Posts del SysAdmin

Curso GNU/Linux – ¿Como se administran los usuarios? (parte 1)

Vamos a aprender a administrar nuestros usuarios en nuestro flamante Debian GNU/Linux y para ello primeramente debemos separar dos temas.

Administración de usuarios
Administración de permisos

Los usuarios reales y root conforman el esquema básico de la Administración de Usuarios.

La base de datos interna de los usuarios de GNU/Linux está relacionada con dos archivos:

/etc/passwd: contiene los nombres de usuarios
/etc/shadow: contiene la password encriptada con MD5

Contenido archivo /etc/passwd
Contenido archivo /etc/passwd

Arriba vemos el contenido del archivo /etc/passwd de nuestra instalación Debian GNU/Linux donde se aprecia en la última línea la cuenta del usuario adminblog que oportunamente hemos creado cuando instalamos nuestro equipo.

Contenido archivo /etc/shadow
Contenido archivo /etc/shadow

Y aquí comprobamos las claves de los usuarios, donde nuevamente en la última línea encontramos a nuestro usuario adminblog.

Una buena política de seguridad ES cambiar las password continuamente, de esta forma el algoritmo también va cambiando. Al hacer esto, aunque logren desencriptar nuestras passwords, hacerlo les va a demandar mucho más tiempo. Probablemente cuando lo logren ya lo hayamos cambiado nuevamente. Las paswords deben ser combinaciones de letras y números incluyendo mayúsculas y minúsculas.

Descripción del archivo /etc/passwd

Cuando creamos un usuario, también creamos un grupo, que se refleja en el archivo /etc/group

Contenido archivo /etc/group
Contenido archivo /etc/group

Esto facilita al administrador su tarea ya que los grupos permiten que solo tengan permisos los usuarios generados.

También es generado el “directorio home” del usuario, donde cada uno de los usuarios guarda la información, datos, contenido que desee y, fuera de este directorio, no puede hacer ningún tipo de cambio en todo el sistema.

Todo ocurre en forma simultánea en el sistema operativo cuando damos de alta nuevos usuarios.

Comencemos a analizar el archivo /etc/passwd

Entrada para el usuario root en el archivo /etc/passwd

usuarios04

 

 

Entrada para el usuario adminblog en el archivo /etc/passwd
usuarios05

 

Separados por “:” veremos de que se trata cada campo

  1. adminblog: es el nombre de usuario con el que se ingresa al sistema
  2. x: representa la clave encriptada. Anteriormente aparecía de verdad la clave en este campo, pero por razones de seguridad ahora se encuentra en el archivo /etc/shadow.
  3. 1000: es el número de identificador único (UID). Por comodidad, los usuarios acceden a su cuenta con un nombre elegido por ellos (adminblog), pero para el sistema operativo los usuarios son representados por un número. El usuario root tiene reservado el número 0. En la mayoría de las distribuciones los primeros 1000 UID (0 al 999) son utilizados unicamente por el sistema. Los usuarios humanos (por llamarlos de alguna manera) tendrán siempre un UID mayor o igual a 1000. Debemos recordar que, el único usuario de sistema que se puede validar/loguear en el sistema es el usuario root.
  4. 1000: es el número de grupo por defecto (GID) al que es asignado el usuario al momento de su creación. Este número no es único y muchos usuarios pueden compartirlo sin problemas.
  5. Administrador del blog: comentarios y datos adicionales de la cuenta, que incluye información general que se pide al momento de crear al usuario. Este campo puede tranquilamente estar en blanco, y, en caso de completarlo, se aconseja no incluir información delicada ya que todos podrán tener acceso a ella.
  6. /home/adminblog: es el directorio donde se inicia la sesión por defecto, comunmente conocido como el “home del usuario”
  7. /bin/bash: es la shell de login del usuario, el intérprete de comandos que ha de utulizar el usuario.

Descripción del archivo /etc/shadow

Entrada para el usuario root en el archivo /etc/shadow
usuarios07

Entrada para el usuario adminblog en el archivo /etc/shadow
usuarios06

 

Al igual que en el archivo passwd, aquí también se encuentran “campos” separados por “:”

  1. adminblog: el nombre de usuario
  2. $6$N9zSNj78$uh[…]6dyNyz/4//0: es la contraseña cifrada con MD5
  3. 16583: días desde el 1 de enero de 1970 en que la contraseña fue cambiada por última vez
  4. 0: mínimo de días que al usuario se le permite cambiar la contraseña.
  5. 99999: máximo número de días que se puede usar la misma contraseña
  6. 7: número de días antes que expire la contraseña que se empieza a avisar al usuario que debe cambiarla.
  7. (vacío): días después que caduque la contraseña antes de que se deshabilite la cuenta.
  8. (vacío): días desde el 1 de enero de 1970 en que la cuenta se deshabilita.

Hasta aquí llegaremos hoy, en el próximo post veremos como se crean los usuarios y eliminan usuarios en nuestro sistema.

Muchas gracias por haber visitado nuestro blog y por favor no dejes de compartir si te ha sido útil.

Eduardo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *