Administrador de Linux - Gestión de usuarios
Cuando hablamos de administración de usuarios , tenemos tres términos importantes que comprender:
- Users
- Groups
- Permissions
Ya hemos discutido en profundidad los permisos aplicados a archivos y carpetas. En este capítulo, analicemos los usuarios y los grupos.
Usuarios de CentOS
En CentOS, hay dos tipos de cuentas:
System accounts - Se utiliza para un demonio u otra pieza de software.
Interactive accounts - Normalmente asignado a un usuario para acceder a los recursos del sistema.
La principal diferencia entre los dos tipos de usuarios es:
System accountslos demonios los utilizan para acceder a archivos y directorios. Por lo general, no se permitirá el inicio de sesión interactivo a través de shell o inicio de sesión de consola física.
Interactive accounts son utilizados por los usuarios finales para acceder a los recursos informáticos desde un shell o un inicio de sesión de consola física.
Con esta comprensión básica de los usuarios, creemos ahora un nuevo usuario para Bob Jones en el Departamento de Contabilidad. Se agrega un nuevo usuario con eladduser mando.
Los siguientes son algunos adduser interruptores comunes -
Cambiar | Acción |
---|---|
-C | Agrega un comentario a la cuenta de usuario |
-metro | Crea el directorio de inicio del usuario en la ubicación predeterminada, si no existe |
-gramo | Grupo predeterminado para asignar el usuario |
-norte | No crea un grupo privado para el usuario, generalmente un grupo con nombre de usuario |
-METRO | No crea un directorio de inicio |
-s | Shell predeterminado que no sea / bin / bash |
-u | Especifica UID (de lo contrario asignado por el sistema) |
-GRAMO | Grupos adicionales para asignar al usuario |
Al crear un nuevo usuario, utilice los modificadores -c, -m, -g, -n de la siguiente manera:
[[email protected] Downloads]# useradd -c "Bob Jones Accounting Dept Manager"
-m -g accounting -n bjones
Ahora veamos si nuestro nuevo usuario ha sido creado -
[[email protected] Downloads]# id bjones
(bjones) gid = 1001(accounting) groups = 1001(accounting)
[[email protected] Downloads]# grep bjones /etc/passwd
bjones:x:1001:1001:Bob Jones Accounting Dept Manager:/home/bjones:/bin/bash
[[email protected] Downloads]#
Ahora necesitamos habilitar la nueva cuenta usando el comando passwd -
[[email protected] Downloads]# passwd bjones
Changing password for user bjones.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[[email protected] Downloads]#
La cuenta de usuario no está habilitada, lo que permite al usuario iniciar sesión en el sistema.
Deshabilitar cuentas de usuario
Existen varios métodos para deshabilitar cuentas en un sistema. Estos van desde la edición manual del archivo / etc / passwd. O incluso usando el comando passwd con el-lcambiar. Ambos métodos tienen un gran inconveniente: si el usuario tiene acceso ssh y usa una clave RSA para la autenticación, aún puede iniciar sesión con este método.
Ahora usemos el comando chage , cambiando la fecha de caducidad de la contraseña a una fecha anterior. Además, puede ser bueno anotar en la cuenta por qué la desactivamos.
[[email protected] Downloads]# chage -E 2005-10-01 bjones
[[email protected] Downloads]# usermod -c "Disabled Account while Bob out of the country
for five months" bjones
[[email protected] Downloads]# grep bjones /etc/passwd
bjones:x:1001:1001:Disabled Account while Bob out of the country for four
months:/home/bjones:/bin/bash
[[email protected] Downloads]#
Administrar grupos
La gestión de grupos en Linux hace que sea conveniente para un administrador combinar los usuarios dentro de contenedores aplicando conjuntos de permisos aplicables a todos los miembros del grupo. Por ejemplo, todos los usuarios de Contabilidad pueden necesitar acceder a los mismos archivos. Así, formamos un grupo contable, agregando usuarios de Contabilidad.
En su mayor parte, cualquier cosa que requiera permisos especiales debe hacerse en grupo. Este enfoque generalmente ahorrará tiempo al aplicar permisos especiales a un solo usuario. Por ejemplo, Sally está a cargo de los informes y solo Sally necesita acceder a ciertos archivos para generar informes. Sin embargo, ¿qué pasa si Sally se enferma un día y Bob informa? ¿O crece la necesidad de informar? Cuando se crea un grupo, un administrador solo necesita hacerlo una vez. La adición de usuarios se aplica a medida que las necesidades cambian o se expanden.
A continuación, se muestran algunos comandos comunes que se utilizan para administrar grupos:
- chgrp
- groupadd
- groups
- usermod
chgrp - Cambia la propiedad del grupo de un archivo o directorio.
Hagamos un directorio para que las personas del grupo de contabilidad almacenen archivos y creen directorios para archivos.
[[email protected] Downloads]# mkdir /home/accounting
[[email protected] Downloads]# ls -ld /home/accounting
drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting
[[email protected] Downloads]#
A continuación, démosle la propiedad del grupo al grupo de contabilidad .
[[email protected] Downloads]# chgrp -v accounting /home/accounting/
changed group of ‘/home/accounting/’ from root to accounting
[[email protected] Downloads]# ls -ld /home/accounting/
drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[[email protected] Downloads]#
Ahora, todos en el grupo de contabilidad han leído y ejecutado permisos para / home / Accounting . También necesitarán permisos de escritura.
[[email protected] Downloads]# chmod g+w /home/accounting/
[[email protected] Downloads]# ls -ld /home/accounting/
drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[[email protected] Downloads]#
Dado que el grupo de contabilidad puede tratar con documentos confidenciales, debemos aplicar algunos permisos restrictivos para otros o para el mundo .
[[email protected] Downloads]# chmod o-rx /home/accounting/
[[email protected] Downloads]# ls -ld /home/accounting/
drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/
[[email protected] Downloads]#
groupadd - Se usa para crear un nuevo grupo.
Cambiar | Acción |
---|---|
-gramo | Especifica un GID para el grupo |
-K | Anula las especificaciones para GID en /etc/login.defs |
-o | Permite anular la anulación de identificación de grupo no única |
-pags | Contraseña de grupo, que permite a los usuarios activarse |
Hagamos un nuevo grupo llamado secreto. Agregaremos una contraseña al grupo, permitiendo que los usuarios se agreguen con una contraseña conocida.
[[email protected]]# groupadd secret
[[email protected]]# gpasswd secret
Changing the password for group secret
New Password:
Re-enter new password:
[[email protected]]# exit
exit
[[email protected] ~]$ newgrp secret
Password:
[[email protected] ~]$ groups
secret wheel rdc
[[email protected] ~]$
En la práctica, las contraseñas para grupos no se utilizan con frecuencia. Los grupos secundarios son adecuados y compartir contraseñas entre otros usuarios no es una buena práctica de seguridad.
los groupsEl comando se usa para mostrar a qué grupo pertenece un usuario. Usaremos esto, después de realizar algunos cambios en nuestro usuario actual.
usermod se utiliza para actualizar los atributos de la cuenta.
A continuación se muestran los conmutadores de modificación de usuario comunes .
Cambiar | Acción |
---|---|
-un | Agrega, agrega usuario a grupos complementarios, solo con la opción -G |
-C | Comentario, actualiza el valor del comentario del usuario |
-re | Directorio de inicio, actualiza el directorio de inicio del usuario |
-GRAMO | Agrupa, agrega o elimina los grupos de usuarios secundarios |
-gramo | Grupo, grupo primario predeterminado del usuario |
[[email protected]]# groups centos
centos : accounting secret
[[email protected]]#
[[email protected]]# usermod -a -G wheel centos
[[email protected]]# groups centos
centos : accounting wheel secret
[[email protected]]#