https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
1 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
[albertux@debian]$ ls -l
total 284
drwxr-xr-x 5 alberto alberto 4096
2007-11-26 17:38 2006r3
drwxr-xr-x 5 root root 4096
2007-09-17 15:48
AlberTUX_LIVE
drwxr-xr-x 3 alberto alberto 4096
2007-04-02 11:38 Beryl
drwxr-xr-x 2 alberto alberto 4096
2007-12-14 15:05 bin
-rw-rr 1 alberto alberto 16548
2008-04-03 15:07 CELIA-DSL.odt
drwxr-xr-x 1 alberto alberto 4096
2008-03-27 14:03 COMOs
drwx 3 alberto alberto 4096
2008-04-07 15:02 curso-ASL
-rw-rr 1 alberto alberto 9490
2008-04-07 13:44 CursoASOL.odt
Como vemos, cada lnea tiene un formato del estilo:
{T} {rwx} {rwx} {rwx} {N} {usuario} {grupo} {tamao} {fecha de creacin}{nombre}
1er campo T: Nos indica que tipo de archivo es:
Si es un chero normal
d Si es un directorio
c Especial de modo carcter (Dispositivo ;y, impresora)
p Pipe
l Enlace simblico
2 Campo: {rwx}: Nos indica los permisos que tiene el propietario del archivo.
3 Campo {rwx}: Nos indica los permisos que tiene el grupo al que pertenece el archivo.
4 Campo {rwx}: Nos indica los permisos del resto de usuarios. (Otros)
5 Campo {N}: Es el nmero de archivos/directorios que contiene. Si es un chero aparecer 1, si se
trata de un directorio aparecer como mnimo 2 (los directorios . y .. ms los que contenga).
6 Campo {usuario}: Indica el nombre del usuario al que pertenece el archivo o directorio.
7 Campo {grupo}: Indica el nombre del grupo al que pertenece el archivo o directorio.
8 Campo {tamao}: Indica el tamao.
9 Campo {fecha}: Indica la fecha de creacin.
2 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
SIGNIFICADO
Permiso para todos (Muy poco seguro para archivos sin importancia)
rwx r
r-x
Si nos jamos en el directorio donde comentamos que estaban los binarios (ejecutables) comunespara
todos los usuarios del sistema, directorio /bin, y pedimos un listado con ls -l observaremos que
todos los binarios tienen una sintaxis como esta:
-rwxr-xr-x 1 root root 3518 2006-09-19 14:38 znew
Todos los binarios son propiedad del root, y el resto de usuarios (nosotros) nicamente podemos leer
su contenido y ejecutarlo, algo bastante lgico y seguro, no? Sera poco serio si cualquier usuario
pudiese modicar la funcionalidad de este comando.
Que pasara si a un archivo ejecutable del directorio /bin le disemos los siguientes permisos:
-rwxr-xx 1 root root 3518 2006-09-19 14:38 znew
Un usuario cualquiera (excepto root) tericamente debera poder ejecutarlo, sin embargo, necesita
leerlo para interpretarlo (cosa que tiene prohibida), por lo tanto no se ejecutara.
Qu pasara en este otro caso?
-rwxr-xr 1 root root 3518 2006-09-19 14:38 znew
Como usuario normal podramos leer su contenido, pero tampoco podramos ejecutarlo, ya que
carece de permisos de ejecucin.
6.1.2 Los permisos en decimal:
Como ya hemos comentado, la operacin de administrar una poltica de seguridad en Linux es una
tarea fundamental para un administrador de sistemas.
La nica persona que puede cambiar los permisos de un archivo o directorio es su propietario. No
hace falta decir, que el root podr cambiar los permisos de cualquier otro usuario del sistema. Es
triste, pero siempre ha habido clases y clases en este Sistema Operativo si no eres root, no eres
nadie. ;)
3 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
Para entender bien como gestionar los permisos, nos interesa recordar cmo es sistema binario. En un
sistema BINARIO slo pueden haber dos valores para cada dgito: ya sea un 0=DESACTIVADO un
1=ACTIVADO.
Para representar el nmero 22 en notacin BINARIA lo haramos como 00010110, notacin que se
explica segn la siguiente tabla:
Posicin del BIT:
Valor Binario:
Valor Decimal:
128
64
32
16
Valores a Sumar:
16
Permiso
Valor
Decimal
Valor
rwx
rw-
r-x
-wx
-w-
Lo anterior, aplicado a un chero que agrupa los permisos en 3 grupos (propietario, grupo y otros),
resultara as.
4 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
rwx r-x
750
Por lo tanto,
PERMISO
VALOR
777
rwx r-x r
754
r-x r
540
Teniendo claro esto, ya podemos administrar permisos de forma sencilla utilizando el comando
chmod.
6.1.3 Cambiando permisos con chmod:
Lo ms habitual es utilizar el comando chmod para administrar permisos, del siguiente modo:
[chmod] [modo] [permisos] [chero/s]
Como modo slo veremos elmoro -R, para cambiar los permisos de un modo recursivo dentro delos
directorios.
[albertux@debian]$ chmod -R
755 mi_directorio
[albertux@debian]$ ls -l
[albertux@debian]$
drwxr-xr-x 2 albertux albertux
4096
2007-07-13
13:57
mi_directorio
Otra manera de aadir o quitar permisos, ser utilizando estos modos:
5 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
6 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
[albertux@debian]$ chmod -R
o-rx mi_directorio
[albertux@debian]$ ls -l
[albertux@debian]$
drwxr-x 2 albertux albertux
4096
2007-07-13
13:57
mi_directorio
Con estos conceptos bsicos ya podremos administrar los permisos de los usuarios de nuestro
sistema. El comando chmod tiene mltiples opciones, recordad la existencia del comando man
para conocer ms:
[albertux@debian]$ man chmod
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
podemos poner lo que queramos ya que el sistema no lo usa para ninguna gestin. Se puede omitir
sin poner entre los : nada, quedando ::.
Posteriormente aparece el directorio inicial es donde empezar el usuario una vez logueado, y
seguidamente el interprete de comandos usar (bash, sh, tcsh).
Si en el campo intrprete encontramos /sbin/nologin es un usuario que no puede loguearse, esto
tiene sentido ya que el propio sistema tiene usuarios con privilegios para dar servicios al sistema
como pueden ser bin, daemon, adm
El usuario root siempre tiene como UID y como GID un 0, y cualquier usuario que lo tenga tendr
los mismos privilegios que l. Hay que recordar que un usuario slo puede tener un UID, pero varios
usuarios pueden tener el mismo UID.
PELIGRO: Algo totalmente
desaconsejable, debido a que
puede provocar agujeros de
seguridad importantes, es tener
algn usuario con UID=0
distinto al root. Si esto ocurre, lo
ms seguro es que hayas sido
atacado por algn, hacker?,
bastante cutre.
Normalmente el sistema guarda los UID bajos (por ejemplo por debajo de 500 o por debajo de 1000)
para los usuarios del propio sistema, los que necesita para los servicios que ofrece (por ejemplo, si
tienes un servidor de ftp lo normal es tener un usuario en el sistema que se llame ftp), y los UID
altos se utilizan para los usuarios normales.
PELIGRO: Si donde debiera
aparecer la clave aparece ::, esto
indica que no hay clave, y por
supuesto, no es nada bueno. Si
aparece una x es que las claves
o la clave de ese usuario estn
gestionadas en el archivo
/etc/shadow ya que la mayora
de los sistemas usan claves en
sombra.
Esto es debido a que /etc/passwd debe ser visible a todos, porque si no ciertos comandos como puede
ser ls dejaran de funcionar, y aunque la clave est encriptada no es bueno que se encuentre a la
vista por la existencia de programas de fuerza bruta que se dedican a desencriptarlas (el famoso jhon
deriper por ejemplo), y cualquier usuario con acceso a nuestro sistema tendra las claves usando
dichos programas.
En vez de esto se usa el chero /etc/shadow, que slo es visible por root.
No es aconsejable jugar con esta informacin editando y retocando directamente dichos archivos.
Para ello existen distintas herramientas que nos ayudarn a gestionar los usuarios y grupos.
8 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
oman
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
NOTA: Un usuario puede cambiarse su propia contrasea utilizando la orden passwd. No hace falta
molestar al administrador del sistema para esto.
[alberTUX@debian]$ passwd
Changing password for alberto
(current) UNIX password:
man
11 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
[debian:/home/alberto]#
addgroup migrupo
Adding group `migrupo (GID
1002)
Hecho.
Modo personalizado:
groupadd [-g gid [-o]] [-r] [-f] [nombre del grupo]
Donde:
-g indica explcitamente el GID
del grupo.
-o no obliga a que el
identicador de grupo sea nico,
cosa totalmente desaconsejable.
-r para crear un grupo del
sistema.
-f hace que groupadd no de error
si el grupo ya existe.
Para saber ms
[alberTUX@debian]$man
groupadd
man
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
Por ltimo, vamos a ver como se eliminan los grupos de usuarios que ya no necesitamos.
Utilizaremos para ello el comando groupdel o delgroup:
[debian:/home/alberto]#
groupdel noche
Para saber ms
[alberTUX@debian]$
groupdel
man
13 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
[alberTUX@debian]$ manchown
Para cambiar de grupo a un chero utilizaremos el comando chgrp de este modo:
[chgrp] [grupo] [archivo]
Si por ejemplo tenemos un chero llamado prueba.sh perteneciente al grupo alberto:
[debian:/home/alberto]# ls -l
|grep prueba.sh
-rw-rr 1 root alberto 2
2008-04-10 15:41 prueba.sh
y queremos que su grupo principal sea root, haremos:
[debian:/home/alberto]# chgrp
root prueba.sh
Vemos el resultado
[debian:/home/alberto]# ls -l
|grep prueba.sh
-rw-rr 1 root root 2 2008-04-10
15:41 prueba.sh
Al igual que antes, aadiremos la opcin -R para que lo haga de modo recursivo:
[chgrp] -R [grupo] [directorio]
Para saber ms
[alberTUX@debian]$ man chgrp
14 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
15 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
Publicado en General, Linux - Mundo Friki | Etiquetado chgrp, chmod, gestin usuarios en linux,
grupos y usuarios en linux, howto linux, permisos, permisos y usuarios en linux |
9 comentarios
Felicidades por tu nuevo captulo de la Gua de administrador Linux, seguro se convertir en
un bestseller. nimo en un da difcil para el Software Libre ;-)
por Mila 1 agosto 2008 at 4:12 pm
Responder
Vaya crak, oyepuede que este interesado en lo que te comente del portatil que me hablaste ya
que el mio no tiene solucion tendre que jubilarlooooo!!
por Platin 6 agosto 2008 at 12:27 pm
Responder
Pues cuando quieras los vemos, yo estoy por pillarme uno de esos ultraporttiles de 300 euros con
linux :p
por AlberTUX 7 agosto 2008 at 10:52 am
Responder
tengo una duda ojala y me la pudieran responder, tengo una acer aspire one, pero no se que
contrasea de root o administrador tenga como puedo saberlo? existe alguna por defecto?
que puedo hacer?
por Carloxs1 21 octubre 2008 at 5:38 am
Responder
16 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
17 de 18
https://albertux75.wordpress.com/2008/08/01/capitulo-vi-gestion-de-p...
Blog de WordPress.com.
El tema Neat!. Artculos (RSS) and Comentarios (RSS).
Seguir
18 de 18