Unidad 2: Administracin de

usuarios y
gruposIng. Efrain Padilla Valera
Taller de Sistemas Operativos para
Redes 1

Contenido

Instituto
Tecnolgico
Tepic

Creacin de cuentas de usuarios

Configuracin de usuarios predeterminado

Modificacin de cuentas de usuario

Directivas de Configuracin

Eliminar cuentas de usuarios

Administrar Cuotas de disco

Introduccin

Instituto
Tecnolgico
Tepic

GNU/Linux es un sistema operativo con muchas caractersticas y

una de ellas es que se diseo para ser utilizado por mltiples
usuarios. Aun cuando se tenga una PC con un nico usuario, es
importante recordar que no es conveniente realizar el trabajo
diario desde la cuenta de root, misma que solo debe utilizarse
para la administracin del sistema.
Una cuenta de usuario contiene las restricciones necesarias para
impedir que se ejecuten comandos que puedan daar el sistema
-programas troyanos como el Bliss-, se altere accidentalmente la
configuracin del sistema, los servicios que trabajan en el
trasfondo, los permisos y ubicacin de los archivos y directorios de
sistema, etc.

Procedimientos

Instituto
Tecnolgico
Tepic

Generalmente el paso que procede a una instalacion de

GNU/Linux es la creacin de cuentas de usuario. Para ello
existen distintos mtodos, todos sencillos que permiten crear una
cuenta con su propio directorio de trabajo y los archivos
necesarios.
Actualmente existen recursos como el programa instalador de Red
Hat Linux y programas que funcionan desde un entorno
grafico, como es Linuxconf y Webmin, as como recursos que
funcionan en modo de texto o desde una ventana terminal, como
son los comandos tradicionales,
useradd y passwd, y algunos otros programas, como YaST y la
version correspondiente de Linuxconf o Webmin.

Creando una cuenta en el modo de

grafico

Instituto
Tecnolgico
Tepic

Para un sistema de escritorio con xwindows se puede administrar

las cuentas de usuarios y grupos con al ventana de administrador
de usuarios y grupos (Sistema Administracin Usuarios y
Grupos).
Cuando se administran cuentas de usuarios para servidores , una
de las opciones que se tiene para hacerlo son las herramientas
graficas basadas en WEB. La mas comun es la herramienta
Webmin (www.webmin.com). en la cual utiliza un puerto por
default (10000) por razones de seguridad
Tambien se pueden utilizar otras herramientas via web por
ejemplo como cpanel (www.cpanel.com), plesk (
www.swsoft.com/plesk) y Ensim (www.ensim.com)

Creacin de cuentas en
WebMin

Instituto
Tecnolgico
Tepic

cpanel

Instituto
Tecnolgico
Tepic

Ver demo en link

http://x3demob.cpx3demo.com:2082/frontend/x3/index.html?pos
t_login=23757418016078

Creando una cuenta en el modo de

texto

Instituto
Tecnolgico
Tepic

Este procedimiento puede realizarse de forma segura tanto fuera

de X Window como desde una ventana terminal en el entorno
grafico del que se disponga. Fue el metodo comunmente utilizado
antes de la aparicion de programas como YaST y Linuxconf. Sin
embargo aun resulta util para la administracion de servidores,
cuando no se tiene instalado X Window, no se tienen instalados
YaST o Linuxconf -o las versiones de estos que se han instalado no
trabajan correctamente-, o bien se tienen limitaciones o
problemas para utilizar un entorno grafico.
Lo primero: el comando useradd
El primer paso para crear una nueva cuenta consiste en utilizar el
comando useradd del siguiente Modo:
#useradd nombre_del_usuario
Ejemplo:
useradd fulano

Asignacin de contrasea a la
cuenta

Instituto
Tecnolgico
Tepic

Lo segundo: el mandato passwd

El paso siguiente despus de crear la nueva cuenta con useradd es
especificar una contrasea para el usuario. Determine una que le
resulte fcil de recordar, que mezcle nmeros, maysculas y
minsculas y que, preferentemente, no contenga palabras que se
encontraran fcilmente en el diccionario. Existen otras
recomendaciones, por lo que es conveniente leer, antes de
continuar, los comentarios finales acerca de la seguridad incluidos
en este mismo articulo. Aunque el sistema siempre tratara de
prevenirlo cuando se escoja una mala contrasea, este no le
impedir que lo haga. Especificar una nueva contrasea para un
usuario, o bien cambiar la existente, se puede realizar utilizando el
mandato passwd del siguiente modo:
# passwd nombre_del_usuario

Ejemplo:
passwd fulano

Asignacin de contrasea a la
cuenta

Instituto
Tecnolgico
Tepic

Repita esta para confirmar. Por seguridad, el sistema no mostrara

los caracteres tecleados, por lo que debe hacerlo con cuidado. Si
se considera que tal vez se cometieron errores de tecleado, puede
presionarse las veces que sean necesarias la tecla <Backspace> o
<Retroceso>. De cualquier forma el sistema le informara si
coincide o no lo tecleado.
Si todo sali bien recibir como respuesta del sistema code 0. Si
en cambio recibe code 1, significara que deber repetir el
procedimiento, en virtud de haberse producido un error. Este
procedimiento tambin puede utilizarse para cambiar una
contrasea existente.
# passwd fulano
Changing password for user fulano.
New UNIX password: ********
Retype new UNIX password: ********
passwd: all authentication tokens updated successfully.

Opciones avanzadas

Instituto
Tecnolgico
Tepic

En muchos casos las opciones pueden no ser necesarias, pero si se esta

administrando un servidor o estacin de trabajo, o bien se es un usuario
un poco mas experimentado, y se quiere crear una cuenta con mayores o
menores restricciones, atributos y/o permisos, pueden utilizarse las
siguientes opciones de useradd:
-c comment
Se utiliza para especificar el archivo de comentario de campo para la
nueva cuenta.
-d home dir
Se utiliza para establecer el directorio de trabajo del usuario. Es
conveniente, a fin de tener un sistema bien organizado, que este se
localice dentro del directorio /home.
-e expire date
Se utiliza para establecer la fecha de expiracion de una cuenta de
usuario. Esta debe ingresarse en el siguiente formato: AAAA-MM-DD.
-g initial group
Se utiliza para establecer el grupo inicial al que pertenecera el usuario.
De forma predeterminada se establece como unico grupo 1. Nota: el
grupo asignado debe existir.

Opciones avanzadas

Instituto
Tecnolgico
Tepic

-G group,[...]
Se utiliza para establecer grupos adicionales a los que pertenecer el
usuario.
Estos deben separarse utilizando una coma y sin espacios. Lo
anterior es muy
conveniente cuando se desea que el usuario tenga
acceso a determinados recursos
del sistema, como acceso a la unidad
de disquetes, administracin de cuentas PPP y
POP.
Nota: los grupos asignado deben de existir.
-m
Se utiliza para especificar que el directorio de trabajo del usuario debe
ser creado si acaso este no existiese, y se copiaran dentro de este los archivos
especificados en
/etc/skel.
-s shell
Se utiliza para establecer el interprete de mandatos que podra utilizar el
usuario. De
forma predeterminada, en Red Hat Linux y Fedora
Core, se establece bash
como interpete de mandatos predefinido.

Opciones avanzadas

Instituto
Tecnolgico
Tepic

-u uid
Se utiliza para establecer el UID, es decir, la ID del usuario. Este debe
ser unico. De forma predeterminada se establece como UID el numero
minimo mayor a 99 y mayor que el de otro usuario existente. Cuando
se crea una cuenta de usuario por primera vez, como ocurre en Red
Hat Linux y Fedora Core generalmente se asignara 500 como UID
del usuario. Los UID entre 0 y 99 son reservados para las cuentas de
los servicios del sistema.
Ejemplo:
#useradd -u 500 -d /home/fulano -G floppy,pppusers,popusers
fulano
Lo anterior creara una cuenta de usuario llamada fulano, que se
encuentra incluida en los grupos floppy, pppusers y popusers, que
tendr un UID=500; utilizara Bash como interprete de mandatos y
tendr un directorio de trabajo en /home/fulano.

Otros Ejemplos de opciones

avanzadas

Instituto
Tecnolgico
Tepic

# useradd -u 1001 -g 300 skolmes Usa UID y GID especifico para el

usuario
# useradd -d /home/jj jones Crea un directorio personal /var/x/jj
# useradd -G support,sales timd Agrega al usuario a grupos
support y sales
# useradd -c Tom G. Lotto tlot Agrega en el campo comentario
nombre completo
# useradd -s /bin/tcsh joeq Asigna un nuevo shell (tcsh) por default
# useradd -e 2008-04-01 jerry Agrega a la cuenta que expire en
Abril 01, 2008
# useradd -f 0 jdoe Crea una cuenta deshabilitada
# useradd -s /sbin/nologin billt agrega un usuario con un shell no
login
# useradd -M billyq Crea un usuario sin directorio personal

Configurando valores predefinidos para el

alta de cuentas de usuario

Instituto
Tecnolgico
Tepic

Como lo hemos mencionado al crear una nueva cuenta de usuario

con el comando esto valores son tomados de los archivos
/etc/login.defs y /etc/ default/useradd . Se puede editar esos
archivos para cambiar los valores o ejecutar el comando useradd la
opcin D
Ejemplo con el comado:
# useradd -D Lista la configuracin por default para useradd
# useradd -D -b /home2 -s /bin/csh Configura el directorio base y el
shell default

# useradd -D -e 2009-01-01 Configura para que los usuarios que se

creen expiren en 2009

Configurando valores predefinidos para

el
alta de cuentas de usuario

Instituto
Tecnolgico
Tepic

Archivo /etc/default/useradd para definir variables utilizadas por el

mandato useradd
Como root, utilice un editor de texto
invariablemente, el siguiente contenido:
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
o
# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

sobre

/etc/default/useradd.

Encontrara,

Variable HOME

Instituto
Tecnolgico
Tepic

El directorio de inicio del usuario ser creado dentro de /home, de

acuerdo a como se estipula en Estndar de Jerarqua de
Sistema de Archivos o FHS (Filesystem Hierarchy Standard). El
valor de esta variable puede ser cambiado de acuerdo a las
necesidades o preferencias del administrador.
Por ejemplo, en el caso de un sistema dedicado al servicio de
hospedaje de sitios de red virtuales a travs de HTTPD, pudiera
preferirse utilizar /var/www para este fin a modo de simplificar
tareas para el administrador del sistema.
En otros casos, especficamente en servidores de correo, donde se
quiere aplicar una sola cuota de disco general para buzn de
correo y carpetas de correo en el directorio de inicio, pudiera
crearse un directorio dentro de /var, como por ejemplo /var/home
o /var/users, de modo que al aplicar cuota de disco sobre la
particin /var, esta involucrara tanto el buzn de entrada del
usuario, localizado en /var/spool/mail/usuario, como las carpetas
de correo en el directorio de inicio del usuario, localizados dentro
del directorio /var/home/usuario/mail/.

Variable SHELL

Instituto
Tecnolgico
Tepic

El interprete de mandatos a utilizar para las nuevas cuentas que sean

creadas en adelante se define a traves de la variable SHELL. De modo
predefinido el sistema asigna /bin/bash (BASH o Bourne Again Shell) como
interprete de mandatos; sin embargo lo cierto es que si el sistema se
utilizara como servidor, lo mas conveniente seria asignarle de modo
predefinido otro valor. El mas utilizado es /sbin/nologin, el cual es un
programa que de forma cortes rechaza el ingreso en el sistema (login).
Muestra un mensaje respecto a que la cuenta no esta disponible (o bien lo
que se defina en /etc/nologin.txt) y da salida. Se utiliza como remplazo de un
interprete de mandatos en cuentas que han sido desactivadas o bien que no
se quiere accedan hacia un interprete de mandatos. Este programa registra
en la bitcora del sistema todo intento de acceso.
Para utilizarlo como valor para la variable SHELL, solo hay que cambiar
SHELL=/bin/bash por
SHELL=/sbin/nologin.
En adelante todo nuevo usuario que sea dado de alta en el sistema con el
mandato useradd sin parmetro alguno, de modo predefinido no podr acceder
al sistema a traves de interprete de mandatos (shell), es decir, acceso en
terminal local o remotamente. Los usuarios con estas caractersticas podrn, sin
embargo, utilizar cualquier otro servicios como FTP, correo o Samba sin problema
alguno.

Otros valores para la variable SHELL pueden

ser:

Instituto
Tecnolgico
Tepic

/sbin/nologin, programa que de forma cortes rechaza el ingreso en el

sistema (login).
/bin/false, programa que realiza salida inmediata indicando falla. Es decir,
que no permite la realizacin de cosa alguna y adems con falla. Ideal si se
quiere tener cuentas de usuario con acceso hacia FTP, correo, Samba, etc.,
aunque sin permitir el acceso hacia un interprete de mandatos.
/dev/null, el dispositivo nulo que descarta todos los datos escritos sobre
este y no provee datos para cualquier proceso que lo lea. Ideal para
definirse cuando se quiere utilizar una cuenta que solo tenga acceso a
correo (SMTP, POP3, IMAP y/o cliente de correo con interfaz HTTP).
/bin/bash, interprete de mandatos desarrollado por el proyecto GNU. Es el
interprete de mandatos predefinido en Linux y Mac OS X (a partir de
Tiger).
/bin/sh, un enlace simblico que apunta hacia /bin/bash y ofrece una
versin simplificada de Bash muy similar a Bourne Shell (sh).
/bin/tcsh, una versin mejorada del de mandatos de C (csh).
/bin/ash, un clon de Bourne shell (sh) que utiliza menos memoria.
/bin/zsh, una versin mejorada de sh con funciones tiles encontradas en
Bash y tcsh.

Directorio /etc/skel como molde para crear los

directorios de
inicio de los usuarios

Instituto
Tecnolgico
Tepic

De modo predefinido las cuentas de usuario del sistema utilizaran

como molde al directorio /etc/skel para crear el directorio de inicio
de todos los usuarios del sistema. En sistemas basados sobre Red
Hat, regularmente y como mnimo, el directorio /etc/skel incluye
los siguientes guiones de inicio:
.bash_logout .bash_profile .bashrc .gtkrc
Si, por ejemplo, se desea que cada cuenta de usuario incluya un
directorio subordinado para carpetas de correo y suscripcin a
estas a travs del servicio de IMAP, se debe realizar el siguiente
procedimiento:
mkdir /etc/skel/mail/
touch /etc/skel/mail/Borradores
touch /etc/skel/mail/Enviados
touch /etc/skel/mail/Papelera

Directorio /etc/skel como molde para crear los

directorios de
inicio de los usuarios

Instituto
Tecnolgico
Tepic

Y ,finalmente, crear con el editor de texto el archivo

/etc/skel/.mailboxlist que sirve para registrar las suscripciones
hacia carpetas de correo que seran utilizadas por el servicio IMAP
con un servidor UW-IMAP, utilizando el siguiente contenido:
mail/Borradores
mail/Enviados
mail/Papelera
Si se pretende utilizar modo grafico en el sistema, de forma
adicional se puede corregir un problema con algunas versiones de
Firefox que generan un directorio ~/.mozilla con permisos de
acceso solo para root, de modo tal que al anadirlo en /etc/skel se
incluya un directorio ~/.mozilla con permisos de acceso para el
usuario al crear cada cuenta de usuario.
mkdir /etc/skel/.mozilla

Modificar las cuentas de

usuario

Instituto
Tecnolgico
Tepic

Despues de que la cuenta del usuario es creada, se puede cambiar los valores
de la cuenta con el comando usermod.
Ejemplo:
# usermod -c Thomas Lotto tlot Cambia en el campo de comentario el
nombre
# usermod -s /bin/sh joeq Cambia el shell a sh
# usermod -L swanson Bloquea la cuenta del usuario llamado swanson
# usermod -U travis Desbloque la cuenta del usuario llamado travis
Los usuarios regulares no pueden utilizar el comando useradd or usermod, hay
un comando para cambiar informacin de la cuenta personal
Ejemplos:
$ chsh -s /bin/sh Cambia el shell del usuario actual a /bin/sh
# chsh -s /bin/sh francois Cambia el shell del usuario Francois a /bin/sh
$ chfn -f Francois Caen \ Cambia el nombre completo
-o B-205 \ Cambia el numbero de su oficina
-h 212-555-1212 \ Cambia el numero de telefono de su casa
-p 212-555-1957 Cambia el numero de su oficina

Modificar las cuentas de

usuario

$ finger francois
Login: francois Name: Francois Caen
Directory: /home/francois Shell: /bin/bash
Office: B-205, 212-555-1212 Home Phone: 212-555-1957
On since Sat Aug 4 13:39 (CDT) on tty1 4 seconds idle
No mail.
No Plan.

Instituto
Tecnolgico
Tepic

Eliminar Cuentas de Usuario

Instituto
Tecnolgico
Tepic

Con el comando userdel, se pueden remover las cuentas de los

usuarios del sistema,
Sintaxis
userdel nombre_del_usuario
ejemplos:
# userdel fulano
# userdel jimbo Borra el usuario jimbo, pero no su directorio
personal
Si se desea eliminar tambin todos los archivos y directorios
subordinados contenidos dentro del directorio de trabajo del usuario
a eliminar, se deber agregar la opcin -r:
# userdel -r nombre_del_usuario
# userdel -r lily Borra el usuario, su directorio personal, y spool de
correo

Administracin de contraseas

Instituto
Tecnolgico
Tepic

Cuando, en la mayora de los casos, un delincuente informtico consigue

infiltrarse en un sistema GNU/Linux o Unix no es porque este cuente con
un hueco de seguridad, sino porque el intruso pudo vulnerar alguna de las
contraseas de las cuentas existentes. Si usted especifico durante el proceso
de instalacin de Linux una mala contrasea de root, algo muy comn
entre usuarios novicios, es altamente recomendado cambiarla.
Evite especificar contraseas fciles de adivinar . Con esto nos referimos
particularmente a utilizar contraseas que utilicen palabras incluidas en
cualquier diccionario de cualquier idioma, datos relacionados con el usuario o
empresa, como son el registro federal de causantes (R.F.C.), fechas de
nacimiento, nmeros telefnicos, seguro social, nmeros de cuentas de
acadmicos o alumnos y nombres de mascotas, la palabra Linux, nombres
de personajes de ciencia ficcin, etc.

Evite escribir las contraseas sobre medios fsicos, prefiera siempre limitarse a memorizarlas.
Si necesita almacenar contraseas en un archivo, hgalo utilizando cifrado.
Si se le dificulta memorizar contraseas complejas, utilice entonces contraseas fciles de
recordar, pero cmbielas peridicamente.
Jamas proporcione una contrasena a personas o instituciones que se la soliciten. Evite
proporcionarla en especial a personas que se identifiquen como miembros de algun serviciode
soporte o ventas. Este ultimo caso lo menciona con enfasis la pagina de manual delmandato
passwd.

Administracin de contraseas

Instituto
Tecnolgico
Tepic

Los usuarios regulares pueden cambiar solamente la contrasea de su

cuenta, mientras que el usuario root puede cambiar el password de
cualquier usuario.
Ejemplo:

$ passwd Cambia un usuario regular su propio password

Changing password for user chris.
Changing password for chris.
(current) UNIX password: ********
New UNIX password: *
BAD PASSWORD: its WAY too short
New UNIX password: *********
Retype new UNIX password: *********
passwd: all authentication tokens updated successfully.

# passwd joseph Root puede cambiar cualquier password

Changing password for user joseph.
New UNIX password: *
BAD PASSWORD: its WAY too short
Retype new UNIX password: *
passwd: all authentication tokens updated successfully.

Administracin de contraseas

Instituto
Tecnolgico
Tepic

Un administrador del sistema puede utilizar el comando passwd para

bloquear o desbloquear la cuenta de un usuario.
Por Ejemplo:
# passwd -l carl Bloquea la cuenta del usuario (carl)
Locking password for user carl.
passwd: Success
# passwd -u carl Desbloquea la cuenta del usuario (carl)
Unlocking password for user carl.
passwd: Success
# passwd -u jordan Falla al desbloquer una cuenta con un password blanco
Unlocking password for user jordan.
passwd: Warning: unlocked password would be empty.
passwd: Unsafe operation (use -f to force)
# passwd -u -f jordan Forza a desbloquear una cuenta aunque password este en blanco
Unlocking password for user jordan.
passwd: Success

Administracin de contraseas
#
#
#
#

passwd
passwd
passwd
passwd

Instituto
Tecnolgico
Tepic

-n 2 vern Configura como minimo 2 dias para cambiar su password

-x 300 vern Configura como maximo 300 dias para cambiar su password
-w 10 vern Advierte 10 dias antes del que el password expire
-i 14 vern 14 Dias despues de la expiracin del password la cuenta se

deshabilita

Para visualizar la expiracin del, se puede utilizar el comando chage como

sigue:
# chage -l vern View password expiration information
Last password change : Aug 04, 2007
Password expires : May 31, 2008
Password inactive : Jun 14, 2008
Account expires : never
Minimum number of days between password change : 2
Maximum number of days between password change : 300
Number of days of warning before password expires : 10

Administracin de contraseas

Instituto
Tecnolgico
Tepic

Como administrador del sistema, se puede utilizar el comando chage

para administrar la expiracin password, tambien se puede utilizar
para configurar cuando el usuario deberia configurar un nuevo
password o una fecha especifica para que la cuenta quede inactiva:
# chage -I 40 frank Hace que la cuenta quede inactiva en 40 dias
# chage -d 5 perry Forza para que el password del usuario expire en 5 dias
Si se utiliza en la opcin el 0 (cero) obliga a que el usuario al iniciar sesin cambie
el password a uno nuevo
Por ejemplo el usuario Perry
login: perry
Password: ********
You are required to change your password immediately (root enforced)
Changing password for perry.
(current) UNIX password:
New UNIX password: *********
Retype new UNIX password: *********

Manejo de grupos

Instituto
Tecnolgico
Tepic

Alta de grupos
#groupadd grupo-que-sea
Alta de grupos de sistema
Un grupo de sistema es aquel que tiene un numero de identidad de
grupo (GID) por debajo de 500. Regularmente se asigna
automticamente el numero de identidad de grupo mas bajo
disponible.

#groupadd -r grupo-que-sea
# groupadd
disponible
# groupadd
# groupadd
# groupadd

marketing Crea un nuevo grupo con el siguiente GID

-g 701 sales Crea un nuevo grupo con el GID 701
-r myadmin Crea un grupo con admin GID (abajo 499)
-o -g 74 mysshd Crea un nuevo grupo con GID existente

Manejo de grupos

Instituto
Tecnolgico
Tepic

Modificacin de grupos
# groupmod -g 491 myadmin Modifica myadmin para usar GID
491
# groupmod -n myad myadmin Cambia el nombre del groupo myadmin
a myad

Baja de grupos
# groupdel grupo-que-sea
# groupdel myad Remueve el grupo myad

Cuotas de Disco

Instituto
Tecnolgico
Tepic

Checar libro de alcance libre Capitulo

40 Pagina 384

www.themegallery.com