LE Module 13-14.es

Mdulo 13
Seguridad de usuario y del

sistema
Sergi Pons Luis
Responsable Tcnico de los proyectos LPI y CNA
sergi.pons@pue.es
This slide deck is for LPI Academy instructors to use for lectures for LPI Academy courses.
Copyright Network Development Group 2013.
Objetivo del examen

5.1 Seguridad bsica e identificacin
de tipos de usuarios
Objetivos
Trabajar con usuarios Root y estndar
Usuarios del sistema
Las cuentas de usuario y

contraseas
Las cuentas de usuario

Los archivos del directorio /etc contienen datos de
las cuentas de usuario.
El archivo /etc/passwd define alguna informacin
de las cuentas de usuario.
El archivo /etc/passwd
Cada lnea del archivo /etc/passwd hace
referencia a una cuenta de usuario.
Cada lnea divide los campos por dos puntos. Los
campos de izquierda a derecha son las siguientes:
Nombre: Posicin de la contrasea: IDusuario: IDgrupo principal:
Comentario: directorio de inicio: Shell
El archivo /etc/passwd
Campo
Ejemplo
Descripcin
nombre
root
Este es el nombre de la cuenta.
contrasea marcador
de posicin
La x en el campo de contrasea indica al

sistema que la contrasea no se almacena aqu,
sino en el archivo /etc/shadow
ID usuario
Cada cuenta se le asigna un ID de usuario (UID).
ID grupo principal
Cuando un usuario crea un archivo, el archivo

es propiedad de un identificador de grupo
(GID), GID principal del usuario.
Comentario
root
Este campo puede contener cualquier

informacin sobre el usuario, incluyendo su
nombre real (completo) y otra informacin til..
directorio de inicio
/root
Este campo define la ubicacin del directorio

principal del usuario.
shell
/bin/bash
Esta es la ubicacin de la shell de registro del

usuario.
El archivo /etc/shadow
Contiene informacin de la cuenta relacionada con la
contrasea del usuario.
Los campos del archivo /etc/shadow :
Nombre:Contrasea:lastchange:min:max:warm:inactivo:
expire:reservado
El archivo /etc/shadow
Campo
Ejemplo
Descripcin
name
sysadmin
Este es el nombre de la cuenta, que coincide con el nombre

de cuenta en el archivo /etc/passwd
password
$ 6 $ .........
rl1
Contiene la contrasea cifrada para la cuenta.
last change
15020
Contiene un nmero que representa la ltima vez que se

cambi la contrasea.
min
La contrasea no se puede cambiar de nuevo hasta pasados

los das especificado.
max
30
Este campo se utiliza para obligar a los usuarios a cambiar

sus contraseas de forma regular
warn
Si el campo max est establecido, el campo warn indica que

el usuario se "advirti" cuando se acerque el plazo max
inactive
60
El campo inactivo proporciona al usuario un perodo de

"gracia" en el que su contrasea se puede cambiar.
expire
15050
Este campo representa el nmero de das desde el 1 de

enero 1970 hasta el da que la cuenta "expirar".
Ver la informacin de la cuenta
Informacin de la cuenta
Para ver la informacin de la cuenta del usuario
"sysadmin", utilice el comando grep sysadmin
/etc/passwd:
O el comando getent:
Informacin de inicio de sesin

Para verificar su identidad puede ejecutar el
comando id:
Cuentas del sistema
Cuentas del sistema

Las cuentas del sistema estn diseadas para
proporcionar cuentas de los servicios que se ejecutan en
el sistema.
Tienen UID entre 1-499
No tienen login para la shells en /etc/passwd
Tienen un * en el campo contrasea de /etc/shadow
La mayora son crticos para el funcionamiento del
sistema.
Slo eliminar una cuenta del sistema cuando estemos
100% seguro de que no se necesita.
Grupos del sistemas
Cuentas de grupo
Cada usuario puede ser un miembro de uno o ms
grupos.
El archivo /etc/passwd indica el grupo principal al
que pertenece un usuario.
La pertenencia a un grupo suplementario se define
en el archivo /etc/group
Tambin se pueden utilizar los comando grep o
getent para mostrar informacin del grupo.
El archivo /etc/group
Cada grupo est definido en este archivo.
Cada entrada tiene los siguientes campos
nombre_grupo: password_placeholder: GID: lista_usuarios
Campo
Ejemplo
Descripcin
nombre_grupo
mail
Este campo contiene el nombre del grupo.
password_placeholder
La "x" en este campo se utiliza para indicar

que la contrasea se almacena en el archivo
/etc/gshadow
GID
12
Cada grupo est asociado con un nico ID

de grupo (GID) que se coloca en este campo.
lista_usuarios
mail,postfix
Este ltimo campo se utiliza para indicar

que es un miembro del grupo.
Cambiar de grupo
Cree un archivo que pertenece a uno de sus grupos
secundarios utilizando:
newgrp group_name
Abre un nuevo shell con el nuevo grupo primario.
Use el comando id para verificar el nuevo grupo
primario.
Use el comando exit para volver al shell anterior.
Puede ser desactivada debido a las contraseas de
grupo.
Cambiar grupo propietario de un archivo

Cambiar el grupo propietario de los archivos:
chgrp group_name file_name
Slo se permite cambiar el grupo propietario de
archivos en propiedad.
Tambin debe ser miembro del nuevo grupo.
Trabajando con usuario root
Login como root

Inicio de una sesin directamente a la cuenta root
plantea un riesgo de seguridad.
En su lugar, utilice el comando su o sudo
Usando el comando su
El comando su abre un nuevo shell con otro usuario (Cambios
de UID, pero no asume todo entorno)
Ejemplo: su usuario1
Para iniciar sesin como si el usuario hubiera ejecutado una

sesin de inicio
Ejemplo: su - Usuario1
A menudo se utiliza para ejecutar comandos como usuario root.

Utilice la opcin -l para login completo en la shell.
El usuario root es el usuario por defecto.
El comando exit permite volver a la shell inicial.
El comando sudo
Usando el comando sudo

El comando sudo le permite ejecutar un solo
comando como usuario root.
Se debe utilizar en programas de instalacin o
manualmente despus de la instalacin.
Pide al usuario su propia contrasea.
Configuracin del comando sudo
La configuracin est en el archivo /etc/sudoers

Modificar este archivo con el comando visudo
Usa el editor vi/vim de forma predeterminada.
Se puede modificar el editor por defecto:
export EDITOR = nano
Si queremos proporcionar derechos de

administrador al usuario bob:
Bob ALL = (ALL)
ALL
Los comandos who y w
Usando el comando who

Muestra lista de usuarios actuales con login en el sistema:
[Sysadmin @ localhost ~] $ who
tty2 raz 10/11/2013 10:00
tty1 sysadmin 10.11.2013 09:58 (: 0)
sysadmin pts / 0 10.11.2013 09:59 (: 0,0)
sysadmin pts / 1 11/10/2013 10:00 (example.com)
Columna
Ejemplo
Descripcin
username
root
Nombre del usuario que ha

iniciado la sesin.
terminal
tty2
Indica la ventana de terminal en la

que est trabajando el usuario.
date
2013-10-11 10:00 (example.com) Indica cuando el usuario ha

iniciado sesin.
Usando el comando w
Muestra informacin detallada del usuario y del
sistema:
[Sysadmin @ localhost ~] $ w
10:44:03 hasta 50 min, 4 usuarios, carga media: 0,78, 0,44, 0,19
TTY USUARIO DE INGRESAR inactividad JCPU PCPU QU
raz tty2 - 10:00 43:44 0.01s 0.01s -bash
tty1 sysadmin: 0 09:58 50:02 5.68s 0.16s Identificacin
sysadmin pts / 0: 0,0 9:59 0.00s 0.14s 0.13s que
sysadmin pts / 1 example.com 10:00 0.00s 0.03s 0.01s w
El uso del comando w

Columna
Ejemplo
Descripcin
USER
root
Indica el nombre del usuario que ha iniciado la sesin.
TTY
tty2
Indica la ventana de terminal que est utilizando el usuario
FROM
example.com
Indica desde que direccin ha iniciado sesin el usuario
LOGIN@
10:00
Cuando el usuario ha iniciado sesin.
IDLE
43:44
El tiempo que el usuario ha estado inactivo desde el ltimo

comando que ha ejecutado
JCPU
0.01s
El tiempo total de CPU (s = segundos) utilizado por todos los

procesos (programas) ejecuta desde su inicio de sesin.
PCPU
0.01s
El tiempo total de CPU para el proceso actual.
WHAT
-bash
El proceso actual que se est ejecutando el usuario.
Mdulo 14
Gestin de usuarios y grupos
Objetivo del examen

5.2 Creacin de usuarios y grupos
Objetivos
Comandos de usuario y de grupo
Creacin de ID de usuario
Trabajar con grupos
Crear un grupo
La razn ms comn para crear un grupo es
proporcionar la manera para que los usuarios
puedan compartir archivos.
Despus de crear o modificar un grupo, puede
controlar los cambios en el archivo /etc/group o
ejecutar el comando getent.
El comando groupadd
El comando groupadd crea un nuevo grupo.
La opcin -g permite especificar un ID de grupo:
groupadd -g 506 research
Si no se proporciona la opcin -g, el comando
groupadd proporcionar automticamente un GID
para el nuevo grupo.
Consideraciones ID de grupo
Evitar la creacin de GID en los mismos rangos
numricos donde se esperan identificadores que el
sistema utiliza para UPG.
Los GIDs menores de 500 estn reservados para usos
del sistema.
La opcin -r asignar un nuevo GID menor que el
UID estndar ms bajo.
Consideraciones nombre de grupo
El primer carcter del nombre debe ser un guion

bajo (_) o un carcter alfabtico en minscula (a-z).
La mayora de las distribuciones de Linux permiten
nombres de hasta 32 caracteres, aunque utilizar
ms de 16 pueden ser problemtico (algunas
distribuciones pueden no aceptar ms de 16)
Despus del primer carcter, los caracteres
restantes pueden ser alfanumricos, guiones (-) o
guion bajo (_).
El ltimo carcter no debe ser un guin (-).
Modificar un grupo
El comando groupmod -n cambia el nombre de un

grupo.
El comando groupmod -g cambia el ID de grupo.
Si cambia el GID de un grupo, todos los archivos que
se asociaron a ese grupo dejaran de estar asociados
con ese grupo.
Estos son los archivos llamados "hurfanos".
Podemos buscar archivos "hurfanos con:
find / -nogroup
Eliminar un grupo
Eliminar un grupo con el comando groupdel

Esto puede dejar archivos "hurfanos".
Slo los grupos complementarios se pueden
eliminar.
Trabajando con Usuarios
El archivo /etc/default/useradd
El archivo /etc/default/useradd se utiliza

para definir la configuracin por defecto al crear
cuentas de usuario.
Los ajustes por defecto se pueden ver o modificar
con el comando useradd -D
Para editar este archivo se requieren permisos de
administrador (acceso como root)
El archivo /etc/default/useradd
Campo
Ejemplo
Descripcin
GROUP
100
El grupo principal predeterminado para un nuevo

usuario.
HOME
/home
La directorio base predeterminado donde se crear

el directorio home del usuario nuevo
INACTIVE
-1
Este valor representa el nmero en das despus de

que caduque la contrasea en que se dehabilitar la
cuenta del usuario.
EXPIRE
Fecha de caducidad de la cuenta
SHELL
/bin/bash
Indica la shell por defecto para el usuario cuando

inicia sesin en el sistema.
SKEL
/etc/skel
El contenido de este directorio se copia en el

directorio home del nuevo usuario con la propiedad
para estos archivos
CREATE_MAIL_SPOOL
yes
Indica si se aadir la direccin del usuario en el

archivo mail spool.
El archivo /etc/login.defs
El archivo /etc/login.defs se utiliza para

definir la configuracin por defecto al crear cuentas
de usuario.
El contenido de este archivo slo se puede ver
explorando el contenido del archivo.
Estos ajustes slo se pueden modificar editando
directamente el contenido del archivo.
Para editar este archivo se requiere acceso de root.
El Archivo /etc/login.defs
Campo
Ejemplo
Descripcin
MAIL_DIR
/Var/mail/spool
El directorio en el que se crear el archivo con el correo del usuario.
PASS_MAX_DAYS
99999
El nmero mximo de das que un usuario puede seguir utilizando la

misma contrasea.
PASS_MIN_DAYS
El mnimo tiempo que el usuario debe mantener una contrasea.
PASS_MIN_LEN
El nmero mnimo de caracteres que debe contener una contrasea.
PASS_WARN_AGE
Valor predeterminado para el campo de advertencia
UID_MIN
500
Determina el primer UID que ser asignado a un usuario normal.
UID_MAX
60000
Determina el mayor UID posible que se asignar a un usuario normal.
GID _MIN
500
Determina la primera GID que se asignar a un grupo ordinario.
GID _MAX
60000
Determina el mximo GID posible que se asignar a un grupo regular.
CREATE_HOME
Determina si crear o no el directorio home para el nuevo usuario
UMASK
077
Determina cules son los permisos predeterminados para el directorio

personal del usuario.
Trabajar con la informacin de cuenta
Ventajas utilizar cuentas separadas
Las cuentas pueden ser utilizados para otorgar el

acceso selectivo a los archivos o servicios.
El comando sudo se puede configurar para
permitir a los usuarios ejecutar ciertos comandos
administrativos.
Cada cuenta puede pertenecer a ciertos grupos con
derechos asociados a ellos, permitiendo una mayor
flexibilidad de gestin.
Consideraciones de cuenta
Antes de crear una cuenta de usuario, hay que

tener en cuenta los valores que se desea establecer
para los siguientes campos:
Nombre de usuario
UID
Grupo Primario
Grupo suplementario (s)
Directorio principal (home)
Directorio Esqueleto
Shell
Comentario
El comando useradd
El comando useradd permite crear nuevos usuarios.
Ejemplo:
useradd -u 1000 -c 'Jane Doe' jane
Modifica los siguientes archivos:

/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow
Aade cuenta de correo (/var/spool/mail/jane)

y directorio home del usuario (/home/jane).
Seguridad en las contraseas
Escoger una contrasea
Evite el uso de informacin personal en las

contraseas.
Intente utilizar contraseas complejas.
Intente utilizar las contraseas ms largas, pero no
demasiado largo como para que sean difciles de
recordar.
Considere con qu frecuencia los usuarios tendrn
que cambiar sus contraseas.
Configurar contraseas
El comando passwd permitir cambiar una contrasea.

El usuario root puede cambiar cualquier contrasea de usuario:
passwd user_name
El usuario root puede saltar las reglas para contraseas, incluso
"no permitir contraseas vacas".
Un usuario puede cambiar su propia contrasea al ejecutar el
comando passwd sin argumentos.
Los usuarios normales no se pueden saltar las reglas para las
contrasea.
Las reglas para las contraseas varan de una distribucin a otra.
El comando chage
Uso del comando chage

Se utiliza para cambiar la configuracin de caducidad de
contraseas para un usuario.
Opcin Short
Opcin Largo
Descripcin
-l
--list
Muestra la edad de la cuenta
-d LAST_DAY
--lastday LAST_DAY
Ajuste la fecha del ltimo cambio de contrasea a LAST_DAY
-E EXPIRE_DATE
--expiredate EXPIRE_DATE
Establecer que la cuenta expire en la fecha EXPIRE_DATE
-h
--help
Mostrar la ayuda para el comando chage
-I INACTIVE
--inactive INACTIVE
Permite el inicio de sesin despus de que la contrasea expire
-m MIN_DAYS
--mindays MIN_DAYS
Establece el nmero mnimo de das antes de la contrasea se

puede cambiar a MIN_DAYS
-M MAX_DAYS
--maxdays MAX_DAYS
Establece el nmero mximo de das antes de una contrasea

debe ser cambiado a MAX_DAYS
-W WARN_DAYS
--warndays WARN_DAYS
Establece el nmero de das que se mostraran advertencias a

WARN_DAYS antes de una contrasea caduque
Modificar cuenta de usuario
Modificar un usuario
El usuario puede necesitar cerrar la sesin para

realizar las modificaciones en su cuenta.
Utilice los comandos who,w o last para
determinar si un usuario est conectado
actualmente al sistema.
El Comando usermod
Se utiliza para modificar una cuenta de usuario.
Opcin
Descripcin
-c COMMENT
Establece el valor de la GECOS o comentario a COMMENT
-d HOME_DIR
Establece un nuevo directorio home para el usuario.
-e EXPIRE_DATE
Introduce la fecha de caducidad de la cuenta a EXPIRE_DATE.
-f INACTIVE
Permite el inicio de sesin despus de que expire la contrasea.
-g GROUP
Establecer como grupo primario el grupo GROUP
-G GROUPS
Establecer grupos suplementarios a la lista especificada en GROUP.
-a
Anexar grupos suplementarios del usuario a los especificados por -G.
-h
Mostrar la ayuda para el comando usermod.
-l NEW_LOGIN
Cambiar el nombre de inicio de sesin del usuario.
-L
Bloqueo de la cuenta de usuario.
-s SHELL
Especifique la shell de inicio de la cuenta.
-u NEW_UID
Especifique UID del usuario para ser NEW_UID.
-U
Desbloquear la cuenta de usuario.
Eliminar un usuario
Eliminar un usuario
Utilice el comando userdel para eliminar una

cuenta de usuario.
Por defecto, slo se elimina la cuenta, no los
archivos en propiedad del usuario.
Mediante el uso de la opcin -r, tambin se
borran los archivos del directorio principal del
usuario y de correo del usuario.
Gracias por vuestra atencin
Sergi Pons
Ismael Fanlo

LE Module 13-14.es

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

LE Module 13-14.es

Uploaded by

Copyright:

Available Formats

Mdulo 13

Seguridad de usuario y del

Objetivo del examen

Las cuentas de usuario y

Las cuentas de usuario

Este es el nombre de la cuenta.

La x en el campo de contrasea indica al

Cada cuenta se le asigna un ID de usuario (UID).

Cuando un usuario crea un archivo, el archivo

Este campo puede contener cualquier

Este campo define la ubicacin del directorio

Esta es la ubicacin de la shell de registro del

Este es el nombre de la cuenta, que coincide con el nombre

Contiene la contrasea cifrada para la cuenta.

Contiene un nmero que representa la ltima vez que se

La contrasea no se puede cambiar de nuevo hasta pasados

Este campo se utiliza para obligar a los usuarios a cambiar

Si el campo max est establecido, el campo warn indica que

El campo inactivo proporciona al usuario un perodo de

Este campo representa el nmero de das desde el 1 de

Ver la informacin de la cuenta

Informacin de inicio de sesin

Cuentas del sistema

Cuentas del sistema

Grupos del sistemas

Este campo contiene el nombre del grupo.

La "x" en este campo se utiliza para indicar

Cada grupo est asociado con un nico ID

Este ltimo campo se utiliza para indicar

Cambiar grupo propietario de un archivo

Trabajando con usuario root

Login como root

Para iniciar sesin como si el usuario hubiera ejecutado una

A menudo se utiliza para ejecutar comandos como usuario root.

Usando el comando sudo

Configuracin del comando sudo

La configuracin est en el archivo /etc/sudoers

Si queremos proporcionar derechos de

Los comandos who y w

Usando el comando who

Nombre del usuario que ha

Indica la ventana de terminal en la

2013-10-11 10:00 (example.com) Indica cuando el usuario ha

El uso del comando w

Indica el nombre del usuario que ha iniciado la sesin.

Indica la ventana de terminal que est utilizando el usuario

Indica desde que direccin ha iniciado sesin el usuario

Cuando el usuario ha iniciado sesin.

El tiempo que el usuario ha estado inactivo desde el ltimo

El tiempo total de CPU (s = segundos) utilizado por todos los

El tiempo total de CPU para el proceso actual.

El proceso actual que se est ejecutando el usuario.

Objetivo del examen

Trabajar con grupos

Consideraciones nombre de grupo

El primer carcter del nombre debe ser un guion

El comando groupmod -n cambia el nombre de un

Eliminar un grupo con el comando groupdel

Trabajando con Usuarios

El archivo /etc/default/useradd se utiliza

El grupo principal predeterminado para un nuevo

La directorio base predeterminado donde se crear

Este valor representa el nmero en das despus de

Fecha de caducidad de la cuenta