EntradaGestión de usuarios. Ubuntu Server: derechos administrativos de los usuarios de Ubuntu, nuevo usuario con privilegios de root
En este tutorial, veremos cómo eliminar un usuario de Linux junto con sus datos y su directorio de inicio.
Si es administrador de sistemas en una gran empresa, lo más probable es que eliminar usuarios de Linux sea una tarea bastante frecuente para usted. Después de que una cuenta se vuelve innecesaria o un usuario ha abandonado la organización, su cuenta debe ser eliminada para no dejar agujeros de seguridad.
Al eliminar usuarios de Linux, también es importante eliminar su directorio de inicio para liberar espacio de almacenamiento para nuevos usuarios y sus archivos. Primero, veremos cómo eliminar un usuario de Linux usando la terminal, luego hablaremos sobre cómo hacer esto en la interfaz gráfica de una de las distribuciones más populares: Ubuntu.
Antes de pasar al entorno real, necesita practicar un poco, creemos dos usuarios losst y losst1, junto con los directorios de inicio, y luego los eliminaremos:
adduser losst
$ passwd losst
adduser losst1
$ passwd losst1
Aquí, el comando adduser se usa para crear una cuenta de usuario y passwd se usa para crear una contraseña.
Echemos un vistazo a cómo eliminar un usuario de Linux en la terminal. Para hacer esto, use el comando - deluser en debian y sistemas derivados, y en RedHat - userdel. Echemos un vistazo más de cerca a estas dos utilidades.
Descripción de deluser
La sintaxis del comando deluser es muy simple:
$ usuario de parámetros deluser
Las configuraciones para el comando deluser se encuentran en el archivo /etc/deluser.conf, entre otras configuraciones se especifica qué hacer con los archivos de usuario y papá de la casa.
Puede ver y cambiar esta configuración ejecutando el comando:
vi /etc/deluser.conf
Echemos un vistazo más de cerca a estas configuraciones:
- REMOVE_HOME- eliminar el directorio de inicio del usuario
- REMOVE_ALL_FILES- eliminar todos los archivos de usuario
- APOYO- hacer una copia de seguridad de los archivos de usuario
- RESPALDA A- carpeta para copia de seguridad
- ONLY_IF_EMPTY- eliminar el grupo de usuarios si está vacío.
Estas configuraciones determinan el comportamiento predeterminado de la utilidad al eliminar un usuario, por supuesto, pueden anularse usando parámetros para el comando.
Estos parámetros son compatibles, son similares a la configuración, pero hay más opciones:
- --sistema- eliminar solo si es un usuario del sistema
- --apoyo- hacer una copia de seguridad de los archivos del usuario
- --respalda a- carpeta para copias de seguridad
- --movimiento de casa- eliminar carpeta de inicio
- - eliminar-todos-los-archivos- eliminar todos los archivos de usuario en el sistema de archivos
Descripción de userdel
La utilidad userdel funciona de manera un poco diferente, aquí no hay un archivo de configuración, pero hay opciones que puede usar para decirle a la utilidad qué hacer. La sintaxis es similar:
$ userdel parámetros usuario
- -f, --force- eliminación forzada, incluso si el usuario todavía está conectado
- -r, - eliminar- eliminar el directorio de inicio del usuario y sus archivos en el sistema.
- -Z- eliminar todos los objetos SELinux para este usuario.
Para eliminar un usuario del servidor, es mejor utilizar el método avanzado, que discutiremos a continuación. Cuando los usuarios utilizan el servidor, inician varios programas y servicios. Un usuario puede ser eliminado correctamente solo si no ha iniciado sesión en el servidor y todos los programas iniciados en su nombre están detenidos, porque los programas pueden usar varios archivos que pertenecen al usuario y esto evitará que se eliminen. En consecuencia, los archivos del usuario no se eliminarán por completo y seguirán obstruyendo el sistema.
Bloqueo de cuenta de usuario
Puede utilizar la utilidad passwd para bloquear una cuenta de usuario. Esto negará el acceso del usuario al sistema y evitará que se inicien nuevos procesos:
Ejecute el comando passwd con el parámetro --lock:
passwd --bloquear losst
passwd: la información de caducidad de la contraseña ha cambiado.
Elimine todos los procesos de usuario en ejecución
Ahora busquemos todos los procesos que se ejecutan en nombre del usuario y finalícelos.
Encontremos los procesos usando pgrep:
Puedes ver con más detalle cuáles son estos procesos pasando el pid, cada uno de ellos al comando ps, así:
ps -f --pid $ (pgrep -u losst)
UID PID PPID C STIME TTY STAT TIME CMD
perdida 14684 14676 0 22:15 pts / 2 S 0:00 -bash
perdida 14735 14684 0 22:15 pts / 2 S + 0:00 vi texto
Ahora que se ha asegurado de que no hay nada importante allí, puede matar todos los procesos usando el comando killall:
Killall -9 -u losst
La opción -9 le dice al programa que envíe la señal de terminación SIGKILL a estos procesos, y -u especifica el nombre de usuario.
En los sistemas basados en Red Hat, el paquete psmisc debe estar instalado para usar killall:
sudo yum instalar psmisc
Hacer una copia de seguridad de los datos del usuario
Esto no es necesario en absoluto, pero para un proyecto serio no será superfluo crear una copia de seguridad de los archivos del usuario, especialmente si podría haber archivos importantes allí. Para hacer esto, puede usar, por ejemplo, la utilidad tar:
tar jcvf /user-backups/losst-backup.tar.bz2 / home / losst
Eliminar una cuenta de usuario
Ahora que todo está listo, comenzamos a eliminar el usuario de Linux. Por si acaso, le indicaremos explícitamente que necesita eliminar los archivos del usuario y el directorio de inicio. Para Debian:
deluser --remove-home losst
userdel --remove losst
Si necesita eliminar todos los archivos propiedad de un usuario en el sistema, use la opción --remove-all-files, solo tenga cuidado con ella, ya que los archivos importantes se pueden sobrescribir:
deluser --remove-all-files losst
El usuario ahora está completamente eliminado, junto con sus archivos y directorio de inicio, de su sistema.
Eliminar un usuario en Ubuntu
Abrir Parámetros del sistema:
Abrir el artículo Cuentas:
Como puede ver, ahora todas las acciones no están disponibles y están dibujadas en gris. Para activarlos presione el botón desatascar e ingrese la contraseña del usuario.
Ahora, para eliminar un usuario en Linux, simplemente haga clic en él con el mouse y luego haga clic en el signo menos.
En la ventana que se abre, puede elegir qué hacer con los archivos del usuario:
Naturalmente, solo se eliminará la carpeta de inicio, no estamos hablando de todos los archivos. Y para el borrado correcto, el usuario no debe estar trabajando en el sistema.
conclusiones
Eliminar un usuario en Linux no es tan difícil, sin importar dónde deba hacerse, en el servidor o en la computadora de su hogar. Por supuesto, la interfaz gráfica es más cómoda, pero el terminal, como siempre, ofrece más opciones. Si tienes alguna otra idea al respecto, ¡escribe en los comentarios!
Ahora hablemos un poco sobre la diferenciación de los derechos de acceso a varios elementos. El mecanismo descrito en este artículo es fundamental en Linux y, en consecuencia, en Ubuntu, así que lea con atención.
Usuarios y grupos
Linux en general y Ubuntu en particular son sistemas multiusuario, es decir una computadora puede tener varios usuarios diferentes, cada uno con su propia configuración, datos y derechos de acceso a varias funciones del sistema.
Además de los usuarios en Linux, existen grupos para diferenciar derechos. Cada grupo, así como un usuario individual, tiene un cierto conjunto de derechos de acceso a varios componentes del sistema, y cada usuario miembro de este grupo recibe automáticamente todos los derechos del grupo. Es decir, se necesitan grupos para agrupar a los usuarios de acuerdo con el principio de la misma autoridad para cualquier acción, esto es una tautología. Cada usuario puede ser miembro de un número ilimitado de grupos y cada grupo puede tener tantos usuarios como desee.
Por ejemplo, Ubuntu tiene un grupo muy útil: admin. Cualquier miembro de este grupo tiene privilegios administrativos ilimitados. Ya hablé sobre el rol del administrador en Ubuntu, así que si ya has olvidado quién es, puedes repasar tus conocimientos. El usuario creado durante la instalación de Ubuntu se convertirá automáticamente en miembro del grupo de administración.
Puede administrar usuarios y grupos utilizando una herramienta especial ubicada en el menú Sistema → Administración → Usuarios y grupos.
En general, el principal ámbito de aplicación del mecanismo de usuarios y grupos no es precisamente la delimitación de acceso a diversas funciones del sistema, sino más bien la delimitación de acceso a archivos del disco duro. De esto es de lo que trataré de hablar más.
Permisos de Linux
Cualquier archivo y directorio en Linux tiene un usuario propietario y un grupo propietario. Es decir, cualquier archivo y directorio pertenece a algún usuario del sistema y a algún grupo. Además, cualquier archivo y directorio tiene tres grupos de derechos de acceso: uno para el usuario propietario, otro para los miembros del grupo propietario y otro para todos los demás usuarios del sistema. Cada grupo consta de los derechos para leer, escribir y ejecutar el archivo para su ejecución. Para los directorios, ejecutar y leer siempre van juntos y significan lo mismo.
Es decir, al cambiar los propietarios de este o aquel archivo y varios grupos de derechos de acceso al mismo, puede controlar de manera flexible el acceso a este archivo. Por ejemplo, si se convierte en propietario de un archivo y niega por completo el acceso a él a todos, excepto al usuario propietario, puede ocultar el contenido y evitar que todos los demás usuarios cambien este archivo. Lo mismo ocurre con los catálogos. Por ejemplo, puede prohibir la escritura de archivos en un directorio o incluso ocultar su contenido de miradas indiscretas.
Por el momento, estamos interesados en una consecuencia extremadamente importante de tal organización de los derechos de acceso en el sistema. Un usuario específico de Ubuntu solo posee su directorio de inicio y todo su contenido. En el sistema, este directorio se encuentra en / home / username. Todos los demás archivos del sistema, incluidas todas las aplicaciones, la configuración del sistema, etc., fuera de casa o son propiedad principalmente de root. Recuerde, dije que root es un usuario con privilegios ilimitados y no se puede usar directamente en Ubuntu. Entonces, todos los archivos y directorios del sistema son propiedad de root por una razón, todos tienen derechos de cambio solo para el usuario propietario, por lo que nadie, excepto root, puede interferir con el sistema y cambiar algo en los archivos del sistema.
Esto es excelente para la seguridad, pero ¿y si necesita cambiar algún archivo del sistema? Aquí hay dos formas: en primer lugar, la mayoría de las configuraciones del sistema necesarias para el usuario se pueden cambiar con derechos de administrador desde los configuradores gráficos, esta es la forma más preferida. Bueno, en segundo lugar, puede aumentar temporalmente sus derechos de root y hacer lo que quiera.
Esto se hace usando la utilidad sudo y sus derivados. sudo es una utilidad de línea de comandos. Le permite "pretender" ser root al ejecutar un comando específico, obteniendo así derechos ilimitados. Por ejemplo, el comando
Actualización de aptitud de sudo
actualizará los datos sobre las aplicaciones disponibles para usted (explicaré por qué esto es necesario en el artículo sobre administración de programas). El propio equipo
Actualización de aptitud
sólo funciona si se inicia por root. Sin embargo, al ejecutarlo con sudo, se hace pasar por root, sin ser root. Naturalmente, debe tener derechos de administrador para usar sudo. Al mismo tiempo, cuando ejecutes el comando a través de sudo, el sistema te pedirá tu contraseña, pero por razones de seguridad, cuando la ingreses, no se te mostrará nada, ni estrellas, ni guiones, ni pájaros, nada. No te alarmes, así debe ser, solo ingresa hasta el final y presiona Enter. Si es administrador e ingresó la contraseña correctamente, el comando especificado después de sudo se ejecutará como root.
Puede hacer lo que quiera a través de la terminal, por lo que al tener la capacidad de convertirse en root, puede realizar todas las configuraciones que necesite. Sin embargo, a veces es conveniente utilizar aplicaciones gráficas, mientras se dispone de derechos de root. Por ejemplo, si necesita copiar archivos a los directorios del sistema. Para ejecutar aplicaciones gráficas como root, abra el Diálogo de inicio de GNOME con Alt + F2 y escriba
Gksudo nombre_aplicación
Por ejemplo, para iniciar el administrador de archivos de Nautlus, ingrese
Gksudo nautilus
A través de Nautilus lanzado de esta manera, puede cambiar cualquier archivo en su computadora de la forma que desee.
¡Tenga mucho cuidado al usar Nautilus como root! Puede eliminar permanentemente cualquier archivo del sistema sin ninguna advertencia, lo que puede llevar fácilmente a la inoperancia de todo el sistema.
Editar archivos de configuración
El ejemplo más importante de la aplicación de la tecnología de "simulación" descrita anteriormente por root es la edición de los archivos de configuración del sistema. Ya he dicho que todas las configuraciones del sistema y todas las aplicaciones en Linux se almacenan como archivos de texto. Por lo tanto, puede editar solo los archivos que le pertenecen, es decir, solo las configuraciones relacionadas con su usuario. Y para editar los parámetros del sistema, necesita derechos de administrador.
Puede abrir muchos archivos, pero no puede cambiar nada en ellos, simplemente no podrá guardar la operación:
Por supuesto, puede abrir archivos de configuración como root a través del cuadro de diálogo de inicio de la aplicación con el comando
Gksudo gedit / ruta / a / archivo
Gedit es el editor de texto estándar de Ubuntu.
Sin embargo, la finalización automática no funciona en el cuadro de diálogo de inicio, por lo tanto, tendrá que escribir la ruta al archivo manualmente, lo que no siempre es conveniente. Por lo tanto, puede usar el terminal para iniciar un editor de texto como superusuario, por ejemplo:
Tenga en cuenta que sudo es una utilidad puramente de consola, por lo que no puede usarlo en el cuadro de diálogo de inicio de la aplicación, aunque puede iniciar aplicaciones gráficas desde el terminal a través de él. Por otro lado, gksudo es una utilidad gráfica, por lo que no debe usarse en el terminal, aunque no está prohibido.
Como resultado, se abrirá un editor con la capacidad de guardar cambios.
Supongamos que soy un nuevo usuario de Ubuntu Linux 16.04.xx LTS. Es posible que tenga varias preguntas de inmediato. ¿Cómo creo un nuevo usuario sudo en mi servidor? ¿Cómo agregar un nuevo usuario al archivo sudoer usando la opción de línea de comando en Ubuntu?
Linux (y Unix en general) tiene un superusuario llamado root. El usuario root puede hacer cualquier cosa y todo, por lo que el uso normal del sistema puede volverse muy peligroso. Puede ingresar el comando incorrectamente y destruir el sistema. El comando sudo permite a un usuario autorizado ejecutar el comando como superusuario (usuario root) u otro usuario como se especifica en la política de seguridad. A menudo, sudo se utiliza en servidores para proporcionar derechos y privilegios de administrador a los usuarios habituales. En este tutorial rápido, aprenderá a crear un usuario sudo en Ubuntu.
Algunos pasos a seguir para crear un usuario sudo en Ubuntu
Más sobre el grupo de administración y el grupo sudo en el servidor Ubuntu
Los miembros del grupo administrativo pueden recibir privilegios de root. Todos los miembros del grupo sudo ejecutan cualquier comando en el servidor Ubuntu. Así que simplemente agregue el usuario al grupo sudo en el servidor de Ubuntu. El grupo de administración se ha reducido significativamente desde Ubuntu 12.04 en adelante. En consecuencia, el grupo de administración ya no existe o simplemente se usa en Ubuntu 12.04 o superior. La razón por la que funciona:
# grep -B1 -i "^% sudo" / etc / sudoers
$ sudo grep -B1 -i "^% sudo" / etc / sudoers
# Permitir que los miembros del grupo sudo ejecuten cualquier comando% sudo ALL = (ALL: ALL) ALL
Echemos un vistazo a algunos ejemplos prácticos.
¿Cómo puedo agregar un nuevo usuario llamado vivek a sudo usando la línea de comando?
Abra una terminal o inicie sesión en su servidor remoto:
$ ssh [correo electrónico protegido]$ ssh [correo electrónico protegido] { [correo electrónico protegido]: / raíz) #
# adduser vivek$ sudo adduser vivek
Figura 01: Cómo agregar un nuevo usuario en Ubuntu
Ejemplos de posibles salidas de datos:
Cómo crear un usuario sudo en Ubuntu para la cuenta vivek
Ingrese el siguiente comando:
# adduser vivek sudo
O use el comando usermod para agregar un usuario a un grupo en Linux:
# usermod -aG sudo vivek
$ sudo usermod -aG sudo vivek
$ sudo adduser vivek sudo
Ejemplos de posibles salidas de datos:
Figura 02: Agregue un usuario de vivek a sudo para obtener derechos de administrador
Confirme el nuevo usuario y miembro del grupo con:
$ id vivek
Ejemplos de posibles salidas de datos:
Figura 03: Mostrar información de usuarios y grupos
El usuario de vivek ahora puede iniciar sesión usando el comando ssh como este:
$ ssh [correo electrónico protegido]
Asegúrese de que vivek pueda usar el comando sudo:
$ sudo cat / etc / sudoers
La primera vez que use el comando sudo, se le pedirá la contraseña de su cuenta vivek. Así que ingrese la contraseña de vivek para obtener acceso de root. Cualquier tipo de comando con sudo debe ejecutarse con privilegios de root para la cuenta vivek. Para obtener un shell de root, ingrese:
$ sudo –s
Ejemplos de posibles salidas de datos:
Figura 03: Prueba de acceso a sudo para la cuenta de usuario vivek
Y así lo hiciste. Ahora puede permitir que otros usuarios ejecuten sudo en el servidor Ubuntu y otorgar derechos de administrador a los usuarios.
En este material aprenderá cómo crear un usuario, cómo crear un cambio de contraseña, obtener información sobre un usuario o eliminarlo por completo, crear / cambiar / eliminar un grupo, después de leer este material puede hacer todo esto con facilidad.
Trabajamos con usuarios y grupos, aprendemos a administrar, crear usuarios, grupos, movernos por grupos y otras manipulaciones con grupos en Ubuntu Linux.
Agregar un usuario
La adición de un usuario se realiza mediante el comando useradd. Ejemplo de uso:
Sudo useradd vasyapupkin
Este comando creará un nuevo usuario vasyapupkin en el sistema. Para cambiar la configuración del usuario creado, puede utilizar las siguientes teclas:
| Clave | Descripción |
|---|---|
| -B | Directorio base. Este es el directorio donde se creará la carpeta de inicio del usuario. Predeterminado / hogar |
| -con | Un comentario. En él puede escribir cualquier texto. |
| -D | Nombre del directorio de inicio. De forma predeterminada, el nombre es el mismo que el nombre del usuario que se está creando. |
| -mi | La fecha después de la cual se desconectará al usuario. Especificado en el formato AAAA-MM-DD. Desactivado por defecto. |
| -F | Bloqueo de cuenta. Si el valor es 0, la escritura se bloquea inmediatamente después de que expira la contraseña; si es -1, no se bloquea. El valor predeterminado es -1. |
| -gramo | El grupo principal del usuario. Puede especificar tanto el GID como el nombre del grupo. Si no se especifica el parámetro, se creará un nuevo grupo, cuyo nombre coincide con el nombre de usuario. |
| -GRAMO | Lista de grupos en los que se ubicará el usuario creado |
| -k | Catálogo de plantillas. Los archivos y carpetas de este directorio se colocarán en la carpeta de inicio del usuario. De forma predeterminada, / etc / skel. |
| -metro | Una clave que indica que es necesario crear una carpeta de inicio. Carpeta de inicio predeterminada no creado. |
| -pag | Contraseña de usuario. De forma predeterminada, no se establece ninguna contraseña. |
| -s | El caparazón utilizado por el usuario. Por defecto / bin / sh. |
| -u | Configure manualmente el UID para el usuario. |
Opciones de creación de usuario predeterminadas
Si no se especifican espinas adicionales al crear un usuario, se toman las configuraciones predeterminadas. Puede ver estas configuraciones ejecutando
Useradd -D
El resultado será algo como esto:
GROUP = 100HOME = / home INACTIVE = -1EXPIRE = SHELL = / bin / shSKEL = / etc / skel CREATE_MAIL_SPOOL = no
Si no está satisfecho con estas configuraciones, puede cambiarlas ejecutando
Useradd -D-m-s / bin / bash
donde -my -s son opciones tomadas de la tabla anterior.
Cambio de usuario
Los parámetros de usuario se cambian mediante la utilidad usermod. Ejemplo de uso:
Sudo usermod -c "Este comando cambiará el comentario al usuario" vasyapupkin
usermod usa las mismas opciones que useradd.
cambiar la contraseña
Puede cambiar la contraseña de un usuario mediante la utilidad passwd.
Sudo passwd vasyapupkin
Claves passwd básicas:
Obtener información sobre los usuarios
w: muestra información (nombre de usuario, shell, hora de inicio de sesión, etc.) sobre todos los usuarios registrados.
whoami: muestra su nombre de usuario.
usuarios: muestra los nombres de los usuarios que trabajan en el sistema.
nombre de usuario de grupos: muestra una lista de grupos en los que el usuario es miembro.
Eliminar un usuario
Para eliminar un usuario, use la utilidad userdel. Ejemplo de uso:
Sudo userdel vasyapupkin
userdel tiene solo dos claves principales:
Manejo de grupo
Creación de grupos
El programa groupadd crea un nuevo grupo de acuerdo con los valores de línea de comando especificados y los valores predeterminados del sistema. Ejemplo de uso:
Grupo de prueba sudo groupadd
Teclas básicas:
Cambio de grupo
Puede cambiar el nombre de un grupo, su GID o contraseña usando groupmod. Ejemplo:
Sudo groupmod -n newtestgroup testgroup # El nombre del grupo cambió de testgroup a newtestgroup
Opciones de Groupmod:
Eliminar un grupo
Eliminar un grupo es así:
Sudo groupdel testgroup
groupdel no tiene parámetros adicionales.
Archivos de configuración
Puede cambiar los parámetros de usuarios y grupos no solo con la ayuda de utilidades especiales, sino también manualmente. Todas las configuraciones se almacenan en archivos de texto. A continuación se ofrece una descripción de cada uno de ellos.
/ etc / passwd
En archivo / etc / passwd toda la información sobre los usuarios se almacena excepto la contraseña. Una línea de este archivo corresponde a la descripción de un usuario. El contenido aproximado de la línea es el siguiente:
Vasyapupkin: x: 1000: 1000: Vasya Pupkin: / home / vpupkin: / bin / bash
Una cadena consta de varios campos, cada uno separado del otro por dos puntos. El significado de cada campo se muestra en la tabla.
El segundo y último campo son opcionales y pueden no importar.
/ etc / group
EN / etc / group, como su nombre lo indica, se almacena la información sobre los grupos. Está registrado de forma similar / etc / passwd formulario:
Vasyapupkin: x: 1000: vasyapupkin, petya
En este archivo, los campos segundo y cuarto pueden estar vacíos.
/ etc / shadow
Archivo / etc / shadow almacena contraseñas en sí mismo, por lo tanto, los derechos establecidos en este archivo no permiten que un simple usuario lo lea. Un ejemplo de una de las entradas de este archivo:
Vasyapupkin: $ 6 $ Yvp9VO2s $ VfI0t.o754QB3HcvVbz5hlOafmO.LaHXwfavJHniHNzq / bCI3AEo562hhiWLoBSqxLy7RJJNm3fwz.sdh80993: 0: 15993
Gestión de usuarios y grupos a través de GUI
En la versión actual de Ubuntu, no existe una utilidad estándar para administrar grupos de usuarios del sistema, por lo que, por defecto, todas las acciones con grupos deben realizarse en la consola. Sin embargo, para estos fines existe una utilidad especial denominada "Usuarios y grupos".
Instalación de una utilidad de GUI gráfica para la gestión de grupos
El paquete gnome-system-tools se encuentra en el repositorio de Ubuntu, por lo que se puede instalar con un comando:
Sudo apt-get install gnome-system-tools
Manejo de grupo
Para agregar, eliminar grupos, así como agregar / eliminar usuarios a / de grupos específicos, debe ir al menú Ubuntu / Dash - Utilidades del sistema - Administración - Usuarios y grupos, después de hacer clic en el botón "Administrar grupos" en esta ventana. , verá una ventana que muestra todos los grupos presentes en el sistema:
en el que, seleccionando el grupo deseado y haciendo clic en "Propiedades", puede marcar los usuarios que deben agregarse al grupo.
La gestión de usuarios es una parte importante de la seguridad del sistema. Los usuarios ineficientes y la administración de privilegios a menudo hacen que muchos sistemas se vean comprometidos. Por lo tanto, es importante que comprenda cómo proteger su servidor con técnicas de administración de cuentas de usuario simples y efectivas.
¿Dónde está el superusuario?
Los desarrolladores de Ubuntu tomaron la decisión consciente de bloquear la cuenta raíz administrativa predeterminada en todas las instalaciones de Ubuntu. Esto no significa que se haya eliminado la cuenta raíz o que no se pueda acceder a ella. Simplemente se le asigna una contraseña que no coincide con ningún valor cifrado posible, por lo tanto, no se puede utilizar para iniciar sesión directamente.
En su lugar, se anima a los usuarios a utilizar una herramienta denominada sudo transferir responsabilidades administrativas. Sudo permite a los usuarios autorizados elevar temporalmente sus privilegios utilizando su propia contraseña en lugar de conocer la contraseña asignada al superusuario. Esta técnica simple pero efectiva brinda responsabilidad por todas las acciones del usuario y brinda control administrativo discrecional sobre las acciones que puede realizar un usuario con privilegios específicos.
1. Si por alguna razón desea permitir la cuenta de superusuario, simplemente establezca una contraseña para ella:
Sudo passwd
Sudo le solicita su contraseña y luego le solicita que establezca una nueva contraseña de root como se muestra a continuación:
Contraseña para el nombre de usuario: (ingrese su propia contraseña) Ingrese la nueva contraseña de UNIX: (ingrese la nueva contraseña de superusuario) Vuelva a escribir la nueva contraseña de UNIX: (repita la nueva contraseña de superusuario) passwd: contraseña actualizada correctamente
2. Utilice la siguiente sintaxis passwd para bloquear la cuenta root:
Sudo passwd -l root
Hombre sudo
De forma predeterminada, el usuario original creado por el instalador de Ubuntu es un miembro del grupo "admin", que se agrega al archivo / etc / sudoers como usuarios autorizados por sudo. Si desea permitir el acceso completo de superusuario a otra cuenta a través de sudo, solo agrégalo al grupo administración.
Agregar y eliminar usuarios
El proceso para administrar usuarios y grupos locales es simple y no muy diferente de la mayoría de los otros sistemas operativos GNU / Linux. Ubuntu y otras distribuciones basadas en Debian fomentan el uso del paquete "adduser" para la gestión de cuentas.
1. Para agregar una cuenta de usuario, utilice la siguiente sintaxis y siga las instrucciones para especificar una contraseña y características de identificación como nombre completo, número de teléfono, etc.
Sudo adduser nombre de usuario
2. Utilice la siguiente sintaxis para eliminar un usuario y su grupo principal:
Sudo deluser username
La eliminación de un usuario no elimina el directorio de inicio asociado. Depende de usted si desea eliminar el directorio manualmente o dejarlo de acuerdo con sus políticas de retención.
Recuerda que cualquier usuario agregado posteriormente con el mismo UID / GID que el anterior tendrá acceso a este directorio a menos que tomes las precauciones necesarias.
Es posible que desee cambiar estos valores de UID / GID de directorio a algo más apropiado, como valores de superusuario, y quizás mover el directorio para evitar conflictos futuros:
Sudo chown -R root: root / home / username / sudo mkdir / home / archived_users / sudo mv / home / username / home / archived_users /
3. Para bloquear o desbloquear temporalmente, utilice la siguiente sintaxis:
Sudo passwd -l nombre de usuario sudo passwd -u nombre de usuario
4. Para agregar o eliminar un grupo personal, utilice la siguiente sintaxis, respectivamente:
Sudo addgroup nombre de grupo sudo delgroup nombre de grupo
5. Para agregar un usuario a un grupo, use:
Sudo adduser nombre de usuario nombre de grupo
Seguridad del perfil de usuario
Cuando se crea un nuevo usuario, la utilidad adduser crea un nuevo directorio con nombre en consecuencia. / home / nombre de usuario... El perfil predeterminado se genera a partir del contenido que se encuentra en el directorio / etc / skel, que incluye todos los conceptos básicos para generar perfiles.
Si su servidor es el hogar de muchos usuarios, debe prestar mucha atención a los permisos en los directorios de inicio del usuario para mantener la privacidad. De forma predeterminada, los directorios de inicio personalizados se crean con permisos de lectura / ejecución para todos. Esto significa que todos los usuarios pueden ver y acceder al contenido de otros directorios de inicio. Puede que esto no sea apropiado para su entorno.
1. Utilice la siguiente sintaxis para verificar los permisos en los directorios de inicio de los usuarios existentes:
Ls -ld / home / nombre de usuario
El siguiente resultado muestra que el directorio / home / username tiene acceso de lectura para todos:
Drwxr-xr-x 2 nombre de usuario nombre de usuario 4096 2007-10-02 20:03 nombre de usuario
2. Puede eliminar los permisos de lectura para todos con la siguiente sintaxis:
Sudo chmod 0750 / inicio / nombre de usuario
Algunas personas tienden a usar la opción de recursividad (-R) de forma indiscriminada, que cambia todos los directorios y archivos secundarios, aunque esto es opcional y puede tener otras consecuencias no deseadas. El directorio principal en sí mismo denegará el acceso no autorizado a cualquiera de sus contenidos.
Un enfoque más eficiente para este problema sería cambiar los permisos globales predeterminados para agregar usuario al crear directorios de inicio. Simplemente edite el archivo /etc/adduser.conf para cambiar la variable DIR_MODE a algo más apropiado, después de lo cual todos los directorios de inicio nuevos tendrán los permisos correctos.
DIR_MODE = 0750
3. Después de corregir los permisos de directorio usando cualquiera de las técnicas mencionadas anteriormente, verifique los resultados usando el siguiente comando:
Ls -ld / home / nombre de usuario
El resultado a continuación muestra que se han eliminado los permisos de lectura para todos:
Drwxr-x --- 2 nombre de usuario nombre de usuario 4096 2007-10-02 20:03 nombre de usuario
Política de contraseñas
Una política de contraseña segura es uno de los aspectos más importantes de su enfoque de seguridad. Muchas brechas de seguridad exitosas han utilizado la fuerza bruta y ataques de diccionario contra contraseñas débiles. Si tiene la intención de utilizar cualquier forma de acceso remoto utilizando su sistema de contraseña local, asegúrese de asignar los requisitos mínimos de contraseña adecuados, la duración máxima de la contraseña y verifique su sistema de autenticación con frecuencia.
Longitud mínima de la contraseña
De forma predeterminada, Ubuntu requiere una longitud mínima de contraseña de 6 caracteres, así como algunas comprobaciones básicas de dispersión. Estos parámetros están controlados por el archivo /etc/pam.d/common-password y se enumeran a continuación:
Contraseña pam_unix.so obscure sha512
Si desea establecer la longitud mínima en 8 caracteres, cambie la variable correspondiente a min = 8. Los cambios se muestran a continuación:
Contraseña pam_unix.so obscure sha512 min = 8
Los controles de calidad básicos y las longitudes mínimas de contraseña no se aplican a un administrador que utiliza comandos de nivel sudo para configurar un nuevo usuario.
Duración de la contraseña
Al crear cuentas de usuario, debe crear una política de duración mínima y máxima de contraseña para obligar a los usuarios a cambiar sus contraseñas después de un cierto período de tiempo.
1. Para ver fácilmente el estado actual de una cuenta de usuario, use la siguiente sintaxis:
Sudo chage -l nombre de usuario
El resultado a continuación muestra datos interesantes sobre la cuenta de usuario, a saber, que no se aplican políticas:
Último cambio de contraseña: 20 de enero de 2008 La contraseña caduca: nunca Contraseña inactiva: nunca La cuenta caduca: nunca Número mínimo de días entre cambios de contraseña: 0 Número máximo de días entre cambios de contraseña: 99999 Número de días de advertencia antes de que caduque la contraseña: 7
2. Para establecer estos valores, simplemente use el siguiente comando y siga las indicaciones interactivas:
Sudo chage nombre de usuario
El siguiente es también un ejemplo de cómo puede cambiar manualmente la fecha de vencimiento de la contraseña explícita (-E) al 31/01/2008, la antigüedad mínima de la contraseña (-m) a 5 días, la fecha de vencimiento máxima (-M) para 90 días, un período de inactividad (-I) durante 5 días después de que expire la contraseña y un período de advertencia (-W) durante 14 días antes de que expire la contraseña.
Sudo chage -E 31/01/2011 -m 5 -M 90 -I 30 -W 14 nombre de usuario
3. Para verificar los cambios, use el mismo comando que se mencionó anteriormente:
Sudo chage -l nombre de usuario
El resultado del comando a continuación muestra las nuevas políticas que se aplican a la cuenta:
Último cambio de contraseña: 20 de enero de 2008 Caducidad de la contraseña: 19 de abril de 2008 Contraseña inactiva: 19 de mayo de 2008 Caducidad de la cuenta: 31 de enero de 2008 Número mínimo de días entre cambios de contraseña: 5 Número máximo de días entre cambios de contraseña: 90 Número de días de advertencia antes de que expire la contraseña: 14
Otras consideraciones de seguridad
Muchas aplicaciones utilizan mecanismos de autenticación alternativos que pueden ser fácilmente pasados por alto incluso por administradores de sistemas experimentados. Por lo tanto, es importante comprender y controlar cómo los usuarios inician sesión y acceden a los servicios y aplicaciones de su servidor.
Acceso SSH por usuarios bloqueados
La desconexión / bloqueo regular no excluye la conexión remota del usuario al servidor, si previamente estaba configurado con autenticación de clave pública RSA. Dichos usuarios podrán acceder al shell de la consola en el servidor sin tener que ingresar ninguna contraseña. Recuerde comprobar los directorios de inicio de los usuarios para ver si hay archivos que permitan este tipo de autenticación SSH, por ejemplo, /home/username/.ssh/authorized_keys.
Eliminar o cambiar el nombre del directorio .ssh / en el directorio de inicio del usuario evitará que se pueda realizar una autenticación SSH adicional.
Asegúrese de verificar las conexiones SSH establecidas de los usuarios bloqueados, ya que puede haber conexiones entrantes o salientes. Mata a todos los que encuentres.
Limite el acceso SSH solo a las cuentas de usuario que lo requieran. Por ejemplo, puede crear un grupo llamado "sshlogin" y agregar el nombre del grupo como el valor de la variable AllowGroups que se encuentra en el archivo / etc / ssh / sshd_config.
AllowGroups sshlogin
Luego agregue sus usuarios que tienen acceso SSH al grupo "sshlogin" y reinicie el servicio SSH.
Sudo adduser username sshlogin sudo service ssh restart
Autenticación de base de datos externa
La mayoría de las redes corporativas requieren autenticación centralizada y control de acceso para todos los recursos del sistema. Si ha configurado su servidor para autenticar a los usuarios en una base de datos externa, asegúrese de deshabilitar tanto las cuentas externas como las locales para estar seguro de que no podrá volver a la autenticación local.