martes, 15 de diciembre de 2015

ADMINISTRACION DE USUARIOS Y GRUPOS

       ADMINISTRACION DE SERVIDORES II

INTEGRANTES:

-RIOJAS SUCLUPE JUNIOR EXEQUIEL

    -CARLOS AUGUSTO VILLEGAS YANCUL

PROFESOR

                        MARCO AURELIO PORRO CHULLI

I.TEMA: ADMINISTRACION DE SERVIDORES Y GRUPOS

1.CONTENIDO

    DEFINICION:

La administración de cuentas de usuario y grupos es una parte esencial de la administración de sistemas dentro de una organización. Pero para hacer esto efectivamente, un buen administrador de sistemas primero debe entender lo que son las cuentas de usuario y los grupos y como funcionan.

La razón principal para las cuentas de usuario es verificar la identidad de cada individuo utilizando un computador. Una razón secundaria (pero aún importante) es la de permitir la utilización personalizada de recursos y privilegios de acceso.

Los recursos incluyen archivos, directorios y dispositivos. El control de acceso a estos dispositivos forma una gran parte de la rutina diaria de un administrador de sistemas; a menudo el acceso a un recurso es controlado por grupos. Los grupos son construcciones lógicas que se pueden utilizar para enlazar a usuarios para un propósito común. Por ejemplo, si una organización tiene varios administradores de sistemas, todos ellos se pueden colocar en un grupo administrador de sistema. Luego se le pueden dar permisos al grupo para acceder a recursos claves del sistema. De esta forma, los grupos pueden ser una herramienta poderosa para la administración de recursos y acceso.

 COMANDOS PARA ADMINISTRAR USUARIOS

Las secciones siguientes discuten las cuentas de usuario y grupos en más detalles.
Para gestionar los usuario debes usar el comando sudo. Estos son los comandos:

1. Añadir usuarios y grupos

Para añadir un usuario:
sudo adduser nombreusuario
El sistema pedirá alguna información adicional sobre el usuario y un password o clave. Por defecto, se crea un grupo con el nombre del usuario y éste será el grupo por defecto. Este comportamiento se configura en /etc/adduser.conf.

Para añadir un usuario al sistema estableciendo users como su grupo principal:
sudo adduser --ingroup users nombreusuario

Para ver las opciones de añadir usuarios utiliza el comando man.
sudo man adduser

Para añadir nuevos grupos, cuando el número de usuarios es numeroso y heterogéneo y así simplificamos el tema. Esto se hace con el comando addgroup. Por ejemplo:.
sudo addgroup nombregrupo

Para añadir un nuevo usuario a un grupo existente puedes hacer lo siguiente:
sudo adduser nombreusuario nombregrupo

Para añadir un usuario existente a un grupo existente puedes usar el mismo comando:
sudo adduser nombreusuario nombregrupo

2. Eliminar usuarios y grupos

Para eliminar usuarios y grupos se emplean userdel y groupdel respectivamente. Por ejemplo: Para eliminar el usuario juan:
sudo userdel juan
Si además se indica la opción -r, también se borrará el directorio personal del usuario con todo su contenido:
sudo userdel -r juan

Para eliminar el grupo profesores:
sudo groupdel profesores

3. Modificar usuarios y grupos

Para modificar las características de los usuarios y grupos se emplean los comandos usermod ysudo groupmod. Algunos ejemplos:

Para cambiar el directorio de inicio del usuario juan para que sea /home/profesores/juan. La opción -m hace que mueva el contenido del antiguo directorio al nuevo emplazamiento.
sudo usermod -d /home/profes/juan -m

Para cambiar el grupo inicial del usuario juan para que sea profesores.
sudo usermod -g profesores juan

Para cambiar el nombre del usuario juan. El nuevo nombre es jorge.
sudo usermod -l jorge juan

Para cambiar el nombre del grupo profesores a alumnos.
sudo groupmod -n alumnos profesores

4. Ficheros relacionados con la gestión de usuarios y grupos

Algunos ficheros relacionados con las cuentas de usuario son:
  • /etc/passwd: contiene información sobre cada usuario: ID, grupo principal, descripción, directorio de inicio, shell, etc. También contiene el password encriptado, salvo que se usen shadow passwords.
  • /etc/shadow: contiene los passwords encriptados de los usuarios cuando se emplean shadow passwords.
  • /etc/group: contiene los miembros de cada grupo, excepto para el grupo principal, que aparece en /etc/passwd.
  • /etc/skel: directorio que contiene el contenido del directorio de los nuevos usuarios.

5. Algunos grupos especiales

En el sistema existen algunos grupos especiales que sirven para controlar el acceso de los usuarios a distintos dispositivos. El control se consigue mediante los permisos adecuados a ficheros de dispositivo situados en /dev. Algunos de estos grupos son:
  • cdrom: dispositivos de CD–ROM. El dispositivo concreto afectado depende de donde estén conectadas las unidades de CD–ROM. Por ejemplo, /dev/hdc.
  • floppy: unidades de diskette, por ejemplo, /dev/fd0
  • dialout: puertos serie. Afecta, por ejemplo, a los modems externos conectados al sistema. Por ejemplo, /dev/ttyS1
  • audio: controla el acceso a dispositivos relacionados con la tarjeta de sonido. Por ejemplo, /dev/dsp, /dev/mixer y /dev/sndstat.
Para dar acceso a un usuario a uno de estos servicios, basta con añadirlo al grupo adecuado. Por ejemplo, para dar acceso al usuario juan a la disquetera haríamos:
sudo adduser juan floppy

Alternativamente, para sistemas pequeños suele ser mejor"desproteger" los dispositivos adecuados para que todos los usuarios puedan usarlos, evitando tener que recordar añadir usuarios a los grupos adecuados. Por ejemplo, para dar acceso de lectura al CD–ROM (suponiendo que esté en /dev/hdc) y de lectura/escritura a la disketera a todos los usuarios, haríamos:
sudo chmod a+r /dev/hdc
sudo chmod a+rw /dev/fd0*

6. Límites a los usuarios

En los sitemas UNIX/LINUX existe la posibilidad de limitar recursos a los usuarios o grupos, por ejemplo, el máximo numero de logins que puede realizar simultáneamente un usuario, el máximo tiempo de CPU, el máximo numero de procesos etc. Estos límites se controlan en LINUX a través del fichero /etc/security/limits.conf. También es posible limitar los tiempos de acceso a los usuarios. Una de las formas de hacerlo es con el servicio timeoutd. Este servicio se instala a través de la distribución y, una vez instalado aparece un fichero de configuración /etc/timeouts. En este fichero de configuración las lineas en blanco o que comienzan por # no son interpretadas. El resto de las líneas debe tener alguna de las dos siguientes sintaxis:
TIMES:TTYS:USERS:GROUPS:MAXIDLE:MAXSESS:MAXDAY:WARN

o bien
TIMES:TTYS:USERS:GROUPS:LOGINSTATUS

Ejemplos de límites horarios:

El ususario curso no puede hacer login durante el fin de semana:
SaSu:*:curso:*:NOLOGIN

Sólo el ususario root puede acceder desde las consolas tty1 a tty6:
Al:tty1,tty2,tty3,tty4,tty5,tty6:root:*:LOGIN
Al:tty1,tty2,tty3,tty4,tty5,tty6:*:*:NOLOGIN

Sólo el usuario root puede acceder entre las 15:00 y las 16:00h de cada dia:
Al1500-1600:*:root:*:LOGIN
Al1500-1600:*:*:*:NOLOGIN

Una vez que se ha preparado el fichero /etc/timeouts es necesario reiniciar el servidor timeoutd:
/etc/init.d/timeoutd restart
Stopped /usr/sbin/timeoutd (pid 2412).
Starting /usr/sbin/timeoutd...

Es importante destacar que este proceso no actúa durante el proceso de login lo que da lugar a que, aunque un usuario tenga prohibido el acceso a una máquina en un momento determinado, inicialmente puede entrar y sólo, una vez que se ejecute el proceso timeoutd, será expulsado del sistema. Para conseguir que durante el proceso de login se revisen las condiciones de timeouts se debe incluir las siguientes lineas en el fichero /etc/profile:

Comprueba restricciones de timeoutd (ver timeoutd, timeouts(5))
/usr/sbin/timeoutd ‘whoami‘ ‘basename \‘tty\‘‘ || exit

Con esta línea incluso aunque el servicio timeoutd este parado si en el fichero /etc/timeouts se prohibe el acceso a un usuario éste no podrá entrar en el sistema.

7. Límites de cuotas

El sistema de cuotas provee un mecanismo de control y uso del espacio de disco duro disponible en un sistema. Se pueden establecer limites en la cantidad de espacio y el número de ficheros de que puede disponer un usuario o grupo. En las cuotas hay cuatro números para cada límite: la cantidad actual ocupada; el límite soft (quota propiamente dicha); el límite hard (espacio sobre cuota), y el tiempo que resta antes de eliminar el exceso entre soft y hard. Mientras que el límite soft puede ser superado temporalmente, el límite hard nunca puede rebasarse.

Administrando el sistema de cuotas:

Para implementar el sistema de cuotas es necesario instalar algún paquete de control de dicho sistema. En Ubuntu hay un paquete denominado cuota que instala todo lo necesario para implementar todo el sistema. Una vez instalado tenemos que realizar una serie de pasos para activar el mecanismo de cuotas. Estos pasos son:

7.1. Configuración del kernel

Antes de instalar el sistema de cuotas debe disponerse de un kernel con la opción de quota–system habilitada. Esto se consigue en el proceso de compilación de un nuevo kernel respondiendo yes a la pregunta de Disk QUOTA support Los kernels precompilados que se distribuyen con Debian (paquetes kernel-image.ya tienen esta opción habilitada.

7.2. Elección del sistema de ficheros sobre el que se aplican las cuotas

Una vez dispuesto el kernel, hay que seleccionar que sistema de ficheros necesitan tener aplicadas las cuotas. Lo normal es que solo el sistema donde están las cuentas de usuarios tengan cuotas, aunque es recomendable que tenga cuotas todo sistema de ficheros donde los usuarios puedan escribir. Para habilitar las cuotas en un sistema de ficheros hay que editar el fichero /etc/fstab e incluir las opciones usrquota y grpquota:
# /etc/fstab: static file system information.
# file system mount point type options dump pas
/dev/hda5 / ext2 defaults,errors=remount-ro,usrquota,grpquota 0

7.3. Habilitar las cuotas

Para instalar los ficheros de cuotas se debe ejecutar el comando:
quotacheck -avug
Scanning /dev/hda5 [/] done
Checked 4943 directories and 57624 files
Using quotafile /quota.user
Updating in-core user quotas
Using quotafile /quota.group
Updating in-core group quotas

La primera vez que se ejecuta este comando sirve para crear los ficheros de quotas: quota.user y quota.group

7.4. Especificar cuotas para usuarios o grupos

Para editar la cuota de un usuario o grupo se usa el programa edquota con la opción -u para editar las cuotas de usuarios y con la opcion -g para editar las opciones de grupo. Sólo hay que editar los números que están detrás de soft y hard. El período de gracia que hay entre el límite soft y el hard puede cambiarse con:
edquota -t

La mayoría de las veces los usuarios tienen la misma cuota. Una forma rápida de editar la cuota de todos los usuarios es colocarse en el directorio donde tienen sus directorios raíz cada usuario. Editar la cuota de uno de estos usuarios con los valores apropiados y, posteriormente, ejecutar:
edquota -p usuarioprototipo *

Para verificar las cuotas que tiene un usuario se utiliza el comando:
quota -v

El superusuario puede ver las cuotas de todos los usuarios con el comando:
repquota filesystem



    
    EJEMPLOS 1

Añadiendo y eliminando usuarios

Usuarios en UbuntuEl proceso para administrar los usuarios locales y los grupos es sencillo y difiere muy poco de las demás distribuciones Linux. Ubuntu y otras distribuciones basadas en Debian animan al usuario a utilizar el paquete adduser para la administración de cuentas de usuario.
Para agregar un usuario nuevo en Ubuntu Server debes utilizar la siguiente sintaxis del paquete adduser y proveer la información solicitada para la creación de la cuenta como el nombre completo del usuario, su número telefónico, etc.
sudo adduser usuario
Para eliminar una cuenta de usuario y su grupo primario utiliza el siguiente comando:
sudo deluser usuario
Eliminar una cuenta no elimina su directorio personal ni los archivos almacenados en este. Por lo tanto, otros usuariospueden ingresar a este directorio y ver el contenido almacenado en el mismo sin restricción alguna, a menos que hayas tomado las precauciones necesarias con anterioridad.
Es recomendable cambiar los valores del UID/GID a algo más apropiado como la cuenta root y cambiar la ubicación del directorio para prohibir el acceso no autorizado a esa información y evitar futuros conflictos por medio de los siguientes comandos.
sudo chown -R root:root /home/usuario/
sudo mkdir /home/usuarios_archivados/
sudo mv /home/usuario /home/usuarios_archivados/
Si por el contrario, desea eliminar el usuario y el directorio personal asociado a este, utilice la siguiente sintaxis:
sudo userdel -r usuario
Para bloquear o desbloquear una cuenta de usuario temporalmente utilice la siguiente sintaxis respectivamente:
sudo passwd -l usuario
sudo passwd -u usuario
Para añadir o eliminar un grupo personalizado utilice la siguiente sintaxis respectivamente:
sudo addgroup grupo
sudo delgroup grupo
Para añadir un usuario a un grupo específico utilice la siguiente sintaxis:
sudo adduser usuario grupo
Para añadir a un usuario a varios grupos al mismo tiempo utilice la siguiente sintaxis:
sudo usermod -a -G grupo1,grupo2,grupo3 usuario
  EJEMPLOS 2

Usuarios y Grupos


1. Para añadir un usuario nuevo:

Pulsa el botón "Pulse para realizar los cambios" e introduce la contraseña de root o superusuario.
Presiona + Añadir Usuario y se abre el Editor de Cuentas de Usuario.

En la pestaña "CUENTA" como mínimo debes de rellenar:
  • El Nombre de usuario. No uses espacios ni caracteres ASCII
  • El Nombre real. Esto es opcional
  • El perfil: eliges entre Administrador, Usuario de Escritorio y Usuario sin Privilegios (esto genera los privilegios de usuario predeterminados, aunque posteriormente los puedes modificar).
  • La contraseña: la puedes poner a mano (2 veces) o eliges que Ubuntu la genere automáticamente.
En la pestaña "INFORMACION DE CONTACTO":
  • Puedes poner la ubicación de la oficina y teléfonos. Esto es opcional.
En la pestaña "PRIVILEGIOS DEL USUARIO":
  • Puedes añadir o quitar los privilegios a los que el nuevo usuario tendrá acceso, como por ejemplo usar dispositivos de audio.
En la pestaña "AVANZADO":
  • El directorio personal, el intérprete de comandos, el grupo principal y el ID del usuario se adivina automáticamente dependiendo del perfil seleccionado, por lo que no debes de modificarlos.

2.RESUMEN

 La administración de usuarios es una de la partes más importantes de la configuración y mantenimiento de un servidor, además de estar directamente relacionada con la seguridad de un sistema Linux, pues los permisos otorgados a cada uno de los usuarios de un sistema son la clave al momento de establecer unas políticas de seguridad efectivas.
El manual que verás a continuación, es una adaptación libre y con algunas modificaciones del apartado User Managementincluído en la documentación oficial de Ubuntu Server publicada por Canonical para la versión para servidores de su distribución Ubuntu Linux.
3.SUMMARY
User management is a dela most important parts of the setup and maintenance of a server, in addition to being directly related to the security of a Linux system because the permissions granted to each of the users of a system are the key to time to establish effective security policies.
The manual you will see then is a free and with some modifications Managementincluído User section in the official documents published by Canonical Ubuntu Server for server version of Ubuntu Linux distribution adaptation.
4.APRECIACION DEL EQUIPO
Es muy util conocer estos comandos ya que el sistema linux es multiusuario y estos comandos nos ayudaran a administrar y controlar los diferentes grupos y usuarios en Linux- Ubuntu.
5.CONCLUSIONES
.Es mucho más fácil asegurar las copias de seguridad y la restauración de datos que pertenecen a usuarios distintos si se almacenan las carpetas particulares en un servidor. De lo contrario, se tendrían que hacer copias de seguridad periódicas de los datos en los distintos equipos de red donde se almacenan las carpetas particulares.
.Los usuarios y los grupos son usados ​​en los sistemas GNU/Linux para el control de los accesos —es decir, determina qué usuarios y servicios están autorizados para acceder a los archivos, directorios y dispositivos periféricos presentes en el sistema—. Linux ofrece de forma predefinida mecanismos de control de acceso relativamente simples/básicos.

6.RECOMENDACIONES

.Cualquiera que sea el tipo de usuario, todas las cuentas se encuentran definidas en el archivo de configuración 'passwd', ubicado dentro del directorio /etc. Este archivo es de texto tipo ASCII, se crea al momento de la instalación con el usuario root y las cuentas especiales, más las cuentas de usuarios normales que se hayan indicado al momento de la instalación.

.Si un usuario trabaja en un equipo sin disco duro, su carpeta particular debe estar en el servidor de red.

7.GLOSARIO DE TERMINOS

Privativo: Término alternativo para designar al software que no es libre. Véase Software no libre

Root: El súper usuario en un sistema GNU/Linux. También se conoce como el administrador del sistema. Tiene acceso a todos los archivos y permisos.

Servicio como Sustituto de Software (Service as a Software Substitute, SaaSS): Software que es alojado por un vendedor o por un proveedor yque se encuentra disponible a través de Internet.
Puesto que no tenemos control sobre lo que hace el servidor con nuestros datos (o incluso acceso al software ejecutable en sí mismo), debemos actively rechazar el SaaSS activamente, incluso si funciona con software libre.

8.BIBLIOGRAFIA

.http://www.ubuntu-guia.com/2009/09/gestion-de-usuarios-y-grupos-en-ubuntu.html
.http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-isa-es-4/ch-acctsgrps.html
.http://emslinux.com/usuarios-en-ubuntu-server/
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)