Administracin de usuarios

Objetivos

Implementar una poltica para administracin de usuarios: grupos, usuarios, permisos. Configurar el sistema buscando mantener privacidad y hacer ms fcil la adaptacin de usuarios nuevos.

Lecturas: Administracin de usuarios

El objetivo de los usuarios, grupos y permisos en Unix es brindar privacidad y organizacin permitiendo tambin compartir informacin cuando as se desea. Con respecto a usuarios el administrador puede crear, eliminar o modificar informacin de cuentas y grupos. Tambin puede configurar detalles de los programas que permiten iniciar sesiones (ver Lectura Configuracin de una sesin) y prevenir fallas de seguridad. Si an no lo ha hecho, antes de consultar esta seccin recomendamos estudiar la visin que un usuario tiene del sistema de usuarios y grupos (ver Sistema de usuarios y manejo de clave).

En una red con NIS la informacin de cuentas y grupos est centralizada en el servidor. Desde este debe hacerse la administracin con los programas y archivos presentados en esta seccin y despus de cada cambio debe reconfigurarse NIS como se explicar posteriormente (ver Servicio NIS).

Usuarios Los siguientes programas permiten realizar operaciones relacionadas con usuarios: su [usuario] Permite entrar a una sesin como un usuario diferente, si no se especifica un usuario como primer parmetro, su cambia al usuario root. Desde una cuenta de usuario pedir la clave del nuevo usuario, e iniciar el intrprete de comandos que el usuario haya configurado. Si se emplea la opcin -c comando el comando se ejecutar. Por defecto el ambiente y el directorio de trabajo sern heredados de la sesin inicial, pero si se desea iniciar con un ambiente y directorio como el que tendra el usuario despus de hacer login (pero sin ejecutar archivos de inicializacin del interprete de comandos), emplee la opcin 1.Si desea ejecutar un intrprete de comandos diferente al configurado por el usuario emplee la opcin -s intrprete, donde intrprete debe ser la ruta completa del intrprete de comandos que adems debe estar listada en el archivo /etc/shells2. En Debian 2.2 su al igual que login emplea los servicios de la librera PAM (Pluggable authentication modules), as que puede configurar varios detalles relacionados con seguridad de su en el archivo /etc/pam.d/su ---por ejemplo para restringir el uso de este comando. passwd [usuario] Permite cambiar la clave del usuario especificado (slo root puede especificar un usuario). Si no se especifica un usuario permite cambiar la clave de la cuenta desde la cual se ejecuta. Por defecto un usuario podr cambiar su clave cuando l/ella lo desee, aunque puede implementarse una poltica de expiracin de claves. La poltica de un usuario puede examinarse con la opcin -S que presenta: estado de la cuenta (L bloqueada, NP sin clave, P con clave utilizable), fecha del ltimo cambio de clave, tiempos mnimo y mximo para cambiar clave, tiempo de avisos y tiempo para desactivacin. Puede fijarse la poltica con las siguientes opciones: -x das para especificar el mximo de das antes de que un usuario deba cambiar su clave 3; -w das para indicar con cuantos das de anterioridad a la expiracin de la clave el sistema
1

Al emplear la opcin - de su se inicializa el ambiente tal como el programa login lo hara, el valor de la variable PATH ser tomado de /etc/login.defs, de ENV_PATH si se pasa a un usuario normal o de ENV_SUPATH si se trata del usuario root
2

En /etc/shells se listan los intrpretes de comandos disponibles. Algunos programas que operan en red slo aceptan conexiones de usuarios cuyo intrprete de comandos est listado en ese archivo.

debe empezar a enviar correos recordando el cambio; -i das ndica el mnimo nmero de das que el usuario debe esperar para cambiar nuevamente su clave; -i das para deshabilitar una cuenta cuya clave no haya sido cambiado en los das especificados. Una cuenta puede bloquearse para impedir que pueda usarse con el programa login. Pueden bloquear y desbloquear cuentas con las opciones -u (de unlock) y -l respectivamente. chage usuario Cambia la informacin sobre el envejecimiento de la clave de un usuario, cuando se estn usando claves shadow. Para cambiar el mnimo de das entre cambios se usa la opcin -m das (0 ndica que puede cambiarse siempre), -M das para indicar mximo de das antes de la expiracin de la clave, -d das para establecer fecha del ltimo cambio de clave (contada en das a partir de 1/Ene/1975), -E fecha fecha en la cual la cuenta expirar (puede especificarse como una fecha mm/dd/aaaa o contada en das a partir de 1/Ene/1975), -I das establece cantidad de das de inactividad antes de bloquear una cuenta despus de la expiracin de la clave, -W das cantidad de das de preaviso antes de la expriacin de la clave. adduser login Permite agregar un usuario con el login dado 4, opcionalmente indicando el directorio de trabajo (opcin --home) que de no existir ser creado, un nmero que identificar al usuario de forma nica (opcin uid), el grupo principal al que pertenecer (opcin --ingroup grupo), el intrprete de comandos por defecto (opcin --shell nombre) y otros datos del usuario con la opcin --gecos "datos" (los datos se separan con comas y por defecto son: nombre, nmero de cuarto, telfono del trabajo y telfono de la casa). A menos que se especifique --disabled-login o --disabled-password pedir clave inmediatamente despus de crear la cuenta (--disabled-login bloquea la cuenta hasta que se asigne una clave, --disabled-password no bloquea la cuenta pero asigna una clave no vlida, el usuario podra entrar por ejemplo con RSA ssh). Las operaciones que adduser realiza se configuran en el archivo /etc/adduser.conf. Por defecto crear cuentas de usuarios en el directorio /home y copiar en los nuevos directorios los archivos del directorio /etc/skel (e.g .bash_profile), pondr como intrprete de comandos por defecto /usr/bin/bash y asignar un nmero de usuario5 de acuerdo a la poltica de Debian y asignar un grupo nuevo a cada
3

Cuando un usuario no ha cambiado su clave dentro del mximo de das especificado, en la siguiente oportunidad que entre a una sesin el sistema solicitar una nueva clave --que debe ser diferente a la anterior.
4

Hay varios programas similares a adduser, addgroup, deluser y delgroup se trata de useradd, groupadd, userdel y groupdel. Recomendamos emplear los primeros porque son ms flexibles (se configuran en los archivos /etc/adduser.conf y /etc/deluser.conf) y porque permiten seguir las polticas de numeracin de grupos y usuarios de Debian

usuario. Normalmente despus para agregar un usuario debe especificar la clave que tendr, si prefiere crear una cuenta inicialmente sin clave emplee la opcin --disabled-password (antes de poder emplear la cuenta debe establecer la clave con passwd). chfn [login] Para cambiar la informacin GECOS de un usuario (si no se especifica un login se cambiar la informacin del usuario que emplee el programa). Como opciones recibe -f nombre, -r cuarto, -w telfono_trabajo, -h telfono casa y -o otros_datos. Nuestra sugerencia es emplear en lugar de cuarto el grado y en lugar del telfono del trabajo la direccin de la casa. Estos datos no deben contener los caracteres ',' ';' ni '='. Los datos que no se especifiquen en la lnea de comandos sern solicitados interactivamente. chfn tambin ser llamado por passwd si se emplea la opcin -f. chsh [login] Para cambiar el intrprete de comandos de un usuario (si no se especifica un login se cambiar el intrprete del usuario que emplee el programa). Como opcin recibe el nombre del intrprete, el cual debe estar listado en el archivo /etc/shells. Un usuario que emplee un intrprete de comandos restringido (/bin/rsh) no puede cambiar su shell. chsh tambin ser llamado por passwd si se emplea la opcin -s. deluser login Para eliminar una cuenta Por defecto no elimina el directorio personal ni la cola de correos, puede indicarse que se borren estos directorios con la opcin --remove-home y puede indicarse que se busquen y eliminen todos los archivos del usuario (en los dems directorios) con la opcin --remove-all-files. Con la opcin --backup crear un archivo comprimido con los datos del usuario en el directorio de trabajo con nombre login.tar.gz. El comportamiento por defecto de este comando puede configurarse en el archivo /etc/deluser.conf. La informacin sobre usuarios se mantiene en el archivo que todos los usuarios pueden leer: /etc/passwd. Cada lnea de este archivo tiene informacin de un usuario separada con el caracter ':'. De cada usuario mantiene:

login Clave o un carcter de control. En sistemas Unix las claves antes de ser almacenadas en este archivo (para su posterior comparacin) son

Si no se especifica un nmero de usuario o grupo a adduser o addgroup, estos asignarn uno disponible de acuerdo a la poltica de Debian: en el rango 1000 a 29999 si es un usuario normal o en el rango 100 a 999 si es una cuenta requerida por algn programa (que se indica con la opcin --system, adems al usar --system con adduser el intrprete de comandos ser /bin/false). Las identificaciones entre 0 y 100 son comunes a cualquier sistema Debian y no deben modificarse.

convertidas a una secuencia de letras y nmeros con un algoritmo (bien DES o bien MD56, cada vez que un usuario desea ingresar al sistema la clave que teclea se transforma con ese algoritmo y se comparar con la almacenada para dar acceso slo si son iguales. Por las caractersticas de DES y MD5 es muy difcil recuperar la clave original partiendo de la informacin almacenada en /etc/passwd as que una persona con acceso a este archivo no podr conocer fcilmente las claves de los usuarios. Sin embargo es mejor emplear el sistema de claves shadow, que mantiene las claves en un archivo aparte que slo pueda ser ledo por el administrador: /etc/shadow, las cuentas que empleen este mecanismo tendrn un caracter 'x' en lugar de clave. Tanto en /etc/passwd como en /etc/shadow en lugar de clave transformada puede aparecer el caracter '*' para indicar que la cuenta tiene clave deshabilitada (opcin --disabledpassword de adduser), el usuario podra ingresar con RSA ssh. En lugar de la clave tambin puede aparecer el caracter '!' para indicar que la cuenta est bloqueada (opcin --disabled-login de adduser), en este caso el usuario no podr entrar con login ni con gdm ni con RSA ssh, pero si con su y se ejecutarn procesos del usuarios iniciados por cron o at.

UID, es decir nmero nico que identifica al usuario en el sistema. GID, es decir nmero que identifica al grupo principal del usuario. informacin GECOS7, los datos se separan entre si con comas. directorio personal intrprete de comandos

En el archivo /etc/shadow8 hay una lnea por cada usuario con los siguientes datos separados por ':':

Login Clave transformada Fecha del ltimo cambio de la clave (contada en das a partir del Enero 1 de 1975). Das por esperar antes de que la clave pueda ser cambiada. Mximo de das antes de exigir un cambio de clave. Cantidad de das de preaviso antes de expiracin de clave. Cantidad de das entre expiracin de clave y bloqueo de cuenta. Fecha desde la cual la cuenta est deshabilitada (contada en das desde Enero 1 de 1975). Campo reservado.

Con DES el tamao mximo de una clave es 8 caracteres, el algoritmo MD5 es ms seguro y permite claves de mayor longitud.
7

De acuerdo a la pgina man de passwd, GECOS es sigla de General Electric Comprehensive Operating System.
8

Para convertir un archivo de claves shadow a passwd y viceversa se usan pwunconv y pwconv respectivamente. Puede desactivarse el uso de claves shadow con shadowconfig off y activarse con shadowconfig on

Aunque puede editar manualmente /etc/passwd y /etc/shadow es recomendable que emplee los programas presentados en esta seccin. Los GID y UID reservados en un sistema Debian estn en los archivos /usr/share/base-passwd/group.master y /usr/share/basepasswd/passwd.master, si algn programa o administrador erradamente asigna alguno de estos nmeros puede emplear update-passwd para reasignar los originales.

3.1.2. Grupos El objetivo de los grupos es dar o restringir permisos sobre algunos archivos a ciertos usuarios (ver Archivos y permisos). Por ejemplo un archivo reporte.txt que pertenezca al grupo profesores, que tenga permiso de lectura para el grupo y no para otros usuarios (si por ejemplo se estableci con chmod ug=rw reporte.txt), podr ser ledo nicamente por el dueo y por usuarios que pertenezcan al grupo profesores. Cada usuario tiene un grupo principal (puede especificarse durante la creacin con la opcin --gid GID o --ingroup grupo de adduser), puede pertenecer a diversos grupos y si conoce la clave de algn grupo con clave puede volverse miembro durante una sesin. Los programas relacionados con grupos son: adduser usuario grupo Para agregar un usuario a un grupo. En Debian algunos dispositivos pertenecen a ciertos grupos, de forma que es indispensable agregarlos como grupos secundarios de los usuarios que los requieran: audio: Permite acceder a dispositivos de sonido. lp: Permite acceder a los puertos locales de impresin. floppy: Para acceder a la(s) unidad(es) de disquete. tape, cdrom: Ambos son requeridos para acceder al CDROM. dialout: Para acceder a mdems. disk: Cuando se requiere acceder a discos a bajo nivel. kmem: Para acceder de forma privilegiada la memoria. tty: Para acceder de forma privilegiada a la consola. groups Un usuario puede ver los grupos a los que pertenece con este programa. newgrp [grupo]

Para cambiarse a un grupo con clave. Si no se especfica grupo alguno se cambiar al grupo principal del usuario. Con la opcin - el ambiente ser reinicializado como al inicio de la sesin 9 . passwd -g grupo Para cambiar la clave de un grupo. Para quitar la clave de un grupo se emplea passwd -g -r grupo ---los programas newgrp y sg no permiten cambiarse a un grupo sin clave. gpasswd grupo Para administrar grupos con clave, puede ser usado por el administrador del sistema y por el administrador de un grupo con clave. Con la opcin -A login el administrador del sistema puede agregar un administrador de grupo a un grupo, con la opcin -M login puede retirarse la administracin de un grupo a un usuario, con la opcin -r puede quitarse la clave a un grupo con clave y con la opcin -R puede inhibir el acceso con newgrp a un grupo con clave. Un administrador de grupo puede agregar y eliminar usuarios del grupo con las opciones -a login y -d login respectivamente. addgroup nombre Permite agregar un grupo con el nombre dado 10. Con la opcin --gid ID puede especificarse el nmero que identificar al grupo, nmero acorde con el archivo /etc/adduser.conf y a las convenciones de Debian: 0-100 estticos reservados para Debian, 100-999 localizados dinmicamente para grupos del sistema, 1000-29999 para grupos normales (ver descripcin del comando adduser en la seccin anterior). groupdel group Permite eliminar un grupo. Slo pueden eliminarse grupos que no sean el grupo principal de algn usuario. groupmod grupo Permite modificar informacin de un grupo. Las opciones posible son: -g GID para cambiar el nmero que identifica al grupo (ver convenciones en descripcin de addgroup) y -n nombre para cambiar el nombre del grupo. El nmero que identifica al grupo debe ser nico, excepto si se emplea la opcin -o (para crear grupos alias, aunque el sistema de archivos no necesariamente presentar el alias como grupo dueo).
9

sg es un comando similar a newgrp que adems permite especificar un comando por ejecutar con la opcin -c comando
10

Un comando casi equivalente a addgroup es groupadd, sin embargo addgroup tiene en cuenta las polticas de Debian y la informacin de /etc/adduser.conf.

grpck Para verificar la informacin de grupos en /etc/group y /etc/gshadow. Con la opcin -r abre estos archivos en modo de slo lectura. La informacin de grupos se consigna en /etc/groups, cada lnea tiene los siguientes datos de un grupo separados uno de otro con el caracter ':'

Nombre del grupo Clave del grupo transformada con DES o MD5. Si el grupo tiene clave shadow en este archivo aparecer el caracter 'x' y la clave transformada estar en otro archivo (por defecto /etc/gshadow. GID Lista de usuarios del grupo separados con comas.

No es recomendable editar directamente estos archivos, sino ms bien emplear los programas presentados en esta seccin.

Inicio de sesiones en consolas virtuales Una sesin iniciada desde una consola virtual o desde una conexin remota (via telnet, rsh o ssh) es atendida inicialmente por el programa getty (ver Lectura Configuracin de una sesin. El mensaje que presenta getty se configura en el archivo /etc/issue y puede contener algunas secuencias especiales como: \d que corresponde a la fecha, \s al nombre del sistema operativo, \l al nmero de la consola virtual (lnea tty), \m al tipo de procesador (e.g i486), \n al nombre de la mquina, \u cantidad de usuarios conectados. Por ejemplo, si el archivo /etc/issue es:
Debian \s 2.2 en un \m. \n \u \l

getty mostrar un mensaje como:

Debian Linux 2.2 en un i586. oxigeno 3 tty1

Cuando un usuario teclea su login, getty pasa el control al programa login. El programa login por intermedio de la librera PAM espera la clave del usuario y la vlida, cuando el usuario da la clave correcta verifica que el acceso para ese usuario a la hora del ingreso sea posible 11 y entonces inicializa algunas variables de ambiente, muestra algunos mensajes (por defecto la fecha de la ltima conexin y el contenido del archivo /etc/motd12) e inicia un intrprete de comandos (el que est configurado para el usuario en /etc/passwd). Las acciones que login realiza pueden configurarse en los archivos /etc/login.def y /etc/pam.d/login, las consolas desde las cuales puede ingresar el usuario

11

Por defecto todos los usuarios pueden entrar a cualquier hora, puede modificarse esto editando /etc/security/time.conf.
12

motd abrevia message of day (en espaol mensaje del da).

root se configuran en /etc/securetty, otras restricciones de seguridad pueden configurarse en los archivos del directorio /etc/security13 . Inicio de sesiones X-Window Algunas generalidades sobre X-Window y la visin del usuario final se presentaron en el captulo anterior (ver Lectura Configuracin de una sesin), en esta seccin presentamos como puede iniciarse un servidor X-Window y algunos aspectos de su configuracin.

Servidor X

Un servidor X configurado maneja el modo grfico de la tarjeta de video, teclado y un apuntador (ratn, tarjeta graficadora) para interactuar con el usuario y atender programas que lo emplean como clientes X-Window. Un cliente X-Window normalmente estar corriendo en la misma mquina donde est el servidor, aunque puede estar en otra mquina ver Servicios de la Intranet. Para iniciar un servidor X se emplea el programa X (cuya ruta completa normalmente es /usr/X11R6/bin/X y que es un enlace al ejecutable del servidor que haya configurado para su hardware). Cada servidor X tiene una identificacin como natura.micolegio.edu.co:0.0 compuesta por el nombre de la mquina, un nmero de vista (una vista se refiere a una coleccin de monitores con un teclado y apuntador comn) y un nmero de pantalla (en caso de que un computador tenga ms de un monitor). En un mismo computador pueden iniciarse varios servidores X, cada uno con un nmeo de vista diferente. Por ejemplo para iniciar como vista 0 un servidor X en la consola virtual 9 (pasa a ella con Ctrl-Alt-F9, ver Sistema de usuarios y manejo de clave):
/usr/X11R6/bin/X :0 vt9

Simultneamente podra iniciarse como vista 1 en la consola virtual 3 otro con:

/usr/X11R6/bin/X :1 vt3

Por defecto si no se especifica una consola virtual por usar, X buscara y emplear la primera libre.
Administrador de vistas xdm

Se configura en /etc/X11/xdm/xdm-config y /etc/X11/xdm/xdm.options, este administrador de vistas puede administrar uno o ms servidores en una o varias mquinas (configurados en /usr/lib/X11/xdm/XServer), y permite usar terminales X con el protocolo XDMCP.
13

access.conf login access control table, group.conf para dar acceso a ciertos usuarios a ciertos grupos a los cuales no pertenece, limits.conf para establecer lmites en el uso de algunos recursos del sistema (como procesos, memoria, archivos abiertos simultneamente, tiempo de CPU, nmero de logins, prioridad de procesos), pam_env.conf donde pueden configurarse variables de ambiente, time.conf donde se configura horarios en el que ciertos usuarios pueden ingresar al sistema

En cada servidor que maneja ejecuta el script /usr/lib/X11/xdm/XSetup y despus permite el inicio de sesiones presentando el widget Xlogin que pide login y clave a cada usuario y que usa los los recursos de X-Window definidos en /usr/lib/X11/xdm/Xresources (en particular la imagen presentada). Cuando se autentica se ejecutan los scripts: como root (que por defecto slo agrega la autenticacin a la bitcora utmp), despus /usr/lib/X11/xdm/Xsession como usuario. Este ltimo ejecuta /etc/X11/Xsession el cual ejecuta todos los scripts del directorio /etc/X11/xsession.d que por defecto mezclan recursos de XWindow (tanto del sistema como de usuario) y ejecutan el script ~/.xsession el cual debe ser configurado por el usuario (ver Lectura Configuracin de una sesin). Algunas variables que afectan la ejecucin de los scripts de /etc/X11/Xsession.d se configuran en /etc/X11/Xsession.options, puede consultarse ayuda sobre estas variables con man Xsession.options.
/usr/lib/X11/xdm/Xstartup

un

usuario

Cuando la ejecucin de ~/.xsession concluye, xdm cierra la sesin con el script /usg/lib/X11/xdm/Xreset.

xinit o startx

xinit es un programa para iniciar desde la lnea de comandos una sesin de XWindow teniendo en cuenta la configuracin del usuario. Para esto inicia el servidor X configurado en ~/.xserverrc o en /etc/X11/xinit/xserverrc (que normalmente es /usr/X11R6/bin/X) y despus ejecuta el archivo de configuracin ~/.xinitrc o en su defecto ~/.xsession o a falta de los anteriores /usr/lib/X11/xinit/xinitrc. La sintaxis de ~/.xinitrc es la misma de ~/.xsession ---slo que el primero hereda las variables de ambiente del interprete de comandos (la sintaxis de ~/.xsession puede consultarse en ver Lectura Configuracin de una sesin). startx tiene exactamente el mismo propsito (de hecho ejecuta xinit). Estos comandos son especialmente tiles durante la configuracin de XWindow, bien cuando no se ha logrado configurar para los dispositivos de su computador (y en ese caso xdm no puede iniciar), o bien para probar cambios ms rpidamente. Eventualmente mientras xdm est operando usted puede querer hacer cambios a la configuracin de X-Window, termine en ese caso xdm (con /etc/init.d/xdm stop o buscando y matando el proceso de xdm), termine el servidor X que est corriendo, haga los cambios necesarios y despus ejecute startx.
Administrador de vistas gdm y Gnome

El administrador de vistas gdm es similar a xdm aunque ofrece mejoras en la presentacin. Se configura en el archivo gdm.conf y en scripts cuyo nombre sea el nmero de vista (e.g. :0) o Default en los directorios:

10

/etc/gdm/Init

Cuando gdm inicia.

/ete/gdm/PreSession

Cada vez que un usuario abre una sesin.

/etc/gdm/PostSession

Cada vez que un usuario cierra una sesin. En el directorio /etc/gdm/Sessions hay scripts que sern ejecutados de acuerdo a la sesin que el usuario en el men tipo de sesin durante la autenticacin. El script que inicia la sesin Gnome, por defecto carga algunas variables de ambiente de /etc/login.defs, mezcla recursos del sistema /etc/X11/Xresources y del usuario (~/.Xresources, activa configuracin de teclado especializada del sistema y del usuario ( /etc/X11/Xmodmap y ~/.Xmodmap), ejecuta el archivo de configuracin de Gnome del usuario ~/.gnomerc e inicia el administrador de sesiones GNOME: gnome-session.

Variables de ambiente en consolas virtuales y X-Window La mayora de intrpretes de comandos, incluyendo bash, leen informacin de configuracin primero del archivo /etc/profile y despus de archivos de configuracin del usuario (ver Lectura Configuracin de una sesin). Sin embargo si emplea un administrador de vistas como xdm, gdm o kdm estos programas por defecto no leern ese archivo, as que para establecer variables antes de que un administrador de escritorio o un manejador de ventanas inicie debe emplearse un archivo de configuracin propio del administrador de vistas. En el caso de gdm el valor de la variable PATH puede establecerse en /etc/X11/gdm/gdm.conf (lnea DefaultPath) y otras variables pueden establecerse en el archivo que controla el tipo de sesin (con gdm el usuario puede escoger el tipo de sesin al que desea entrar e.g Xsession, Debian, Gnome). Los archivos que controlan las sesiones son scripts localizados en el directorio /etc/X11/gdm/Sessions --son scripts normalmente cortos que puede revisar y editar para configurar el inicio de sesiones grficas. La solucin ms general y rpida para establecer variables de ambiente es configurarlas en el archivo /etc/security/pam_env.conf que es leido por PAM --que a su vez es usado tanto por login como por administradores de displays como xdm y gdm. Si desea configurar PATH tenga en cuenta modificar /etc/profile y el archivo de configuracin de su administrador de displays para que no la sobreescriban.

Lectura recomendadas: Administracin de usuarios

11

Otra presentacin del sistema de usuarios est disponible por ejemplo en la seccin 4.6 de "Linux Installation and Getting Started" http://www.linuxdoc.org/LDP/gs/node6.html#secmanageusers Pginas del manual del sistema de cada una de las herramientas mencionadas en esta seccin (en la primera gua se presentan direcciones en Internet donde puede consultar las pginas man (ver Bsqueda y consulta de documentacin). Puede consultar las polticas sobre numeracin de grupos y usuarios en la seccin 3.2 de "Debian Policy Manual". En un sistema Debian estn disponibles en el directorio /usr/doc/debian-policy, en Internet el documento est en: http://www.debian.org/doc/debian-policy/ Puede consultar ms documentacin sobre el sistema de claves en info libc el manual de libc o en Internet en http://www.gnu.org/manual/glibc2.2.3/html_chapter/libc_29.html#SEC602. Si instala en su sistema el paquete libpam-doc (ver Administracin de programas), puede consultar ms sobre PAM, su configuracin y los mdulos disponibles en el directorio /usr/share/doc/libpam-doc. Puede consultar informacin sobre X-Window y el administrador de vistas x en las pginas man: X, xdm, xdm.options. Una buena referencia de X-Window (incluyendo xdm y XDMCP) es: X-Window System Administrator's Guide, 1992. Linda Mui y Eric Pearce. O'Reilly & Associates, Inc. En Internet puede consultar sobre XDMCP en: http://www.xs4all.nl/~zweije/xauth-9.html Puede consultar ms sobre GDM en "GNOME Display Manager Reference Manual", disponible en su computador en file:/usr/share/gnome/help/gdm/C/gdm.html o en Internet en http://www.oswg.org/oswg-nightly/oswg/en_US.ISO_8859-1/articles/gdmreference/gdm-reference.html

Ejercicios: Administracin de usuarios

1. Los nmeros UID y GID del usuario root son fijos, investigue en su sistema cuales son. 2. En el directorio tarea1 se quiere que todos los miembros del grupo estudiantes puedan escribir, pero que un miembro de ese grupo no pueda borrar o renombrar archivos de otros, cmo puede lograrse? si adems se quiere que no puedan ver o modificar el contenido de archivos de otros miembros del mismo grupo que se requiere? 3. Para transformar una clave con el algoritmo DES puede emplear el siguiente script escrito en lenguaje Perl: #!/usr/bin/perl $sal=join '', ('.', '/', 0..9, 'A'..'Z','a'..'z')[rand 64, rand 64]; print crypt($ARGV[0],$sal); print "\n"; Si el nombre del script es enc.pl y le da permiso de ejecucin, para transformar la clave "vida" bastara ejecutar enc.pl vida. 12

Emplee este script para transformar una clave, despus edite /etc/passwd o /etc/shadow agregue la nueva clave transformada a una cuenta de prueba y finalmente compruebe que la nueva clave funciona entrando a la cuenta de prueba. Nota: Si desea experimentar con MD5 en lugar de DES debe cambiar la "sal"14, remplazando la lnea con la funcin crypt por print crypt($ARGV[0],"\$1\$$sal"); 4. Cree un usuario en el grupo users y agrguelo a grupos que le permitan acceder a la impresora local, a dispositivos de audio y a la unidad de disquete. Despus pase a la cuenta del nuevo usuario y compruebe que pueda usar disquetes. Finalmente elimine el usuario creado. 5. Nuestra plataforma de referencia (ver Plataforma de referencia) sugiere 3 grupos bsicos: profesores, estudiantes y administracin. Considere ventajas y desventajas de esta poltica (o si lo prefiere de otra ideada por usted de acuerdo a la informacin que se maneja en la red). Qu usuarios deberan tener ms de un grupo? qu grupos podran tener clave, quienes administraran tales grupos y quienes seran los usuarios? 6. Cree los grupos que decidi en el punto anterior y usuarios de prueba (de forma que al menos un usuario de prueba est en dos grupos). 7. Qu cambios puede realizar en /etc/adduser.conf para facilitar la implementacin de la poltica descrita en los ejercicios anteriores? 8. Piense una mscara de permisos apropiada para todos los usuarios. Describa como la aplica empleando umask y los cambios que debe realizar para establecer tal mascara por defecto para todos los usuarios. 9. Haga los cambios apropiados en su sistema, para que todo directorio creado para nuevos usuarios tenga un archivo ayuda.txt donde los usuarios podran escribir sus propias notas para emplear bien el sistema, y un mecanismo que le recuerde a los usuarios la existencia de tal archivo. Inicialmente ese archivo poda tener un mensaje de bienvenida y/o instrucciones para comenzar a usar bien el sistema. 10. Haga una lista de chequeo de detalles que deba tener en cuenta para prevenir que alguien entre a cuentas que no le pertenecen (especialmente como evitar que alguien pueda entrar a la cuenta root). 11. Opcional: Configure gdm para que en vez de presentar el logo tpico presente el logo de su institucin educativa.

14

Tanto MD5 como DES transforman una clave empleando un nmero, este nmero (llamado informalmente "sal") produce una transformacin diferente y se adjunta al comienzo de la clave transformada. Es til para hacer ms difcil a un intruso descubrir claves (porque si intenta descubrir claves probando con algunas fijas, transformndolas y comparando con /etc/passwd debe usar cada una de las sales de cada usuario en sus intentos.

13