Compartir una carpeta con NFS en Ubuntu

NFS es un sistema de archivos distribuido para un entorno de red de área local. Posibilita que distintos sistemas conectados a una misma red accedan a ficheros remotos como si se tratara de locales. A continuación se detalla la configuración del cliente y del servidor.

Configuración en el servidor

Los paquetes necesarios para el funcionamiento del servidor son portmap, nfs-kernel-server y nfs-common. Para la descarga de los mismos ejecutaremos los siguientes comandos:

root@mi_equipo:~# aptitude install portmap

root@mi_equipo:~# aptitude install nfs-kernel-server

root@mi_equipo:~# aptitude install nfs-common

Para la configuración de un servidor de NFS se necesitan editar tres ficheros: /etc/exports, /etc/hosts.deny y /etc/hosts.allow.

/etc/exports
Contiene una linea por directorio a compartir. La estructura de dicha línea es:

directorio equipo1(opcion11,opcion12) equipo2(opcion21,opcion22)

donde:

directorio: Es el directorio a compartir.
equipox: Clientes que tendrán acceso al directorio compartido. Estos equipos se podrán indicar por su IP o dirección DNS(por ejemplo: mi_equipo.ral.com o 192.168.0.69). Recomiendo usar la IP.
optionxx: Son las opciones que nos permitirán tener acceso a esos directorios con determinados privilegios.

• ro | rw : Con la opción ro el directorio será compartido de solo lectura. Esta opción está por defecto.y con la opción rw se permitirá tanto acceso de lectura como de escritura.
• sync | async : sync es la opción recomendada, ya que se ha de respetar el protocolo NFS, es decir, no se responden a las peticiones antes de que los cambios realizados sean escritos al disco. Con la opción async se permite mejorar el rendimiento y agilizar el funcionamiento global, pero supone un riesgo de corrupción de archivos o del sistemas de ficheros en casos de caidas del servidor y/o errores de éste.
• root_squash | no_root_squash | all_squash : root_squash indica que un cliente identificado como root tendrá acceso al directorio con privilegios de un usuario anónimo. Si seleccionamos la opción no_root_squash evitaremos esto, y si indicamos all_squash, entonces aplicaremos esto último a todos los usuarios, no sólo root.

Un ejempo de fichero /etc/exports es el siguiente:

/home/usuario/datos 192.168.1.0/24(ro,sync,root_squash)
/tmp 192.168.1.0/24(rw,sync,no_root_squash)

Con este fichero indicaremos que queremos compartir los directorios /home/usuario/datos y /tmp a los hosts de la red 192.168.1.0; /home/usuario/datos se podrá acceder como solo lectura, mientras que al directorio /tmp se tendrá acceso tanto de lectura como de escritura. Se respetará el protocolo NFS, ya que no se responderán a las peticiones que se hagan antes de que los cambios se hayan escrito en disco. Si un usuario root(en el cliente) accede al directorio /home/usuario/datos su privilegios son los mismos que el de un usuario anónimo; todo lo contrario ocurre con el directorio /tmp.

Los ficheros /etc/hosts.allow y /etc/hosts.deny tienen la siguiente estructura:

servicio: host [o red/mascara_subred], host [o red/mascara_subred]

servicio : Es el servicio que estará permitido o denegado para algunas IP’s, en nuestro caso serán portmap y rpc.nfsd.
host [o red/mascara_subred] : Indicará la IP del host de un posible cliente. También pueden indicarse redes con sus correspondientes mascaras de subred.

/etc/hosts.deny
En este fichero pondremos todas las restricciones posibles para hacer mas seguro el sistema. Para ello denegaremos el acceso a portmap, ya que si se deniega portmap, aunque permitas nfs, no se podrá compartir porque éste depende de portmap. Por lo que solo se tendrá acceso a portmap por aquellos equipos que estén definidos en el fichero /etc/hosts.allow. El fichero /etc/hosts.deny quedará:

portmap:ALL

/etc/hosts.allow
En este fichero debe indicar a quienes permitimos el acceso al servicio de nfs y portmap. Se pueden indicar hosts individuales o una red.

portmap:192.168.1.0/255.255.255.0
nfs:192.168.1.0/255.255.255.0

Una vez configurados los ficheros pasamos a arrancar el servicio portmap y rpc.nsfd:

root@mi_equipo:~# /etc/init.d/nfs-common restart
root@mi_equipo:~# /etc/init.d/nfs-kernel-server restart
root@mi_equipo:~# /etc/init.d/portmap restart

NOTA: Tanto el fichero /etc/hosts.deny como el /etc/hosts.allow no es necesario que tengan contenido alguna, pero se recomienda que sean configurados para la seguridad de los datos.

Configuración en el cliente

En el cliente instalaremos los siguientes paquetes:

root@cliente:~# aptitude install portmap

root@cliente:~# aptitude install nfs-common

Después montaremos el directorio exportado por el servidor, para ello ejecutaremos el siguiente comando:

cliente@cliente:~$ sudo mount -t nfs mi_equipo:/tmp /home/cliente/temp

Con el comando anterior montamos el directorio /tmp exportado por el host mi_equipo en el directorio /home/usuario1/temp que previamente habremos creado. A este comando se le puede pasar una serie de opciones, la estructura genérica con las opciones sería:

mount -t nfs -o opcion[:usuario] dir_remoto dir_local

Las opciones son ro, rw, root_squash, no_root_squash, entre otras.

Si queremos que el directorio remoto se monte al arranque del cliente deberemos añadir la siguiente línea al fichero /etc/fstab:

mi_equipo:/tmp /home/cliente/temp nfs defaults,rw 0 0

Esa línea indica que se monte en el directorio /home/cliente/temp el directorio remoto /tmp (el directorio que exporta el servidor que se ha puesto como ejemplo).

NOTA: El nombre de host mi_equipo tiene que poder ser resulto por el cliente (p.ej. mediante fichero hosts o DNS), sino hay que especificar en su lugar la ip.

Compartir una carpeta con Samba en Linux

Vamos a trabajar con un caso muy sencillo: queremos compartir una carpeta en modo lectura/escritura en la que pueda entrar todo el mundo sin que pida usuario o contraseña.

Lo primero que tenemos que instalar es el servidor Samba:

sudo apt-get install samba smbfs

Creamos la carpeta que vamos a compartir:

sudo mkdir /media/compartir

Cambiamos el propietario de la carpeta para que el usuario 'nobody' con el que configuraremos Samba pueda accedar sin restricciones a la carpeta:

sudo chown nobody compartir/

Hacemos una copia de seguridad del archivo de configuración de Samba:

sudo cp /etc/samba/smb.conf /etc/samba/smb.back

Editamos smb.conf:

sudo joe /etc/samba/smb.conf

#
# Archivo de configuración de Samba editado por Manolo
# He realizado una configuración simple
#
#======================= Global Settings =======================
[global]

# Fijamos nuestro grupo de trabajo. En este caso 'WORKGROUP'
workgroup = WORKGROUP

# Configuramos el nombre nuestro servidor en la red Samba
server string = Ubuntu-Server

####### Authentication #######
#Para no utilizar contraseña
security = share
# Asociamos la cuenta de invitado con el usuario 'nobody' de nuestro servidor
guest account = nobody

# Compartimos una carpeta
[compartir]
comment = Carpeta para compartir trabajos
#Permisos de escritura habilitados
writable = yes
path = /media/compartir
#Se permite el acceso al usuario 'invitado'
public = yes
#Sólo se permite el acceso al usuario 'invitado'
guest only = yes
browseable = yes

Para que los cambios se hagan efectivos hay que reiniciar el servicio de Samba:

sudo /etc/init.d/samba restart

Características de los nombres NetBIOS

Las características de los nombres NetBIOS son las siguientes:

• Los nombres NetBIOS son utilizados por los servicios que requieren NetBIOS. Windows 2003 Server, Windows 2000, y Windows XP utilizan nombres DNS para la mayoría de las funciones, pero tiene que existir un método de resolución de nombres NetBIOS en cualquier red con computadoras que estén ejecutando versiones anteriores de Windows o para aplicaciones que aún dependen de los nombres NetBIOS.
  

• Un nombre NetBIOS es un alias que se asigna a un ordenador por un administrador para identificar un servidor NetBIOS sobre un host TCP / IP.
  

• El nombre NetBIOS no tiene por qué coincidir con el nombre del host.
  

• Los nombres NetBIOS no pueden comenzar con asterisco (*), y consisten sólo en caracteres alfanuméricos estándar (a-z, A-Z, 0-9) y los siguientes: ! @ # $ % ^ & ( ) - ' { } . ~
  

• Aunque puedes usar el punto (.) en un nombre NetBIOS, no te lo recomendamos, debido a que esos nombres puede que no funcionen en las futuras versiones de NetBIOS sobre TCP/IP.
  

• No se permiten espacios en nombres de NetBIOS a partir de Windows 2000.
  

• No es una coincidencia que todos los nombres válidos DNS también sean válidos en NetBIOS. De hecho, el nombre DNS para un servidor Samba es frecuentemente reutilizado como su nombre NetBIOS. Por ejemplo, si tienes una máquina phoenix.ora.com , su nombre NetBIOS podría ser PHOENIX (seguido por 8 espacios en blanco).
  

• Los nombres NetBIOS tienen 15 caracteres o menos de longitud, en comparación con los 255 caracteres o menos para los nombres de host de DNS. El nombre de host y el nombre NetBIOS, en un equipo que ejecute Windows Server 2003, se generan juntos. Si el nombre de la máquina es de más de 15 caracteres, el nombre NetBIOS estará formado por los primeros 15 caracteres del nombre de host. [En realidad son 16 caracteres: nombre(15) + sufijo(1) que identifica la funcionalidad del dispositivo registrado]
  

• Los nombre NetBIOS deben ser exclusivos en una misma red.
  

• Cuando se enciende el ordenador, diversos servicios (tales como el servicio del servidor o el servicio de la estación de trabajo) registran un único nombre NetBIOS basado en el nombre del equipo. El nombre registrado es un nombre NetBIOS de 15 caracteres más un decimosexto carácter (byte) que identifica de forma exclusiva el servicio del servidor.
  

• Los nombres NetBIOS también son registrados por los grupos de ordenadores que proporcionan servicios de red. Por ejemplo, si Mickey.Disney.com es un controlador de dominio, registrará el nombre NetBIOS, Mickey, y procederá al registro de los nombres que identifican sus funciones como controlador de dominio en el dominio de Disney al mismo tiempo. Esto permite a los clientes buscar todos los hosts de NetBIOS que proporcionan servicios de controlador de dominio en el dominio Disney, sin que el cliente conozca los nombres reales de los controladores de dominio.
  

• Un nombre NetBIOS simplifica la forma en que un usuario identifica a un host TCP / IP, ya que son más fáciles de recordar que las direcciones IP.
  

• Un nombres NetBIOS se pueden resolver si el nombre y la dirección IP se encuentran en la base de datos de un servidor WINS o en el archivo LMHOSTS. Un broadcast puede también resolver un nombre NetBIOS.
  

• La utilidad nbtstat muestra los nombres NetBIOS que utilizan los servicios de NetBIOS en el equipo.

Asegurarnos de que Mutt trabaja en UTF-8

Para conseguir que el cliente de correo Mutt trabaja en UTF-8 y así evitar los dichosos problemas con los acentos, editaremos los siguientes archivos como sigue:

/etc/environment

LC_TYPE=es_ES.UTF-8
LC_MESSAGES=es_ES.UTF-8
LC_ALL=es_ES.UTF-8
LANG="es_ES.UTF-8"
LANGUAGE="es_ES.UTF-8"
...

/etc/inputrc

set input-meta on
set output-meta on
set convert-meta off
...

Ahora lo comprobamos en Mutt escribiendo:
:set &charset ?charset

debe responder con:
charset="utf-8"

Para configurar más opciones utilizaremos el archivo /etc/Muttrc.

Gestión de Grupos de Usuarios en Linux

La gestión de grupos es básica para poder organizar permisos y accesos a recursos de forma adecuada.

La organización consiste en crear un recurso, un directorio por ejemplo, asignarle un propietario y un grupo, asignar los permisos pertinentes al grupo y luego incluir en ese grupo a todos aquellos usuario que queramos que puedan trabajar con él.

Como hemos visto en la gestión de usuarios, un usuario puede pertenecer a múltiples grupos.

Las órdenes para la gestión de grupos son muy parecidas a la gestión de usuarios como veremos a continuación:

Base de datos de grupos del sistema

La base de datos de grupos del sistema se gestionan de una forma muy parecida a como lo hacían los usuarios, un fichero /etc/group similar a /etc/passwd y un nuevo fichero /etc/gshadow similar al /etc/shadow, todos con las mismas restricciones que sus homólogos.

/etc/group

Este fichero está formado por líneas del tipo:

nombre_grupo:contraseña:GID:lista_usuarios

Los tres primeros campos tienen las mismas características que en el fichero /etc/passwd. Si el campo de contraseña aparece vacío no se usa contraseña para este grupo.

La contraseña se solicita con la orden newgrp, que se utiliza para obtener una nueva shell del sistema en la que el grupo principal del usuario es el grupo que se solicitó como argumento de esta orden.

En cuanto a la lista de usuarios, en ese campo aparecerán separados por comas todos los usuarios que pertenezcan al correspondiente grupo.

/etc/gshadow

Las características del fichero /etc/gshadow son similares a las del fichero /etc/shadow salvo unas pequeñas diferencias.

En este fichero existe una campo más, el de los administradores del grupo. Estos usuario podrán añadir, quitar usuarios del grupo, modificar la contraseña del grupo y deshabilitar el acceso mediante newgrp. Además, como en /etc/shadow, sólo tiene permisos de acceso a él el root.

Comprobar los grupos de un usuario: groups

Si un usuario quisiera comprobar a qué grupos pertenece bastaría que ejecutara la orden groups.

Por ejemplo, la usuaria julia ejecuta:

$ groups julia admin usuarios

lo que quiere decir que su grupo principal es julia y que también pertenece a los grupos admin y usuarios.

Usuarios miembros de un grupo

Un usuario puede pertenecer a varios grupos y puede operar con los recursos que sean propiedad de ese grupo con los permisos que tenga asignados.

Pero para ciertas operaciones como creación de ficheros nuevos o al lanzar un proceso el grupo que se asigna es el grupo principal del usuario; es lógico, por ejemplo un fichero sólo pertenece a un grupo.

Si queremos que los nuevos ficheros que se creen o los procesos que se lancen pertenezcan a otro grupo deberíamos poder cambiar el grupo principal. Este cambio de grupo principal lo realiza la orden

newgrp

Por ejemplo, la usuaria del sistema julia tiene como grupo principal predeterminado el grupo julia y también pertenece al grupo admin.

Si quisiera que su grupo principal fuera admin tendría que ejecutar:

$ newgrp admin

y la ejecución de la orden groups quedaría como:

$ groups

admin julia usuarios

Usuarios no miembros de un grupo

Los usuario no miembros de un grupo también pueden acceder a un grupo al que no pertenecen utilizando la orden

newgrp

En este caso al ejecutar la orden newgrp el sistema le solicita una contraseña para aprobar o no el acceso del usuario.

Para que un grupo admita a usuarios que no son miembros es necesario que el administrador del grupo le haya asignado una contraseña al grupo.

Más adelante veremos como podemos asignar, quitar o deshabilitar una contraseña para un grupo.

Creación de un grupo: groupadd

La orden groupadd añade un nuevo grupo al sistema.

En caso de que sea necesario le podemos incluir la opción -g para indicar un GID concreto que no exista en /etc/group.

Por ejemplo

# groupadd admin

añadiría un nuevo grupo al sistema llamado admin y

# groupadd -g 1000 correo

crearía un grupo llamado correo con GID 1000

Administrar un grupo: gpasswd

La orden gpasswd nos facilita la tarea de administrar un grupo de usuarios con sus diversas opciones que vamos a ver separadas según su utilidad

Añadir administradores de grupo

El root puede utilizar la opción -A para añadir usuarios administradores de grupo.

Estos usuarios tendrán permiso para poder dar de alta otros usuarios, eliminarlos, poner contraseña al grupo, quitar la contraseña o deshabilitar el acceso al grupo.

La forma de uso de la opción -A sería:

# gpasswd -A usuario grupo

por ejemplo:

# gpasswd -A jose admin

con lo que estaríamos añadiendo al usuario antonio como administrador del grupo admin.

Un administrador del grupo no tiene por qué ser miembro de dicho grupo, aunque en cualquier momento podría agregarse a sí mismo.

Añadir miembros al grupo

Ante todo, para agregar un usuario un grupo es necesario que este usuario exista en el sistema.

Hay diversas formas de añadir un miembro al grupo.

Se podría hacer con la orden usermod, pero resulta una tanto incómoda porque tenemos que poner la lista completa de grupos a los que pertenece el usuario; esta orden está pensada para modificar los datos de los usuarios más que para modificar los grupos.

Las otras opciones implican el uso de

gpasswd

El root puede agregar miembros a un grupo con la opción -M.

La forma de uso de esta opción sería:

# gpasswd -M usuario grupo

por ejemplo

# gpasswd -M julia admin

con lo cual estaríamos incluyendo al usuario julia como miembro del grupo admin.

También los administradores de grupo pueden agregar nuevos usuarios con la opción -a de la misma forma que lo hacía el root con la opción -M.

Veámoslo :

# gpasswd -M julia admin

y tendría el msimo efecto de añadir el usuario julia al grupo admin.

Si quien quiere agregar un usuario a un grupo es un administrador de ese grupo tendría que utilizar la opción -a de

gpasswd

Por ejemplo:

$ gpasswd -a sierra admin

y estaría añadiendo al usuario sierra al grupo admin.

Eliminar miembros del grupo

Tanto el root como los administradores de grupo pueden eliminar un usuario de un grupo utilizando la opción -d de

gpasswd

Por ejemplo el usuario jose es administrador del grupo admin y para eliminar de este grupo al usuario juan tendría que ejecutar:

$ gpasswd -d juan admin

Asignar contraseña a un grupo

En principio sólo los miembros de un grupo pueden utilizar la orden

newgrp

para seleccionar un grupo principal alternativo.

Si quisieramos que cualquier usuario pudiera acceder a un grupo sin ser miembro de él, tendríamos que asignarle una contraseña al grupo.

Esto lo pueden hacer el root y los administradores del grupo.

La asignación de contraseña a un grupo se hace con la orden

gpasswd

sin opciones e indicando el nombre del grupo al que le queremos asignar contraseña.

Por ejemplo, para asignarle contraseña al grupo admin tendríamos que ejecutar:

$ gpasswd admin

y el sistema respondería solicitando la contraseña dos veces.

Eliminar la contraseña de un grupo

Para eliminar la contraseña de un grupo utilizamos la opción -r de

gpasswd

Por ejemplo

$ gpasswd -r admin

eliminaría la contraseña del grupo admin.

Sólo root y los administradores del grupo pueden ejecutar gpasswd con esta opción.

El efecto de eliminar la contraseña es que sólo los miembros del grupo pueden utilizar la orden newgrp para cambiar de grupo.

Deshabilitar la contraseña de un grupo

Otra posibilidad es deshabilitar la contraseña de un grupo; consiste en poner un carácter ! en lugar de la clave y tiene el efecto de impedir la orden

newgrp

para este grupo: ningún usuario puede usarlo como grupo principal.

Para deshabilitar la contraseña de un grupo utilizaremos la opción -R de

gpasswd

junto con el nombre de grupo. Por ejemplo, para deshabilitar la contraseña en el grupo admin tendríamos que poner:

$ gpasswd -R admin

Al igual que en los otros casos sólo root y los administradores del grupo pueden ejecutar

gpasswd

con esta opción.

Modificar y eliminar grupos

También tendremos la necesidad de modificar las características de un grupo y eliminarlos.

Estas operaciones se realizan con unas órdenes similares a las que utilizábamos para realizar las mismas tareas con los usuarios.

Eliminar grupos: groupdel

Si queremos eliminar un grupo tendremos que utilizar la orden groupdel seguida del nombre del grupo.

Sólo el root puede eliminar un grupo del sistema.

Por ejemplo para eliminar el grupo oficina ejecutaríamos

# groupdel oficina

Para eliminar un grupo que sea el grupo principal de algún usuario es necesario eliminar antes al usuario; si un grupo es el grupo principal de algún usuario no se puede eliminar.

Modificar un grupo: groupmod

La orden groupmod modifica los datos de un grupo con las siguientes opciones:

-g nuevo_GID

-n nuevo_nombre

Por ejemplo:

# groupmod -g 800 -n gestion admin

Con lo que cambiaríamos de nombre al grupo admin para llamarlo gestion que también tendría GID 800

La opción -g permite modificar el GID de un grupo y la opción -n permite modificar el nombre. Sólo root tiene los permisos necesarios para llevarlo a cabo.

La modificación del nombre se refleja automáticamente pues simplemente le asigna al mismo GID que tuviera otro nombre, pero el cambio de GID puede ocasionar que haya ficheros que se queden sin grupo conocido. Permanecerán con el mismo GID pero sin nombre, por lo que en los listados de ficheros, por ejemplo, nos parecerá el número en lugar del nombre.

Extraído de:

http://dns.bdat.net/blog/index.php?option=com_content&task=view&id=66&Itemid=15

Cómo descubrir el hardware instalado en nuestro ordenador

En windows podemos utilizar herramientas como SiSoft Sandra y Everest para averiguar las características de nuestro hardware. En el Panel de control/Sistema/Hardware/Administrador de dispositivos de windows también encontramos información pero no tan detallada.

En linux podemos utilizar hwinfo, hardinfo, lshw o mirar en el directorio /proc.
En mi caso hwinfo me ha ofrecido la siguiente información acerca de la memoria:

01: None 00.0: 10102 Main Memory
[Created at memory.59]
Unique ID: rdCR.CxwsZFjVASF
Hardware Class: memory
Model: "Main Memory"
Memory Range: 0x00000000-0x1dfeffff (rw)
Memory Size: 480 MB
Config Status: cfg=no, avail=yes, need=no, active=unknown

Con lshw vemos lo siguiente:

*-memory
description: System Memory
physical id: 1b
slot: System board or motherboard
size: 512MiB
*-bank:0
description: DIMM SDRAM Synchronous
physical id: 0
slot: A0
size: 512MiB
width: 64 bits
*-bank:1
description: DIMM [empty]
physical id: 1
slot: A1
*-bank:2
description: DIMM [empty]
physical id: 2
slot: A2
*-bank:3
description: DIMM [empty]
physical id: 3
slot: A3

Gestión de usuarios

La base de datos de los usuarios: /etc/passwd

En Linux la base de datos de usuarios se almacena en el fichero /etc/passwd. Este fichero contiene una línea por cada usuario de la siguiente forma

pfabrega:x:500:500:Pedro Pablo:/home/pfabrega:/bin/bash

es decir siete campos distintos separados por el carácter ":" y en el siguiente orden:

1. nombre de usuario
2. contraseña cifrada
3. UID (User IDentifier) o número de usuario
4. GID (Group IDentifier) o número de grupo primario
5. Nombre completo
6. Directorio personal
7. Shell del usuario

La principal característica del fichero /etc/passwd es que es de lectura pública y sólo el root tiene permiso de escritura. Por este motivo, el programa que escribe en él, /bin/passwd, tiene que tener asignado el bit SUID.

nombre de usuario
Es el primer campo del fichero /etc/passwd.

El nombre de usuario es poco relevante en la gestión interna del sistema, aunque es necesario identificarse con él para iniciar una sesión de trabajo; como veremos más adelante, lo que realmente asigna la identidad es el UID o número de usuario.

Si eliminamos un usuario del sistema del fichero /etc/passwd y quedan ficheros de su propiedad, al hacer un ls -la, en lugar de aparecer el nombre de usuario aparecerá el UID que tuviera ese usuario. Si volvemos a dar de alta otro usuario con ese mismo UID esos ficheros ahora serán de su propiedad; es un detalle a tener en cuenta, tanto para conocer el funcionamiento del sistema como para prevenir posibles problemas de privacidad de la información.

contraseña cifrada
El siguiente campo incluye la contraseña cifrada mediante el algoritmo DES (Data Encryption Standard), un algoritmo de cifrado de una sola vía: una vez cifrado no se puede descifrar. Para verificar que una contraseña cifrada coincide con la que suministramos, primero se cifra y después se compara.

Cada contraseña cifrada consta de 13 caracteres, los dos primeros son un valor semilla y los once restantes son la contraseña cifrada propiamente dicha.

De esta forma una misma contraseña puede tener múltiples valores cifrados.

De todas formas observamos como en el ejemplo de línea del fichero que poníamos anteriormente en este campo aparece una 'x'. Esto se debe a que no resulta aconsejable dejar las contraseñas cifradas al alcance de cualquier usuario; existen programass que probando combinaciones (lo que se conoce como ataque de fuerza bruta) consiguen descifrar algunas contraseñas, comprometiendo a los usuarios y a todo el sistema. Por este motivo, las contraseñas cifradas reales se guardan en el fichero /etc/shadow que además añade nuevas prestaciones a la gestión de usuarios de un sistema Unix.

Si un sistema no tiene activas las shadow password, cosa poco habitual, conviene hacerlo con la orden pwconv. Esta orden pertenece al paquete shadow-utils.

Los sistemas también admiten otros mecanismos de cifrado de contraseñas tales como md5.

UID
Es el número que identifica al usuario. Este número es el que se guarda en cada i-nodo de fichero para determinar quién es su propietario. El UID también se utiliza para identificar al propietario de un proceso.

Es posible tener en un mismo fichero /etc/passwd que tenga dos usuarios con el mismo UID. A todos los efectos son el mismo usuario y tienen los mismos privilegios.

El UID 0 pertenece a root y lo identifica como administrador del sistema concediéndolo todos los privilegios. Ésta es un forma de acceder a privilegios del sistema, editando el fichero y modificando el UID; por este motivo es importante que el root no deje sesiones de trabajo abiertas que permitan a un usuario en un instante modificar el fichero y acceder a privilegios que no le corresponden.

En un sistema Unix existen diversos usuarios propios del sistema y otros que el administrador da de alta. El administrador del sistema, en primer lugar deberá familiarizarse con los usuarios predeterminados del fichero /etc/passwd para evitar que alguien cree un usuario fraudulento que pase inadvertido entre otros usuarios del sistema.

Para facilitar la administración es conveniente crear rangos de usuarios según su tipo. Por ejemplo, los UID desde cero hasta 100 serán los usuarios especiales del sistema, a partir de 500 los usuarios normales, desde 1000 los usuarios del servidor HTTP, desde 5000 los usuarios sólo de correo electrónico, etc.

GID
Este es el número que identifica el grupo principal del usuario. Se utiliza para asignar una serie de propiedades a un conjunto de usuario. Muchos sistema, de forma predeterminada, crean un nuevo grupo exclusivo para cada usuario para garantizar un máximo de privacidad. Además un usuario puede pertenecer a otros grupos alternativos, lo que permite organizar los permisos de acceso a los recursos según las necesidades del sistema.

De la misma forma que el UID, el GID 0 es del grupo root, lo que permite a los miembros de este grupo realizar diversas labores de administración. De todas formas, incluir a un usuario en el grupo root debería hacerse con mucha precaución, si es estrictamente necesario, o mejor, no hacerlo.

nombre completo
Este campo es meramente informativo, y lo utilizan diversas utilidades del sistema. Este campo puede estar vacío sin más repercusiones.

directorio personal
Este campo es importante. Es donde cada usuario tiene permiso para crear sus ficheros y es el directorio activo cuando un usuario inicia una sesión en el sistema. Normalmente este directorio se crea dentro del directorio /home, pero esto no es ninguna exigencia del sistema; si las necesidades son otras también se puede crear el directorio personal en otra ubicación distinta. Por ejemplo, si queremos que un usuario sólo pueda modificar páginas web dentro del directorio /var/www/html, entonces podríamos hacer que éste fuera su directorio personal y asignarle permiso de escritura sobre él.

shell
En general en este último campo se especifica un programa que se ejecutará cuando un usuario inicia una sesión de trabajo en el sistema.

Normalmente este campo especifica una shell, aunque puede ser cualquier otro programa que queramos que se ejecute cuando se conecta un usuario.Por ejemplo, en los casos de usuarios del sistema que nunca iniciarán una sesión de trabajo tienen un /bin/false como campo de shell. Este podría ser el caso de cierto tipo de usuario del sistema, por ejemplo aquéllos que sólo sean usuarios de correo electrónico.

Este campo se puede utilizar para crear un usuario y lanzar un determinado proceso en el sistema de forma remota. Por ejemplo, para lanzar una conexión a internet por módem sólo lo puede lanzar el root o darle privilegios de root a otro usuario. Otra posibilidad sería crear un usuario con los UID y GID adecuados y ponerle en el campo correspondiente a la shell el programa que lanza la conexión. De esta forma sólo tendremos que dar la contraseña de ese usuario a quienes queramos que puedan lanzar la conexión.


Crear un usuario

Para crear un usuario, escribimos, entrando como root, "useradd" o "adduser" sin las comillas más el nombre del usuario. Ej.:

adduser carlos

Habrás creado un usuario sin clave de acceso, y escribiendo al inicio de Linux en login el nombre carlos, entrarás en TU SESIÓN.

De esta forma crearemos un usuario con las características por defecto, que suelen ser las mejores. Pero para crear un usuario a nuestra medida, también podemos escribir:
(Forma general)

[root@Wakitaki /root]# adduser -u 500 -g users carlos
[root@Wakitaki /root]# passwd carlos
(y asignamos la clave para carlos)

[root@Wakitaki /root]# adduser -u 501 -g users javier
[root@Wakitaki /root]# passwd javier
(y asignamos la clave para javier)

o también:

[root@Wakitaki /root]# adduser -u 500 -g 100 -p 123 -r carlos

Ahora ya sabemos que -u 500 -g 100 -p 123 -r son opcionales y no hace falta escribirlos para crear al usuario. Estas son algunas de las características más importantes a la hora de crear usuarios:

• adduser -u : Indica la UID del usuario, o sea, el número con el que el sistema identificará al usuario. Es conveniente que los números de usuario/cuenta (definidos en el fichero /etc/passwd) sean consecutivos dentro del mismo grupo. Por ejemplo, podemos ponerle 500 para el primer usuario, 502 para el siguiente, 502 el 3º, etc.

• -g 100. Indica el GID, esto es, el grupo al que ese usuario pertenece. Esto es importante porque en Linux un grupo de usuarios puede compartir una serie de ficheros y directorios. El número ha de ser el mismo para todos los que formen el grupo. Así, el grupo de los que formen el grupo 100 será uno, el 101 será otro, el 102 otro, etc. (TODOS los USUARIOS, deberían estar bajo el mismo grupo, "users", que suele ser el grupo 100). El fichero que identifica a los grupos es: /etc/group.

• -p 123. Se refiere a la clave del usuario para entrar en el sistema. No es obligatorio ponerla, pero sí muy recomendable.

• -r carlos. Será el nombre con el que el usuario entre en el sistema.

El usuario creado se guardará en el directorio /home, y con el directorio con el nombre del usuario creado, en este caso será: /home/carlos, con todas las configuraciones por definir, un .bashrc y un fichero .bash_profile, que tienen una mínima configuración, la cual recomendamos (ver capítulos anteriores) para una gestión adecuada.

Editar usuarios

Para editar usuarios, editamos el archivo passwd, con el joe, por ej.: Escribiremos:

cd /etc
joe passwd
joe shadow

o bien:

joe /etc/passwd
joe /etc/shadow

En este fichero la estructura es como sigue:

• Cada línea de este archivo corresponde con un usuario, y cada uno de sus campos (separados por dos puntos) se refiere a un dato.

• Los asteriscos (*) en el segundo campo indican las cuentas que no se pueden usar como usuarios normales. Pueden usarse también cuando queremos dar de baja temporalmente a un usuario.

• Para eliminar una clave (password), podemos borrar lo que viene situado en el segundo campo de cada línea entre los dos puntos (:), o usar el comando:

passwd carlos

para cambiarle la clave a Carlos.

Sólo root puede cambiarle la clave a otros usuarios. Como usuarios normales podemos cambiar nuestra clave escribiendo: passwd

donde se nos preguntará por la antigua contraseña, la nueva y que la verifiquemos.

Si no te acuerdas, o cualquier usuario no se acuerda de su password, root deberá encargarse de editar el fichero /etc/passwd y suprimir la línea donde aparece la clave:

javier:ClaveOlvidada:...

Para quedar:

javier::...

La orden usermod dispone de las mismas opciones que la orden userdd por lo que no vamos a repetirlas por completo, podremos cambiar el directorio personal, la cuenta el UID, la shell, etc.

La opción -L bloquea una cuenta de usuario añadiéndole a la clave cifrada un carácter !

Con la opción -U se levanta el bloqueo de la cuenta.

Por ejemplo:

# usermod -L antonio

y la cuenta antonio permanecería bloqueda en el sistema.

Para desbloquearla usaríamos:

# usermod -U antonio

Cuando se prevea que una cuenta de usuario no va a utilizarse pero no interesa borrarla por cualquier circunstancia lo mejor que podemos hacer es bloquearla para evitar que sea utilizada indebidamente y pueda comprometer otras cuentas o el sistema.

Borrar un usuario

Para eliminar usuarios tenemos la orden userdel.

Si ejecutamos:

# userdel antonio

eliminaríamos de la base de datos la cuenta antonio pero dejaría en el sistema su directorio personal. Si también queremos eliminar el directorio personal tendríamos que utilizar la opción -r

# userdel -r antonio

y en este caso se eliminaría el directorio personal también. El resto de ficheros propiedad de este usuario que hubiera en otros directorios, normalmente en /tmp o en ya que no debería tener permiso de escitura en otros, permanecen y tendría que borrarlos explícitamente el administrador, por ejemplo con:

# find / -uid xxx -exec rm {} \;

donde xxx sería el UID del usuario que hemos borrado.

Antes de utilizar la orden con la opción rm sería conveniente que mostrara los ficheros que vamos a borrar para evitar llevarnos una sorpresa y borrar más de lo que realmente queríamos.

Extraído de:
http://dns.bdat.net/blog/index.php?option=com_content&task=view&id=61&Itemid=15
http://www.linux-party.com/TutorialLinux/linux_files/linux5.html