Administrador de Linux - Gestión de usuarios

Cuando hablamos de administración de usuarios , tenemos tres términos importantes que comprender:

  • Users
  • Groups
  • Permissions

Ya hemos discutido en profundidad los permisos aplicados a archivos y carpetas. En este capítulo, analicemos los usuarios y los grupos.

Usuarios de CentOS

En CentOS, hay dos tipos de cuentas:

  • System accounts - Se utiliza para un demonio u otra pieza de software.

  • Interactive accounts - Normalmente asignado a un usuario para acceder a los recursos del sistema.

La principal diferencia entre los dos tipos de usuarios es:

  • System accountslos demonios los utilizan para acceder a archivos y directorios. Por lo general, no se permitirá el inicio de sesión interactivo a través de shell o inicio de sesión de consola física.

  • Interactive accounts son utilizados por los usuarios finales para acceder a los recursos informáticos desde un shell o un inicio de sesión de consola física.

Con esta comprensión básica de los usuarios, creemos ahora un nuevo usuario para Bob Jones en el Departamento de Contabilidad. Se agrega un nuevo usuario con eladduser mando.

Los siguientes son algunos adduser interruptores comunes -

Cambiar Acción
-C Agrega un comentario a la cuenta de usuario
-metro Crea el directorio de inicio del usuario en la ubicación predeterminada, si no existe
-gramo Grupo predeterminado para asignar el usuario
-norte No crea un grupo privado para el usuario, generalmente un grupo con nombre de usuario
-METRO No crea un directorio de inicio
-s Shell predeterminado que no sea / bin / bash
-u Especifica UID (de lo contrario asignado por el sistema)
-GRAMO Grupos adicionales para asignar al usuario

Al crear un nuevo usuario, utilice los modificadores -c, -m, -g, -n de la siguiente manera:

[root@localhost Downloads]# useradd -c "Bob Jones  Accounting Dept Manager" 
-m -g accounting -n bjones

Ahora veamos si nuestro nuevo usuario ha sido creado -

[root@localhost Downloads]# id bjones 
(bjones) gid = 1001(accounting) groups = 1001(accounting)

[root@localhost Downloads]# grep bjones /etc/passwd 
bjones:x:1001:1001:Bob Jones  Accounting Dept Manager:/home/bjones:/bin/bash

[root@localhost Downloads]#

Ahora necesitamos habilitar la nueva cuenta usando el comando passwd -

[root@localhost Downloads]# passwd bjones 
Changing password for user bjones. 
New password:  
Retype new password:  
passwd: all authentication tokens updated successfully.

[root@localhost Downloads]#

La cuenta de usuario no está habilitada, lo que permite al usuario iniciar sesión en el sistema.

Deshabilitar cuentas de usuario

Existen varios métodos para deshabilitar cuentas en un sistema. Estos van desde la edición manual del archivo / etc / passwd. O incluso usando el comando passwd con el-lcambiar. Ambos métodos tienen un gran inconveniente: si el usuario tiene acceso ssh y usa una clave RSA para la autenticación, aún puede iniciar sesión con este método.

Ahora usemos el comando chage , cambiando la fecha de caducidad de la contraseña a una fecha anterior. Además, puede ser bueno anotar en la cuenta por qué la desactivamos.

[root@localhost Downloads]# chage -E 2005-10-01 bjones
 
[root@localhost Downloads]# usermod  -c "Disabled Account while Bob out of the country 
for five months" bjones

[root@localhost Downloads]# grep bjones /etc/passwd 
bjones:x:1001:1001:Disabled Account while Bob out of the country for four 
months:/home/bjones:/bin/bash

[root@localhost Downloads]#

Administrar grupos

La gestión de grupos en Linux hace que sea conveniente para un administrador combinar los usuarios dentro de contenedores aplicando conjuntos de permisos aplicables a todos los miembros del grupo. Por ejemplo, todos los usuarios de Contabilidad pueden necesitar acceder a los mismos archivos. Así, formamos un grupo contable, agregando usuarios de Contabilidad.

En su mayor parte, cualquier cosa que requiera permisos especiales debe hacerse en grupo. Este enfoque generalmente ahorrará tiempo al aplicar permisos especiales a un solo usuario. Por ejemplo, Sally está a cargo de los informes y solo Sally necesita acceder a ciertos archivos para generar informes. Sin embargo, ¿qué pasa si Sally se enferma un día y Bob informa? ¿O crece la necesidad de informar? Cuando se crea un grupo, un administrador solo necesita hacerlo una vez. La adición de usuarios se aplica a medida que las necesidades cambian o se expanden.

A continuación, se muestran algunos comandos comunes que se utilizan para administrar grupos:

  • chgrp
  • groupadd
  • groups
  • usermod

chgrp - Cambia la propiedad del grupo de un archivo o directorio.

Hagamos un directorio para que las personas del grupo de contabilidad almacenen archivos y creen directorios para archivos.

[root@localhost Downloads]# mkdir /home/accounting

[root@localhost Downloads]# ls -ld /home/accounting
drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting

[root@localhost Downloads]#

A continuación, démosle la propiedad del grupo al grupo de contabilidad .

[root@localhost Downloads]# chgrp -v  accounting /home/accounting/ 
changed group of ‘/home/accounting/’ from root to accounting

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

Ahora, todos en el grupo de contabilidad han leído y ejecutado permisos para / home / Accounting . También necesitarán permisos de escritura.

[root@localhost Downloads]# chmod g+w /home/accounting/

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

Dado que el grupo de contabilidad puede tratar con documentos confidenciales, debemos aplicar algunos permisos restrictivos para otros o para el mundo .

[root@localhost Downloads]# chmod o-rx /home/accounting/

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

groupadd - Se usa para crear un nuevo grupo.

Cambiar Acción
-gramo Especifica un GID para el grupo
-K Anula las especificaciones para GID en /etc/login.defs
-o Permite anular la anulación de identificación de grupo no única
-pags Contraseña de grupo, que permite a los usuarios activarse

Hagamos un nuevo grupo llamado secreto. Agregaremos una contraseña al grupo, permitiendo que los usuarios se agreguen con una contraseña conocida.

[root@localhost]# groupadd secret

[root@localhost]# gpasswd secret 
Changing the password for group secret 
New Password:  
Re-enter new password:

[root@localhost]# exit 
exit

[centos@localhost ~]$ newgrp secret 
Password:

[centos@localhost ~]$ groups 
secret wheel rdc

[centos@localhost ~]$

En la práctica, las contraseñas para grupos no se utilizan con frecuencia. Los grupos secundarios son adecuados y compartir contraseñas entre otros usuarios no es una buena práctica de seguridad.

los groupsEl comando se usa para mostrar a qué grupo pertenece un usuario. Usaremos esto, después de realizar algunos cambios en nuestro usuario actual.

usermod se utiliza para actualizar los atributos de la cuenta.

A continuación se muestran los conmutadores de modificación de usuario comunes .

Cambiar Acción
-un Agrega, agrega usuario a grupos complementarios, solo con la opción -G
-C Comentario, actualiza el valor del comentario del usuario
-re Directorio de inicio, actualiza el directorio de inicio del usuario
-GRAMO Agrupa, agrega o elimina los grupos de usuarios secundarios
-gramo Grupo, grupo primario predeterminado del usuario
[root@localhost]# groups centos 
centos : accounting secret

[root@localhost]#

[root@localhost]# usermod -a -G wheel centos

[root@localhost]# groups centos
centos : accounting wheel secret

[root@localhost]#