DESCRIPCIN BREVE

Creacin de usuarios y grupos para administra

los permisos en archivos.

TALLER DE SEGURIDAD
Administracin de usuarios y
permisos de archivos/carpetas
en Ubuntu 15.04

1. RIVERA VEGA, JAMES JONATAN

INTRODUCCIN
Uno de los pilares bsicos de la solidez de los sistemas GNU/Linux es su
potente gestin de usuarios y de permisos.
Los sistemas GNU/Linux como Ubuntu son sistemas multiusuario. Esto
significa que est pensado para que pueda ser utilizado por muchas personas,
incluso trabajando simultneamente, garantizando as la confidencialidad de la
informacin y la estabilidad del sistema. Precisamente uno de los mecanismos
ms importantes para conseguir este objetivo es el referente a los niveles de
acceso de los usuarios a la informacin del sistema.
En Linux tambin permite que los archivos sean compartidos entre usuarios y
grupos de usuarios.
A continuacin, encontrar una breve presentacin de los privilegios que el
sistema GNU/Linux utiliza, as como los comandos utilizados para hacerlo.

Administracin de usuarios y permisos de

archivos/carpetas en Ubuntu 15.04

Paso 1: Aadir usuarios y grupos

Por debajo del directorio raz (/) hay un importante grupo de directorios comn
a la mayora de las distribuciones de GNU/Linux. A continuacin, hay una lista
de los directorios que aparecen normalmente bajo el directorio raz (/):

/root - directorio personal del usuario root (superusuario); tambin

llamado "barra-root".

/home - directorios personales (home) para los diferentes

usuarios

A. Aadir usuarios (useradd) y grupo(groupadd)

A la hora de crear un usuario de sistema, podemos pasar los siguientes
parmetros:

-c --comment comentario Permite establecer detalles de la

cuenta de usuario. En la actualidad se utiliza para definir el
nombre completo del usuario.

-d Directorio home del usuario

-s Shell del usuario

-p Password

-g Grupo primario al que asignamos el usuario

-G Grupos a los que tambin pertenece el usuario

-m Forzamos la creacin del directorio en su home

Creando el usuario rivera

Se aadi el usuario rivera, con un comentario que contiene su nombre y su directorio de
trabajo.

Agregar password al usuario rivera

El comando ls-l (LiSta) muestra los archivos de texto con formato y el

permiso que tienen.

Crear grupos fiis, lab

Aade un nuevo usuario llamado valdivia al grupo llamado fiis:

Vemos el directorio creado del usuario valdivia

B. Aadir usuarios(adduser)
sudo adduser nombre_usuario
El sistema pedir alguna informacin adicional sobre el usuario y un
password o clave. Por defecto, se crea un grupo con el nombre del
usuario y ste ser el grupo por defecto. Este comportamiento se
configura en /etc/adduser.conf.

Pedira el password y informacion personal

Se crea su directorio

Se creo tambien un grupo llamado mayra por defecto

Ver el directorio

Para aadir el usuario mayra al Grupo lab:

Tambin puede asignar un grupo al usuario cuando lo est

creando:
sudo adduser ingroup nombregrupo nombre usuario

Ver ls-l

Para aadir a un usuario a varios grupos al mismo tiempo utilice la siguiente

sintaxis:

PASO 2. Eliminar,modicar usuarios y grupos

Creando mas grupos y usuarios

Eliminar usuario y grupo.

Para eliminar usuarios y grupos se emplean userdel y groupdel
respectivamente. Por ejemplo:
Para eliminar un usuario

Para eliminar un grupo

Modificar usuarios y grupos

Para modificar las caractersticas de los usuarios y grupos se
emplean los
comandos usermod y sudo groupmod.
Cambiamos el nombre del usuario jaimes a Jaimito:

Cambiamos el nombre del grupo temporal1 a lab_pract:

PASO 3. FICHEROS RELACIONADOS CON LA GESTIN DE

USUARIOS Y GRUPOS

Algunos ficheros relacionados con las cuentas de usuario son:

/etc/passwd: contiene informacin sobre cada usuario: ID, grupo

principal, descripcin, directorio de inicio, shell, etc. Tambin
contiene el password encriptado, salvo que se usen shadow
passwords.

/etc/shadow: contiene los passwords encriptados de los usuarios

cuando se emplean shadow passwords.

/etc/group: contiene los miembros de cada grupo, excepto para el

grupo principal, que aparece en /etc/passwd.

/etc/skel: directorio que contiene el contenido del directorio de los

nuevos usuarios.

Por ejemplo, ver los listados de los usuarios

El contenido del fichero /etc/passwd determina quien puede acceder al sistema de

manera legitima y que se puede hacer una vez dentro del sistema. Este fichero es
la primera linea de defensa del sistema contra accesos no deseados. Debe de
mantenerse escrupulosamente y libre de errores y fallos de seguridad. En el
tenemos registrados las cuentas de usuarios, asi como las claves de accesos y
privilegios1.
1

http://www.linux-es.org/node/11

Se muestran las siguientes caracteristicas etc/passwd

chero:

Nombre de la cuenta (Login)

X:

Clave de acceso encriptada (password)

1004:

UID de esta cuenta

1002:

GID del grupo principal al que pertenece la cuenta

usuario

Nombre del usuario

chero:

/home/chero:

Directorio de trabajo de chero

/bin/bash:

Interprete de comando (shell) de usuario chero

Tabla 1

El usuario rivera pertenece a los grupos de fiis y lab

Paso 4. Polticas de contrasea

Una poltica de contraseas fuerte es uno de los aspectos ms importantes en
cuanto a seguridad se trata. La mayora de los ataques exitosos involucran
simples ataques de fuerza bruta o ataques de diccionario contra contraseas
dbiles. Si planeas ofrecer algn tipo de acceso remoto a tu sistema que
involucre el uso de tu sistema local de contraseas, asegrate de contar con
requerimiento para la complejidad de las contraseas, vida til mxima de las
contraseas, y auditoras frecuentes de tus sistemas de autenticacin.

Longitud mnima de la contrasea De forma predeterminada, Ubuntu requiere

un mnimo de 6 caracteres para la creacin de una contrasea, adems de
algunas verificaciones de entropa. Estos
valores son controlados por el archivo /etc/pam.d/common-password que se
describe a continuacin:

Si por ejemplo quieres cambiar el mnimo de caracteres para la contrasea

de

8, entonces cambia el valor de la variable correspondiente a min=8 como se

muestra
en el siguiente ejemplo:

Ctrl + O : para guardar, presionar enter y luego para salir Ctrl + x

Las verificaciones bsicas de entropa y las reglas de longitud mnima no

aplican

al

administrador que est usando sudo para la creacin de un nuevo usuario.

Caducidad de las contraseas
Cuando creas nuevos usuarios, deberas establecer una poltica que indique
un mnimo y un mximo de tiempo para la duracin de las contraseas,
obligando al usuario a cambiarla una vez este tiempo se haya agotado.
Para conocer fcilmente el estado actual de una cuenta de usuario, utiliza la
siguiente sintaxis:

La salida obtenida presenta interesantes datos acerca de la cuenta de

usuario,
observando que no existen polticas aplicadas:
Para establecer cualquiera de estos valores, utiliza la siguiente sintaxis,

Y sigue cada uno de los mensajes interactivos:

consultando los cambios realizados

El siguiente es un ejemplo de cmo puedes cambiar manualmente la fecha

de
expiracin (-E) a 07/31/2016, una duracin mnima de la contrasea (-m) de
5

das,

una duracin mxima de la contrasea (-M) de 90 das, un periodo de

inactividad

(-

I) de 5 das despus de la fecha de expiracin de la contrasea, y una

advertencia
con (-W) 14 das de anticipacin antes de la expiracin de la contrasea:

Ver los cambios relizados

Seguridad de perfil de usuario: Cuando se crea un nuevo usuario, la

utilidad adduser crea un nuevo directorio nombrado /home/usuario. El
perfil predeterminado es modelado a partir del contenido del directorio
/etc/skel,

el

cual

incluye

las

caractersticas

bsicas

del

perfil.

Si tu servidor va a albergar varios usuarios, debes poner especial atencin a

los permisos de los directorios personales con la intencin de mantener la
confidencialidad. Por defecto, los directorios personales en Ubuntu son
creados con permisos de lectura y ejecucin globales. Esto significa
que a los usuarios se les permite navegar y acceder a los directorios y
archivos almacenados en los directorios personales de cada uno de los
usuarios en el servidor, lo cual puede llegar a ser contraproducente para tus
necesidades

especficas.

Para verificar los permisos de los directorios personales de cada uno de los
usuarios utiliza la siguiente sintaxis:

La siguiente salida muestra que el directorio /home/nomb-usuario posee

permisos
de lectura globales.

PASO 5: permisos de archivos/carpetas

Propiedades de Archivos Regulares:

Los archivos regulares poseen 3 caractersticas principales:

usuario propietario, un grupo propietario, una serie de permisos

Existen tres tipos de permisos:

lectura (r), escritura (w), ejecucin (x)

Tabla 2

Alguien puede ver un archivo si tiene permisos de lectura, pero

deber tener permisos de escritura para modificarlo. Los permisos de
ejecucin, permiten que alguien utilice el archivo como uncomando.

Para iniciar una aplicacin o ejecutar un script, el archivo que

contenga la aplicacin o el script deber ser ejecutable.

Los archivos normales de datos no usan el tipo de permiso ejecutable.

Tres clases de acceso:

(u)suario, Acceso de (g)rupo propietario, Acceso de (o)tro tipo

permisos de un archivo se presentan, por lo general, con una serie de

nueve caracteres, tales como rwxr-xr-x.

Una letra indica que el permiso correspondiente se ha activado,

mientras que si aparece un guin esto significa que no se tiene
permiso.

Usuarios propietarios, Grupos propietarios y Permisos 2

Algunos archivos estn destinados a ser compartidos

Otros archivos, los usuarios desearan mantenerlos en privado

Cada archivo en Linux tiene tres propiedades que permiten a los usuarios
controlar quin tiene acceso al archivo y cmo:

Usuario Propietario

Grupo Propietario

Otros Propietarios

Los bits de permisos definen la forma como las tres clases diferentes de
usuarios pueden usar el archivo: el propietario del archivo, los miembros
del grupo que poseen el archivo y cualquier otro usuario.

Por ejemplo creado un txt

Interpretacin de Permisos :
Para poder interpretar los permisos de archivos de

http://myslide.es/documents/linux1-modulo-4-propiedades-de-archivos-y-permisosrelator-jcnet.html

Figura 1

El usuario tiene permiso de lectuara(r) y escritura, el grupo solo tiene permiso

de lectura como el ivitado tambien el mismo permiso.
los siguientes usuarios, y sus respectivas membresas de grupo (cat /etc/group):
Usuario

grupos

rivera

rivera, Lab, fiis

valdivia

valdivia, fiis

mayra

Mayra, Lab

jaimito

jaimes,Lab_pract
Tabla

Cambio de permisos de archivos: chmod

Conceptos Claves

El comando chmod se utiliza para modificar los permisos de

archivo

El primer argumento para chmod usa una sintaxis [ugoa]+/-[rwx]

para describir cmo deberan cambiarse los permisos.

Chmod:

Usualmente, en linux el permiso de archivo se le conoce como el modo

del archivo

Chmod es un atajo para cambiar modo

Cuando alguien crea un archivo, por defecto el archivo puede ser

modificado por solo una persona, pero puede ser leible por todos en el
sistema.

Figura 2

Por ejemplo:

La siguiente muestra presenta varios ejemplos de cmo el comando

chmod se puede utilizar para modificar permisos de un archivo llamado
foo, con los permisos predeterminados de rw-rw-r--.

La primera columna es un ejemplo del uso del comando chmod y la

ltima columna son los permisos que el archivo tendra despus de
ejecutar el comando.

Permiso al grupo de escritura(w)

Mas modos de chmod:

Tabla 4

Sintaxis "octal" para el comando chmod:

A cada tipo de permiso se le concede un valor:

(r) tiene 4,

(w) tiene 2,

(x) tiene 1.

Los archivos por defecto tienen los permisos "664"

Los directorios tienen por defecto un modo 775

Por ejemplo:

Dado a permisos a otros puedan escribir(w)

Notacin Octal :

Con la notacin octal de tres dgitos cada nmero representa un

componente diferente de permisos a establecer: clase de usuario, clase
de grupo y clase de otros (resto del mundo).

Tabla 5

Tabla 6

PASO 6. Como cambiar los permisos/dueo/grupo de un

fichero/directorio?
El comando chgrp cambia el grupo de propietarios Sintaxis:

El comando chown cambia los usuarios propietarios Sintaxis

-R: indica que los cambios se le deben de aplicar tanto a la carpeta especificada como a
los archivos y subcarpetas.

El usuario root puede cambiar a cualquier archivo el grupo. Los dems usuarios solo
pueden hacerlo con los archivos propios y grupos a los que pertenezca.
Sintaxis chgrp:
chgrp nuevogrp archivo1 [ archivo2 archivo3...]
Por ejemplo: cambia el grupo propietario del archivo /home/rivera al grupo lab_pract

Entramos al directorio /home

Vemos que ha cambiiado el grupo propietario

Sintaxis chown:
chown nuevousr archivo1 [ archivo2 archivo3...]
Por ejemplo: cambia el usuario propietario del archivo /home/valdivia al usuario mayra

Visualizamos los cambios

PASO 6. Practicando
Modificando el nombre del grupo lab_pract en prueba
Luego usamos: cat /etc/group; visualizamos que se a cambiado el nombre

Agregamos al grupo al usuario rivera, mayra

Nueva mente usamos: cat /etc/group; visualizamos que se aumentaron mas

usuarios

Eliminamos al usuario jaimito

Nueva mente usamos: cat /etc/group; visualizamos que se quito a jaimito
Para permisos de archivos por ejemplo el usuario rivera creo anteriormente un
archivo txt
Llamado ejemplo.txt

Vemos que permisos tien el txt

Todos los usuarios tienen permiso de lectura y escritura; en este caso quiero
que los que no pertescan al grupo podran modificar el archivo, pero podran
visualizarlo

Como tambien el usuario mayra pertenece ala grupo prueba y tambien rivera
Por lo tanto mayra si podra modificar el archivo

Entramos a /home/rivera para modificar el txt

Presionamo tecla i para insertar mas datos al texto

Para guardar presionamos Esc y a continuacion escriba :wq

El usuario chero quiere modificar el archivo, no podra por que no pertenece al
grupo

El usuario chero accede al directorio /home/rivera para modificar el txt

Al quere modificar el archivo presionando la tecla i le saldra un mensaje

Cuando quiere guardar presiona Esc le saldra un mensaje

Para salir de esto Ctrl +z

CONCLUSIONES

La administracion de grupos y usuarios en ubuntu es de forma segura ya que

cuando se crea un nuevo usuario con su password esta encriptado con sha512
en esto en la seguridad guarda la autentificacion del usuario.
La administracin de cambio de propietario de un grupo o el usuario como
propietario de un archivo creado en /home, ayuda al administrador a manejar
todos usuarios y grupos de manera integral, para poder compartir archivos,
depeendiendo del permiso que le dean rwx.
Cada archivo en Linux tiene tres propiedades que permiten a los usuarios
controlar quin tiene acceso al archivo y cmo.