ ) y DEBE de comenzar con una letra mayúscula, se acostumbra a usarlos siempre en mayúsculas.

Los elementos del alias varian dependiendo del tipo de alias, asi que veámoslos por partes asi como varios ejemplos para que comience a quedar claro todo esto.

Cmnd_Alias

Definen uno o más comandos y otros alias de comandos que podrán ser utilizados después en alias de usuarios. Ejemplos:

Cmnd_Alias WEB = /usr/sbin/apachectl, /usr/sbin/httpd, sudoedit /etc/httpd/

Indica que a quien se le aplique el alias WEB podrá ejecutar los comandos apachectl, httpd y editar todo lo que este debajo del directorio /etc/httpd/, nótese que debe de terminar con ‘/’ cuando se indican directorios. También, la ruta completa a los comandos debe ser indicada.

Cmnd_Alias APAGAR = /usr/bin/shutdown -h 23\:00

Al usuario que se le asigne el alias APAGAR podrá hacer uso del comando ‘shutdown’ exactamente con los parámetros como están indicados, es decir apagar -h (halt) el equipo a las 23:00 horas. Nótese que es necesario escapar el signo ‘:’, asi como los símbolos ‘ : , = \

Cmnd_Alias NET_ADMIN = /sbin/ifconfig, /sbin/iptables, WEB

NET_ADMIN es un alias con los comandos de configuración de interfaces de red ifconfig y de firewall iptables, pero además le agregamos un alias previamente definido que es WEB, asi que a quien se le asigne este alias podrá hacer uso de los comandos del alias WEB.

Cmnd_Alias TODO_BIN = /usr/bin/, !/usr/bin/rpm

A quien se le asigne este alias podrá ejecutar todos los comandos que estén dentro del directorio /usr/bin/ menos el comando ‘rpm’ ubicado en el mismo directorio. NOTA IMPORTANTE: este tipo de alias con un permiso muy amplios menos ‘!’ algo, generalmente no son una buena idea, ya que comandos nuevos que se añadan después a ese directorio también podrán ser ejecutados, es mejor siempre definir específicamente lo que se requiera.

User_Alias

Definen a uno o más usuarios, grupos del sistema (indicados con %), grupos de red (netgroups indicados con +) u otros alias de usuarios. Ejemplos:

User_Alias MYSQL_USERS = andy, marce, juan, %mysql

Indica que al alias MYSQL_USERS pertenecen los usuarios indicados individualmente más los usuarios que formen parte del grupo ‘mysql’.

User_Alias ADMIN = sergio, ana

‘sergio’ y ‘ana’ pertenecen al alias ADMIN.

User_Alias TODOS = ALL, !samuel, !david

Aqui encontramos algo nuevo, definimos el alias de usuario TODOS que al poner como elemento la palabra reservada ‘ALL’ abarcaría a todos los usuarios del sistema, pero no deseamos a dos de ellos, asi que negamos con ‘!’, que serían los usuarios ‘samuel’ y ‘david’. Es decir, todos los usuarios menos esos dos. NOTA IMPORTANTE: este tipo de alias con un permiso muy amplios menos ‘!’ algo, generalmente no son una buena idea, ya que usuarios nuevos que se añadan después al sistema también serán considerados como ALL, es mejor siempre definir específicamente a los usuarios que se requieran. ALL es válido en todos los tipos de alias.

User_Alias OPERADORES = ADMIN, alejandra

Los del alias ADMIN más el usuario ‘alejandra’.

Runas_Alias

Funciona exactamente igual que User_Alias, la única diferencia es que es posible usar el ID del usario UID con el caracter ‘#’.

Runas_Alias OPERADORES = #501, fabian

Al alias OPERADORES pertenecen el usuario con UID 501 y el usuario ‘fabian’

Host_Alias

Definen uno o más equipos u otros alias de host. Los equipos pueden indicarse por su nombre (si se encuentra en /etc/hosts) por nombre de dominio, si existe un resolvedor de dominios, por dirección IP, por dirección IP con máscara de red. Ejemplos:

Host_Alias LANS = 192.168.0.0/24, 192.168.0.1/255.255.255.0

El alias LANS define todos los equipos de las redes locales.

Host_Alias WEBSERVERS = 172.16.0.21, web1 : DBSERVERS = 192.168.100.10, dataserver

Se define dos alias en el mismo renglón: WEBSERVERS y DBSERVERS con sus respectivas listas de elementos, el separador ‘:’ es válido en cualquier definición de tipo de alias.

Opciones (defaults)

Las opciones o defaults permiten definir ciertas características de comportamiento para los alias previamente creados, para usuarios, usuarios privilegiados, para equipos o de manera global para todos. No es necesario definir opciones o defaults, sudo ya tiene establecidas el valor de cada uno, y es posible conocerlas a través de sudo -V (ver en la sección sudo de este tutorial).

Sin embargo, la potencia de sudo está en su alta granularidad de configuración, asi que es importante conocer como establecer opciones espécificas.

Las opciones o defaults es posible establecerlos en cuatro niveles de uso:

  • De manera global, afecta a todos
  • Por usuario
  • Por usuario privilegiado
  • Por equipo (host)

Se usa la palabra reservada ‘Defaults’ para establecer las opciones y dependiendo del nivel que deseamos afectar su sintaxis es la siguiente:

  • Global: Defaults opcion1, opcion2 …
  • Usuario: Defaults:usuario opcion1, opcion2 …
  • Usuario Privilegiado: Defaults>usuario opcion1, opcion2 …
  • Equipo: Defaults@equipo opcion1, opcion2 …

La lista de opciones es algo extensa, pueden consultarse en las páginas del manual (man sudoers) o en el excelente manual sobre sudo del sitio web de www.rpublica.net http://www.rpublica.net/sudo/indice.html#defaults, está en español y define muy claramente lo que significa cada opción. En este tutorial de LinuxTotal.com.mx me concretaré a ejemplificar varios ejemplos del uso de establecer opciones.

Los defaults los divide el manual (man sudoers) en cuatro: flags o booleanos, enteros, cadenas y listas. Veamos entonces algunos ejemplos de uso para cada uno de ellos:

flags o booleanos

Generalemente se usan de manera global, simplemente se indica la opción y se establece a ‘on’ para desactivarla ‘off’ se antepone el símbolo ‘!’ a la opción. Es necesario consultar el manual para saber el valor por defecto ‘on’ o ‘off’ para saber si realmente necesitamos invocarla o no.

Defaults mail_always

Establece a ‘on’ la opción ‘mail_always’ que enviara un correo avisando cada vez que un usuario utiliza sudo, a la vez, este opción requiere que ‘mailto_user’ este establecida.

Defaults !authenticate, log_host

Desactiva ‘off’ el default ‘authenticate’ que por defecto esta activado ‘on’ e indica que todos los usuarios que usen sudo deben identificarse con su contraseña, obviamente esto es un ejemplo y sería una pésima idea usarlo realmente, ya que ningún usuario necesitaria autenticarse, esto es porque estamos usando Defaults de manera global. La segunda opción ‘log_host’ que por defecto está en ‘off’ la activamos y bitacoriza el nombre del host cuando se usa un archivo (en vez de syslog) como bitácora de sudo.

Defaults:ana !authenticate

Aqui se aprecia algo más lógico, usamos opciones por usuario en vez de global, indicando que el usuario ‘ana’ no requerira auténticarse. Pero todos los demás si.

Defaults>ADMIN rootpw

Opciones para usuarios privilegiados, en vez de usar una lista de usuarios, usamos un alias ‘ADMIN’ que se supone fue previamente definido, y establecemos en ‘on’ la opción ‘rootpw’ que indica a sudo que los usuarios en el alias ‘ADMIN’ deberán usar la contraseña de ‘root’ en vez de la propia.

Enteros

Tal como su nombre lo indica, manejan valores de números enteros en sus opciones, que deben entonces usarse como opción = valor.

Defaults:fernanda, regina passwd_tries = 1, passwd_timeout = 1

Ejemplo donde se aprecia el uso de opciones con valores enteros. En este caso se establecen opciones para los usuarios ‘fernanda’ y ‘regina’ solamente, que solo tendrán una oportunidad de ingresar la contraseña correcta ‘passwd_tries’ el valor por defecto es de 3 y tendrán un minuto para ingresarla ‘passwd_timeout’ el valor por defecto son 5 minutos.

La mayoría de las opciones de tiempo o de intentos, al establecerlas con un valor igual a cero entonces queda ilimitado la opción.

Defaults@webserver umask = 011

Se establecen opciones solo para los usuarios que se conectan al servidor ‘webserver’ y el valor ‘umask’ indica que si mediante la ejecución del comando que se invoque por sudo es necesario crear archivos o diectorios, a estos se les aplicará la máscara de permisos indicada en el valor de la opción.

Cadenas

Son valores de opciones que indican mensajes, rutas de archivos, etc. Si hubiera espacios en el valor es necesario encerrar el valor entre comillas dobles (” “).

Defaults badpass_message = “Intenta de nuevo: “

Para todos los usuarios, cuando se equivoquen al ingresar la contraseña, es el mensaje que saldría. En este caso la opción por defecto es “Sorry: try again”.

Listas

Permite establecer/eliminar variables de entorno propias de sudo. Los ‘Defaults’ para variables es de los menos usados en las configuraciones de sudo y ciertamente de los más confusos. Para entender como se aplican es más fácil si primero ejecutas como ‘root’ el comando sudo -V, y al final del listado encontrarás en mayúsculas las posibles variables de entorno que se pueden establecer o quitar y que vienen del shell.

Solo existen tres opciones de listas: env_check, env_delete y env_keep, las listas pueden ser remplazadas con ‘=’, añadidas con ‘+=’, eliminadas con ‘-=’ o deshabilitadas con ‘!’. Con un par de ejemplos quedará más claro.

Defaults env_delete -= HOSTNAME

Elimina la variable de entorno ‘HOSTNAME’, (pero preserva todas las demás que hubiera) y comandos que se ejecuten bajo sudo y que requieran de esta variable no la tendrían disponible.

Defaults env_reset

Defaults env_check += DISPLAY, PS1

La primera opción ‘env_reset’ reinicializa las variables de entorno que sudo utilizará o tendrá disponibles, y solo quedan disponibles LOGNAME, SHELL, USER y USERNAME. La siguiente línea indica que agregue (+=) a lo anterior, también la variable de entorno DISPLAY a su valor establecido antes del reset.

Reglas de acceso

Aunque no es obligatorio declarar alias, ni opciones (defaults), y de hecho tampoco reglas de acceso, pues el archivo /etc/sudoers no tendría ninguna razón de ser si no se crean reglas de acceso. De hecho podríamos concretarnos a crear solamente reglas de acceso, sin opciones ni alias y podría funcionar todo muy bien.

Las reglas de acceso definen que usuarios ejecutan que comandos bajo que usuario y en que equipos. La mejor y (según yo, única manera) de entender y aprender a configurar sudoers es con ejemplos, asi que directo al grano:

usuario host = comando1, comando2, … comandoN

Sintaxis básica, ‘usuario’ puede ser un usuario, un alias de usuario o un grupo (indicado por %), ‘host’ puede ser ALL cualquier equipo, un solo equipo, un alias de equipo, una dirección IP o una definición de red IP/máscara, ‘comandox’ es cualquier comando indicado con su ruta completa. Si se termina en ‘/’ como en /etc/http/ entonces indica todos los archivos dentro de ese directorio.

daniela ALL = /sbin/iptables

Usuario ‘daniela’ en cualquier host o equipo puede utiliar iptables.

ADMIN ALL = ALL

Los usuarios definifos en el alias ‘ADMIN’ desde cualquier host pueden ejecutar cualquier comando.

%gerentes dbserver = (director) /usr/facturacion, (root) /var/log/*

Un ejemplo más detallado. Los usuarios que pertenezcan al grupo del sistema llamado ‘gerentes’ pueden en el equipo llamado ‘dbserver’ ejecutar como si fueran el usuario ‘director’ la aplicación llamada ‘facturacion’, además como usuarios ‘root’ pueden ver el contendido de los archivos que contenga el directorio /var/log.

Lo anterior intoduce algo nuevo, que en la lista de comandos es posible indicar bajo que usuario se debe ejecutar el permiso. Por defecto es el usuario ‘root’, pero no siempre tener que asi. Además la lista ‘hereda’ la primera definición de usuario que se indica entre paréntesis ( ), por eso si se tiene más de alguno hay que cambiar de usuario en el comando conveniente, el ejemplo anterior también sería válido de la siguiente manera:

%gerentes dbserver = /var/log/*, (director) /usr/facturacion

No es necesario indicar (root) ya que es el usuario bajo el cual se ejecutan los comandos por defecto. También es válido usar (ALL) para indicar bajo cualquier usuario. El ejemplo siguiente da permisos absolutos.

sergio ALL = (ALL) ALL

Se establece permiso para el usuario ‘sergio’ en cualquier host, ejecutar cualquier comando de cualquier usuario, por supuesto incluyendo los de root.

SUPERVISORES PRODUCCION = OPERACION

Una regala formada solo por alias. En el alias de usuario ‘SUPERVISORES’ los usuarios que esten indicados en ese alias, tendrán permiso en los equipos definidos en el alias de host ‘PRODUCCION’, de ejecutar los comandos definidos o listados en el alias de comandos ‘OPERACION’.

En este último ejemplo se aprecia lo últil que pueden ser los alias, ya que una vez definida la regla, solo debemos agregar o eliminar elementos de las listas de alias definidos previamente. Es decir, se agrega un equipo más a la red, se añade al alias ‘PRODUCCION’, un usuario renuncia a la empresa, alteramos el alias ‘SUPERVISORES’ eliminándolo de la lista, etc.

checo ALL = /usr/bin/passwd *, !/usr/bin/passwd root

Este es un ejemplo muy interesante de la potencia y flexibilidad . Al usuario ‘checo’, desde cualquier equipo, tiene permiso de cambiar la contraseña de cualquier usuario (usando el comando ‘passwd’), excepto ‘!’ la contraseña del usuario ‘root’. Lo anterior se logra mediante el uso de argumentos en los comandos. En el primer ejemplo ‘/usr/bin/passwd *’ el asterisco indica una expansión de comodin (wildcard) que indica cualquier argumento, es decir, cualquier usuario. En el segundo caso ‘!/usr/bin/passwd root’, si indica un argumento específico ‘root’, y la ‘!’ como ya se sabe indica negación, negando entonces el permiso a cambiar la contraseña de root.

Cuando se indica el comando sin argumentos: /sbin/iptables sudo lo interpreta como ‘puede usar iptables con cualquiera de sus argumentos’.

mariajose ALL = “/sbin/lsmod”

Al estar entre comillas dobles un comando, entonces sudo lo interpreta como ‘puede hacer uso del comando lsmod pero sin argumentos’. En este caso el usuario ‘mariajose’ podrá ver la lista de módulos del kernel, pero solo eso.

Tags (etiquetas de comandos)

Cuando se definen reglas, en la lista de comandos, estos pueden tener cero (como en los ejemplos anteriores) o más tags. Existen 6 de estas etiquetas o tags,

NOPASSWD Y PASSWD

Por defecto sudo requiere que cualquier usuario se identifique o auténtifique con su contraseña. Aprendimos en la sección de ‘Opciones’ o ‘Defaults’ que es posible indicar que un usuario o alias de usuario no requiera de autentificación. Pero el control granular propio de sudo, permite ir aun más lejos al indicar a nivel de comandos, cuáles requieren contraseña para su uso y cuáles no.

gerardo webserver = NOPASSWD: /bin/kill, /usr/bin/lprm, /etc/httpd/conf/

Usuario ‘gerardo’ en el equipo ‘webserver’ no requerira contraseña para los comandos listados. El tag se hereda, es decir no solo el primer elemento de la lista de comandos, sino los subsiguientes. Suponiendo que el último ‘/etc/httpd/conf/’ elemento, que permite modificar cualquier archivo contenido en el directorio, si deseamos que use contraseña, lo siguiente lo conseguirá:

gerardo webserver = NOPASSWD: /bin/kill, /usr/bin/lprm, PASSWD: /etc/httpd/conf/

Aunque ya que solicitar contraseña es el default o defecto preestablecido, lo anterior también funcionará de la siguiente manera:

gerardo webserver = /etc/httpd/conf/, NOPASSWD: /bin/kill, /usr/bin/lprm,

NOEXEC Y EXEC

Este es un tag muy importante a considerar cuando sobre se otorgan permisos sobre programas que permiten escapes a shell (shell escape), como en el editor ‘vi’ que mediante el uso de ‘!’ es posible ejecutar un comando en el shell sin salir de ‘vi’. Con el tag NOEXEC se logra que esto no suceda, aunque no hay que tomarlo como un hecho, ya que siempre existe la posibilidad de vulnerabilidades no conocidas en los múltiples programas que utilizan escapes a shell. Al igual que los tags anteriores, el tag se hereda y se deshabilita con su tag contrario (EXEC), en caso de que en la lista de comandos hubiera varios comandos.

valeria ALL = NOEXEC: /usr/bin/vi

SETENV Y NOSETENV

Una de las múltiples opciones que pueden establecerse en la sección ‘Defaults’ u ‘opciones’ es la opción booleana o de flag ‘setenv’ que por defecto y para todos los usuarios esta establecida en ‘off’. Esta opción si se activa por usuario (Defaults:sergio setenv) permitirá al usuario indicado cambiar el entorno de variables del usuario del cual tiene permisos de ejecutar comandos, y como generalmente este es ‘root’ pues es obvio que resulta bastante peligrosa esta opción. A nivel de lista de comandos, es posible entonces especificar el tag ‘SETENV’ a un solo comando o a una pequeña lista de estos y solo cuando se ejecuten estos se podrán alterar su entorno de variables. Es decir, en vez de establecerlo por usuario, sería mas conveniente establecerlo por comando a ejcutarse solamente.

ADMIN ALL = SETENV: /bin/date, NOSETENV ALL

A los usuarios definidos en el alias de usuario ‘ADMIN’ en cualquier host, pueden alterar las variables de entorno cuando ejecuten el comando ‘date’ (que puede ser útil por ejemplo para cambiar variables del tipo LOCALE), y cualquier otro comando, no tendrá esta opción al habilitar el tag contrario ‘NOSETENV’. Y ya que este es el default, también sería válido de la siguiente manera y harían lo mismo:

ADMIN ALL = ALL, SETENV: /bin/date

ARCHIVO /ETC/SUDOERS DE EJEMPLO

Para concluir este manual, veamos un pequeño ejemplo de un archivo /etc/sudoers:

# ***********************
# LinuxTotal.com.mx, ejemplo de un archivo sudoers
# sergio.gonzalez.duran@gmail.com
# ***********************

# ***********************
# DEFINCION DE ALIAS
# ***********************

# administradores con todos los privilegios
User_Alias ADMINS = sergio, ana

# administradores de red - network operators
User_Alias NETOPS = marcela, andrea

# webmasters -
User_Alias WEBMAS = cristina, juan

# supervisores de producción (todos los del grupo de sistema supervisores)
User_Alias SUPPRO = samuel, %supervisores

# usuarios que pueden conectarse desde Internet
User_Alias INETUS = NETOPS, ADMINS, samuel

# servidores web
Host_Alias WEBSERVERS = 10.0.1.100, 10.0.1.101

# servidores de aplicaciones
Host_Alias APLICACIONES = WEBSERVERS, 10.0.1.102, 10.0.1.103, mailserver

# comandos de red permitidos
Cmnd_Alias REDCMDS = /sbin/ifconfig, /sbin/iptables

# comandos de apache
Cmnd_Alias APACHECMDS = /usr/sbin/apachectl, /sbin/service httpd *

# ***********************
# DEFINCION DE OPCIONES
# ***********************

# Los usuarios administradores, requieren autentificarse con la contraseña de 'root'
Defaults>ADMINS rootpw

# Para todos los usuarios, tienen hasta dos intentos para ingresar su contraseña y 3 minuto para que esta expire
Defaults passwd_tries = 4, passwd_timeout = 1

# Los usuarios que se conectan desde Internet, solo tienen una oportunidad y cero timeout lo que implica
# que cada comando que usen a través de sudo requerira siempre de autentificación.
Defaults:INETUS passwd_tries = 1, passwd_timeout = 0

# Máscara de directorios y archivos por default, para los que ejecuten sudo en los servidores web
Defaults@WEBSERVERS umask = 022

# ***********************
# DEFINCION DE REGLAS
# ***********************

# administradores todo se les permite en cualquier equipo (¡¡¡¡¡cuidado con esto en la vida real!!!!!
ADMINS ALL = (ALL) ALL

# administradores de red, en todos los equipos, los comandos de red
NETOPS ALL = REDCMDS

# webmasters, en los servidores web con los comandos indicados en apachecmds y además sin necesidad
# de contraseña acceder a las bítacoras de apache y reiniciar los servidores.
WEBMAS WEBSERVERS = APACHECMDS, NOPASSWD: /var/log/apache/, /sbin/reboot

# supervisores, pueden ejecutar los comandos indicados en los equipos indicados en el alias
# aplicaciones y además son ejecutados bajo el usuario apps.
SUPPRO APLICACIONES = NOEXEC: (apps) /usr/local/facturacion.exe, /usr/local/ventas.exe, /usr/local/nomina.exe

# no definidos por alias previos, sino directamente

# regina es de recursos humanos y puede cambiar contraseñas de cualquier usuario menos de root
regina ALL = /usr/bin/passwd *, !/usr/bin/passwd root

# david, puede apagar los equipos de aplicaciones
david APLICACIONES = /sbin/shutdown, /sbin/halt

#  El equipo firewall de la red puede ser reiniciado (no apagado) por fernanda que es asistente de redes
fernanda firewall = /sbin/shutdown -r now

En este enlace tenemos una larga lista de comandos de usuario y grupo de linux para nuestro repertorio, donde podemos asignar grupos a usuarios, eliminar grupos, crear grupos, etc..

Autor: Raul Rodas Hinostroza

USUARIOS Y GRUPOS

Linux es un sistema operativo multiusuario y multitarea, esto es, que más de un usuario puede trabajar en el sistema de forma simultánea con otros, ejecutando una o más tareas a la vez.

Cuando se ingresa al sistema, es necesario que se identifique con un login y una contraseña, el login es un nombre que identifica de forma única al usuario. La contraseña debe ser una combinación de letras, números y caracteres especiales.

El sistema de contraseñas en Linux es de tipo unidireccional. Esto quiere decir que nuestra contraseña no es almacenada como texto, sino que es cifrada y guardada tal como es.  Cuando entramos en el sistema y escribimos nuestra contraseña, ésta es cifrada y comparada con la que está almacenada. Si coinciden, la identificación es positiva, si no coinciden, no hay identificación.

Actualmente, en los sistemas GNU/Linux se puede escoger dos tipos de cifrado posibles para las contraseñas de usuario: 3DES que se viene usando desde los inicios de UNIX, tiene el inconveniente que sólo permite contraseñas de 8 caracteres, si se escriben mas se ignoran, el otro tipo es MD5 con el que podemos usar contraseñas de la longitud que deseamos, por seguridad se recomienda utilizar el tipo MD5.

Los grupos son siempre expresiones lógicas de organización, reuniendo usuarios para un propósito común. Los usuarios dentro de un mismo grupo pueden leer, escribir o ejecutar archivos que pertenecen al grupo.

Los usuarios en GNU/Linux

Existe 3 tipos de usuarios:

  1. Usuario Normal, es un individuo particular que puede entrar en el sistema, con más o menos privilegios que harán uso de los recursos del sistema. Como indicador en el prompt utiliza el símbolo $ (dólar). Ejemplo: raul, sergio, mrodriguez, etc. También se les conoce como usuarios de login.
  2. Usuarios de Sistema, son usuarios propios del sistema vinculados a las tareas que debe realizar el sistema operativo, este tipo de usuario no puede ingresar al sistema con un login normal. Ejemplo: mail, ftp, bin, sys, proxy, etc. También se le conoce como usuarios sin login.
  3. root (superusuario), todo sistema operativo GNU/Linux cuenta con un superusuario, que tiene los máximos privilegios que le permitirán efectuar cualquier operación sobre el sistema, su existencia es imprescindible ya que se encarga de gestionar los servidores, grupos, etc.

Archivos relacionados

Toda la información de los usuarios y grupos se guarda en los siguientes archivos:

  • /etc/passwd: guarda información de los usuarios del sistema como: nombres, directorio home, shell.
  • /etc/group: almacena la información sobre los grupos existentes en el sistema.
  • /etc/shadow: contiene las contraseñas cifradas de los usuarios además de otros datos para su validación.

Archivo /etc/passwd

El archivo passwd almacena los usuarios creados en el sistema y tiene el siguiente formato:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
clases:x:1000:1000:LinuxCentro:/home/clases:/bin/bash

Cada línea esta separada en campos, el separador de campo son los dos puntos (:), y cada campo representa lo siguiente:

  • Login: el nombre del usuario. No puede haber dos nombres iguales.
  • Contraseña cifrada: si no se utiliza el fichero de shadow, las contraseñas cifradas se almacenan en este campo. Si utilizamos el fichero de shadow, todos los usuarios existentes en este fichero deben existir también en el de shadow y en este campo se pone el carácter “x”.
  • User ID: número de identificación del usuario. Es el número con el cual el sistema identifica al usuario. El 0 es el único que está reservado para el root.
  • Group ID: el número de grupo al cual pertenece el usuario. Como un usuario puede pertenecer a más de un grupo, este GID es del grupo primario.
  • Comentarios: campo reservado para introducir los comentarios que queramos sobre el usuario. Se suele utilizar para poner el nombre completo o algún tipo de identificación personal.
  • Directorio home: el directorio home del usuario es donde éste podrá guardar todos sus ficheros, generalmente se encuentran dentro del directorio /home y el nombre de cada directorio es similar al de cada usuario.
  • Intérprete de comandos: un intérprete de comandos (shell ) es un programa que se encarga de leer todo lo que escribimos en el teclado y ejecutar los programas o comandos que le indiquemos. Hay decenas de ellos, aunque el más utilizado es, sin duda, el bash (GNU Bourne-Again SHell). Si en este campo está: /bin/false ó /bin/nologin el usuario no podrá tener acceso a su shell y no podrá ejecutar comandos.

Archivo /etc/group

El archivo group almacena la información de los grupos del sistema, y tiene el siguiente formato:

root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
clases:x:502:

Al igual que el archivo anterior cada línea esta separada en campos el separador de campo son los dos puntos (:), y cada campo representa lo siguiente:

  • Nombre del grupo. Por defecto con los comandos habituales se crea un grupo con el mismo nombre que el usuario creado, aunque pueden existir otros grupos con nombres específicos.
  • Contraseña cifrada: la contraseña de un grupo se utiliza para permitir que los usuarios de un determinado grupo se puedan cambiar a otro o para ejecutar algunos programas con permisos de otro grupo, siempre que se disponga de la contraseña.
  • Group ID: número de identificación del grupo. Es el número con el cual el sistema identifica internamente a los grupos. El 0 es el único que está reservado para el grupo del root (los administradores).
  • Lista de usuarios: los nombres de los usuarios que pertenecen al grupo, separados por comas. Aunque todos los usuarios deben pertenecer a un determinado grupo (especificado en el cuarto campo del fichero de passwd), este campo se puede utilizar para que usuarios de otros grupos también dispongan de los mismos permisos que tiene el que se está referenciando.

Archivo /etc/shadow

El archivo shadow se encarga de almacenar las contraseñas cifradas del usuario, y tienen el siguiente formato:

root:$1$qvZCDFha$8CsNHHB/QDYlx3wDnZWzp/:12829:0:99999:7:::
bin:*:12829:0:99999:7:::
daemon:*:12829:0:99999:7:::
clases:$1$8Ne4Ij4r$th9obKXkR7iTZGj26jGUc/:12831:0:99999:7:::

Igual que los archivos anteriores cada línea esta separada en campos el separador de campo son los dos puntos (:), y cada campo representa lo siguiente:

  • Login: debe ser el mismo nombre que se utiliza en el fichero de passwd.
  • Contraseña cifrada.
  • Días que han pasado, desde el 1 de enero de 1970, hasta que la contraseña ha sido cambiada por última vez.
  • Días que deben pasar hasta que la contraseña pueda ser cambiada.
  • Días que han de pasar hasta que la contraseña deba ser cambiada.
  • Días antes de caducar la contraseña en el que se avisará al usuario de que debe cambiarla.
  • Días que pueden pasar después de que la contraseña caduque, antes de deshabilitar la cuenta del usuario (si no se cambia la contraseña).
  • Días, desde el 1 de enero de 1970, desde que la cuenta está deshabilitada.
  • Campo reservado.

En sistemas UNIX es muy común representar las fechas a partir del número de segundos transcurridos desde  el 1 de enero de 1970.

En sistemas donde hay muchos usuarios y se desea restringir el espacio de disco que utilizan se puede utilizar quotas.

COMANDOS PARA GESTIONAR USUARIOS

  • Comando useradd : permite añadir nuevos usuarios al sistema, también permite establecer la información por defecto de los nuevos usuarios. Se encuentra enlazado simbólicamente por el nombre adduser, ambos nombres se pueden emplear indistintamente para las mismas acciones.

    Algunas opciones:

    -u : permite especificar el UID.
    -c : añade los valores a la sección de comentarios.
    -d : permite especificar el directorio de trabajo, creará automáticamente el directorio señalado.
    -s : permite establecer el shell.

    Ejemplos:

    • # useradd raul # crea el usuario raul con las propiedades por defecto
    # useradd -u 500 carlos # crea el usuario carlos con su UID 500
    # useradd –c ‘Juan Perez’ juan #crea el usuario juan rellenando el comentario con “Juan Perez”
    # useradd –d /home/soft msantos # crea el usuario msantos con su directorio de trabajo “soft”
    # useradd –s /bin/false operador1 # crea el usuario operador1 desactivando la posibilidad de ejecutar un shell
    # useradd -D

    GROUP=100
    HOME=/home
    INACTIVE=-1
    EXPIRE=
    SHELL=/bin/bash
    SKEL=/etc/skel

    		 # muestra las propiedades por defecto de los nuevos usuarios que se añadan

    # grupo primario (no se emplea)
    # directorio base de todos los usuarios
    # número de días entre que el password expire y  la cuenta se deshabilite
    # fecha (YYYY-MM-DD) en que la cuenta expira
    # shell que empleará el usuario para interactuar con el sistema
    # directorio cuyo contenido se copiará en el directorio de cada usuario
    # useradd -D -b /users # cambia el directorio base por defecto de los nuevos usuarios a /users. El directorio /users debe existir previamente
    Valores por defecto: son valores por defecto que serán utilizados para crear a los nuevos usuarios:

    En RedHat o derivados, los valores por defecto están en el archivo /etc/default/useradd.

    En Debian y derivados, los valores por defecto para añadir nuevos usuarios estan en el archivo /etc/adduser.conf
  • Comando passwd : permite establecer y/o cambiar la contraseña de un usuario. También puede bloquear, desbloquear y deshabilitar una cuenta. Si se invoca sin argumentos se asume que se está cambiando la contraseña del usuario actual.

    Algunas Opciones:

    -d : deshabilita la necesidad de contraseña del usuario.
    -l : bloquea la cuenta de un usuario añadiendo un signo de admiración (!) delante de su contraseña en el archivo /etc/shadow.
    -u : desbloquea la cuenta de un usuario bloqueado.

    Ejemplos:

    • # passwd raul
    New UNIX password:
    Retype new UNIX password:
    		 # estableciendo una contraseña para raul
    passwd: all authentication tokens updated successfully
    # passwd -d raul # deshabilita la cuenta del usuario raul eliminando su password
    # passwd -l raul # bloquea la cuenta del usuario raul poniendo un signo ! delante de su password en el archivo /etc/shadow
    # passwd -u raul # desbloquea la cuenta del usuario raul
  • Comando userdel : permite eliminar definitivamente un usuario del sistema.

    Ejemplos:

    • # userdel raul # elimina el usuario raul manteniendo su directorio de datos.
    # userdel -r raul # elimina al usuario raul y borra su directorio base.
  • Comando usermod : se emplea para modificar algunas propiedades de los usuarios como: el login, el directorio base, el shell que se inicia al conectarse, los grupos a los que pertenece, la fecha de expiración de la cuenta, etc. También bloquea y desbloquea una cuenta. Como opciones utiliza las disponibles en el comando useradd.

    Ejemplos:

    • # usermod -s /bin/csh dominic # coloca el shell csh para el usuario dominic
    # usermod -G users,disk dominic # señala como grupos secundarios de dominic a users y disk
    # usermod -e 2005-10-20 dominic # indica que la cuenta de dominic expirará el 20 de octubre del 2005
  • Comando chfn : permite cambiar la información de contacto de un usuario. Esta incluye aspectos como: el nombre completo, la oficina de trabajo y los teléfonos. Se almacena en el archivo de usuarios /etc/passwd en la sección de comentarios.

    Ejemplos:

    • # chfn dominic
    Changing finger information for dominic.
    Name []: Dominic Davis
    Office []: Informática
    Office Phone []: 22-0909
    Home Phone []: 44-3025     		# Cambia información del usuario dominic
    # chfn
    Changing finger information for root.
    Name []:
    Office []:
    Office Phone []:
    Home Phone []:    		 # cambia la información de contacto del usuario actua
  • Comando chsh: cambia el shell del usuario especificado.

    Ejemplos:
    # chsh dominic
    Cambiando la shell de acceso para dominic
    Introduzca el nuevo valor, o presione enter para el predeterminado
    Shell de acceso [/bin/bash]:

    # chsh
    Cambiando la shell de acceso para root
    Introduzca el nuevo valor, o presione enter para el predeterminado
    Shell de acceso [/bin/bash]:

  • Comando chage : permite cambiar el password y los datos del usuario.

    Algunas Opciones:
    -d [dias] : Cuenta el número de días (desde 01-01-1970) transcurridos desde que cambió la contraseña por última vez
    -E [fecha] : Modifica la fecha en que la cuenta del usuario expirará y será bloqueada
    -l [dias] : Modifica cuantos días puede permanecer una cuenta con una contraseña expirada antes de ser bloqueada
    -M [dias] : Modifica el número máximo de días durante los que es válida la contraseña de usuario. Pasados los días, el usuario deberá de modificarla
    -m [dias] : Modifica el número mínimo de días entre cambio de contraseña
    -W [dias] : Modifica el número de días que se avisará al usuario antes de cambiar la contraseña

    Ejemplos:

    • # chage -E 2005-06-15 dominic # la cuenta del usuario dominic expirará el 15.Junio.2005
    # chage -l 7 dominic
    		 # la cuenta del usuario dominic tendrá 7 días de comunicaciones antes de ser bloqueada
    # chage -M 7 dominic # se da 7 dias al usuario dominic para que pueda modificarla su contraseña, luego del cual deberá modificarla en forma obligatoria


COMANDOS PARA GESTIONAR GRUPOS

  • Comando groupadd : permite añadir un grupo al sistema.

    Ejemplos:

    • # groupadd admin
    # groupadd –g 601 supervisor # añade un grupo supervisor con GID 601
  • Comando groupdel : permite eliminar un grupo del sistema, el grupo no podrá ser eliminado si este es el grupo primario de un usuario.

    Ejemplo:
    # groupdel admin

  • Comando groupmod : permite modificar el nombre o GID de un grupo.

    Ejemplos:

    • # groupmod –g 701 supervisor # cambia el GID a 601 del grupo supervisor
    # groupmod -n manager supervisor # cambia el nombre del grupo supervisor a manager
  • Comando gpasswd : permite administrar los grupos. Se puede utilizar para añadir y eliminar usuarios, señalar un administrador e indicar un password para el grupo.

    Ejemplos:

    • # gpasswd -A raul admin # señala como administrador del grupo admin al usuario raul
    # gpasswd admin # cambia el passwd del grupo admin
    # gpasswd -a juan admin # añade el usuario juan al grupo admin

COMANDOS ADICIONALES PARA GESTIONAR USUARIOS

Comando Descripción
# whoami # nos muestra que usuario somos
# groups [usuario] # nos sirve para saber a qué grupos pertenecemos
# id [usuario] # nos mostrará nuestro uid, gid, y el id del grupo al que pertenecemos
# su [usuario] # sirve para convertirnos en otro usuario sin tener que salir de la sesión, así como para cambiar a ser un superusuario
# newgrp [grupo] # sirve para cambiar de grupo, se utiliza para cambiar a un grupo que no pertenecemos
# who # nos muestra la lista de usuarios dentro del sistema
# w [usuario] # nos muestra la lista de usuarios dentro del sistema y también lo que están haciendo
# write [usuario] # comando que se utiliza para comunicarse entre los usuarios del sistema
# wall [mensaje] # permite enviar un mensaje a todos los terminales de los usuarios dentro sistema
# mesg [y|n] #permite activar o desactivar la opción de recibir mensajes

Filed under: Mundo Linux   |  Deja un comentario

Bienvenidos a mi blog!!

19ene10

Hola todos, mi primera entrada,  a ver si hay muchas de esta. Me presento soy Francisco Javier y el objetivo de este blog es compartir mis experiencias profesionales del mundo de la informatica con quien desee aprender, ayudar y también compartir sus experiencias .


Filed under: Principal   |  cerrado
Seguir

Get every new post delivered to your Inbox.