Gestión de usuarios y permisos

¹⁾Puede encontrarse información más detallada en este documento pdf.

²⁾Para acceder a Linux cada usuario requiere de una cuenta de usuario y contraseña. La cuenta de usuario proporciona una ruta para guardar sus documentos y su perfil, generalmente en /home/nombre-usuario, y un interprete de comandos shell que le permitirá ejecutar las aplicaciones.

Cuando un usuario ejecuta una aplicación, ésta se carga en memoria y se ejecuta. Una aplicación en ejecución se denomina proceso, y todos los procesos del sistema pertenecen a algún usuario.

Cuando se crea un nuevo archivo, el propietario será el usuario que lo ha creado y el grupo del archivo será el grupo principal de dicho usuario. Todos los archivos del sistema pertenecen a un usuario y al grupo principal del usuario que lo creó.

El sistema asigna a cada usuario un número de identificación (uid), con el que trabaja el sistema. Normalmente a los usuarios normales se les asignan uids por encima de 1000, y por debajo de uid 100 se reservan para usuarios especiales del sistema.

Por defecto la información relativa a los usuarios se guarda en /etc/passwd. Las contraseñas de los usuarios se guardan encriptadas en /etc/shadow.

En el archivo de configuración /etc/login.defs están definidas las variables que controlan los aspectos de la creación de usuarios y de los campos de shadow usadas por defecto.

Todos los usuarios pertenecen por defecto a un grupo principal, denominado grupo primario. Puede además pertenecer a más grupos, pero estos son denominados grupos secundarios. La única diferencia es que cuando un usuario crea un archivo o directorio, éste pertenece (además de al usuario que lo ha creado), al grupo primario del usuario (será el grupo propietario del archivo). Esto es importante desde un punto de vista de permisos.

Los grupos se utilizan para flexibilizar la gestión de permisos de usuario. Los grupos de usuario sólo pueden contener usuarios, no otros grupos.

El sistema asigna a los grupos un número de identificación (gid) con el que trabaja internamente. Al igual que ocurría con los uid, los grupos normales se les asignan gids por encima de 1000, y por debajo de los gid 100 se reservan para grupos especiales del sistema.

El archivo /etc/group guarda la relación de los grupos a los que pertenecen los usuarios del sistema, contiene una línea para cada usuario.

También llamado superusuario, es el administrador del sistema y tiene uid=0. Dispone de permisos sobre todo el sistema sin ningún tipo de restricción.

Existen tres tipos de permisos: lectura ó r(ead), escritura ó w(rite) y ejecución ó x (por eXecute).

Los permisos se otorgan a un determinado archivo o directorio a tres niveles: permisos de propietario, permisos de grupo y permisos del resto de usuarios. No es posible asignar permisos a usuarios o grupos diferentes, de forma concreta, del usuario o grupo propietario.

Los permisos de un archivo o directorio se representan mediante:

• Carácter que define si los permisos se refieren a un archivo normal ('-'), una carpeta ('d'), un enlace ('l'), un socket ('s'), una tubería ('p') o un dispositivo de bloque ('b').
• Tres grupos de tres dígitos (rwx) que representan de izquierda a derecha: permisos de propietario, de grupo y de resto de usuarios.
• Los dígitos de cada grupo (rwx) representan de izquierda a derecha los permisos de lectura, escritura y ejecución. Cuando no se tiene alguno de estos permisos el carácter se sustituye por '-'.

Para cambiar los permisos de un determinado usuario o grupo de usuarios, se utiliza el comando chmod.

Para poder cambiar el usuario propietario y el grupo propietario de un archivo o carpeta se utiliza el comando chown (change owner). Para ello hay que disponer de permisos de escritura sobre el archivo o carpeta.

El bit SUID es una extensión del permiso de ejecución. Se utiliza en escasas ocasiones y sirve para que cuando un usuario ejecute una aplicación, ésta se ejecute con permisos del usuario propietario. Para activar el bit SUID, se puede ejecutar el comando chmod u+s [nombre_archivo]

También se puede hacer lo mismo para el grupo, es el denominado bit SGID. Si aplicamos el bit SGID a una carpeta, todas las subcarpetas y archivos creados dentro de dicha carpeta tendrán como grupo propietario el grupo propietario de la carpeta en lugar del grupo primario del usuario que ha creado el archivo.

Cuando se crea un archivo, los permisos originales por defecto son 666 y cuando se crea una carpeta, los permisos por defecto son 777. Dichos permisos por defecto pueden modificarse con el comando umask.

Consiste en crear un nuevo grupo con el mismo nombre del usuario, cada vez que se crea un nuevo usuario y hacer que el grupo principal del nuevo usuario sea el nuevo grupo.

Aunque parezca inservible, la creación de un grupo personal para cada usuario, permitirá crear otros grupos mediante los cuales, diferentes personas puedan trabajar de forma colaborativa sobre los archivos dentro de una carpeta concreta.

³⁾ Los usuarios normales y root en sus directorios de inicio tienen varios archivos que comienzan con “.” es decir están ocultos. Varían mucho dependiendo de la distribución de Linux que se tenga, pero seguramente se encontrarán los siguientes o similares:

• .bash_profile: aquí podremos indicar alias, variables, configuración del entorno, etc. que deseamos iniciar al principio de la sesión.

• .bash_logout: aquí podremos indicar acciones, programas, scripts, etc., que deseemos ejecutar al salirnos de la sesión.

• .bashrc: es igual que .bash_profile, se ejecuta al principio de la sesión, tradicionalmente en este archivo se indican los programas o scripts a ejecutar, a diferencia de .bash_profile que configura el entorno.