Redes en Linux (IV)
por Narciso Cerro, de Piensa en Linux.

Gestión de usuarios y cuenta de root.-

La figura del administrador del sistema en Linux tiene nombre propio: root.

La cuenta root es la cuenta del administrador y no hay limitaciones para este usuario. Esto es lo primero y más veces repetido: ¡No use la cuenta root habitualmente!. Solo se debe emplear para realizar tareas administrativas. Si se comete un error siendo root, el sistema no le detendrá.

La formula habitual, si se requieren los poderes del root, es utilizar el comando «su». Este comando ejecuta una shell con identificadores de usuario y grupo distintos.

Lo que quiere decir que permite a un usuario convertirse temporalmente en otro usuario. Si no se especifica ningún nombre de usuario, por defecto se usa root.  La shell a ejecutar se toma de la entrada correspondiente al usuario en el fichero de contraseñas, o /bin/sh si no está especificada en dicho fichero. La ejecución de su solicitará el contraseña del usuario, menos que se ejecute por el root.

El administrador será también el encargado de la realización de cambios en el sistema. Cualquier cambio deberá ser cuidadosamente planificado y probado en un entorno controlado antes de implantarlo en producción.Es imposible evaluar todas las posibles variables y condiciones que se generarán al llegar los usuarios al día siguiente de realizar ese cambio tan importante. Pero inténtelo, la responsabilidad es suya.

El administrador debe ser el que provee las soluciones, si su actividad genera problemas, tenga previsto como restaurar una condición estable en el mínimo lapso de tiempo. No solo debe pensar como implementar el nuevo cambio, además tenga previsto un plan de recuperación de emergencia, por si algo sale mal.

También es buena idea plantear gradualmente las mejoras, es más fácil volver atrás si los cambios son menores que cuando se cambian de golpe gran número de cosas. No sabrá que falló ni porque si hizo todos los cambios a la vez. Y no digamos si afectan a gran parte del equipo. Podrá diagnosticar un problema si sólo tocó un par de cosas y comprobó el funcionamiento antes de seguir adelante.

Cada cambio debe ser anunciado con suficiente antelación cuando afecte a los usuarios, de manera que sepan como comportarse ante la novedad. El mejor sistema, funcionando correctamente puede ocasionar una pequeña revuelta si los usuarios ven afectado su trabajo, aunque solo hablemos de pequeños cambios de forma. Infórmeles con antelación de lo que va a ocurrir y documente, si es necesario, las nociones sobre el manejo (o lo que sea) que necesiten.

Administración de usuarios.-

La gestión de usuarios es uno de los aspectos que es importante comprender. Usted debería crear una cuenta para las tareas habituales y usar la cuenta de root solo para la realización de tareas de administración.
Cada usuario debe tener su propia cuenta, y el sistema identificará a cada usuario permitiendole acceder (o no) y controlará las tareas que pueda realizar.
Esta es la información que el sistema mantiene acerca de cada usuario:

• Nombre de usuario
  
  El nombre de usuario es el identificador único dado a cada usuario del sistema. Crispin y Goliat son nombres de usuarios, existe una serie de usuarios que vienen con el sistema o asociados a un programa determinado y suele ser buena idea dejarlos como están, seguramente hay software que los usará para lanzar aplicaciones. Se pueden utilizar letras y dígitos junto a los caracteres «_» (subrayado) y «.» (punto). Los nombres de usuario se limitan normalmente a 8 caracteres de longitud. ° Identificación de usuario El user ID, o UID, es un numero único dado a cada usuario del sistema. El sistema reconoce a los usuarios por su UID, no por el nombre de usuario.
  
  
• Identificación de grupo
  
  El group ID, o GID, es la identificación del grupo del usuario por defecto. Cada usuario pertenece a uno o mas grupos definidos por el administrador del sistema. Por defecto se crea un grupo, de igual nombre que el usuario, al utilizar la orden adduser.
  
  
• Contraseña
  
  El sistema almacena la clave encriptada del usuario. El comando passwd se utiliza para poner y cambiar las claves de los usuarios.
  
  
• Nombre completo
  
  El «nombre real o nombre completo del usuario es una información opcional que usa-remos para identificar a los usuarios del sistema por sus nombres reales. Por ejemplo, el usuario Crispin puede tener el nombre «Javier Roman» en la vida real.
  
  
• Directorio Personal
  
  Es el directorio en el que se coloca al usuario acceder a el sistema. Cada usuario debe tener su propio directorio personal, normalmente situado bajo /home.
  
  
• Interprete de comandos
  
  Es el interprete de comandos que es arrancado para el usuario al acceder a el sistema. Ejemplos pueden ser /bin/bash y /bin/tcsh. Esta información se guarda en el fichero /etc/passwd.

Cada linea del fichero contiene información acerca de un único usuario; el formato de cada linea es:

nombre:clave encríptada:UID:GID:nombre completo:dir-personal:interprete

Cada campo está separado por dos puntos. Un ejemplo puede ser:

Crispin:TBe1jvLU$QWNBxcwdVM:506:506:Javi Roman:/home/Crispin:/bin/bashs

El primer campo, «Crispin», es el nombre de usuario.
El siguiente campo, TBe1jvLU$QWNBxcwdVM, es la clave encriptada. Las claves no se almacenan en un formato legible, son encriptadas utilizándose a si mismas como clave. En otras palabras, solo si se conoce la clave, esta puede ser desencriptada. Es una forma de Encriptación conocida como «de un solo sentido». El mecanismo es bastante seguro, en realidad la contraseña nunca se desencripta, lo que sucede al hacer un login (acceder a el sistema identificándose mediante el nombre de usuario y la contraseña) es que la contraseña se vuelve a encriptar y se compara con la que tenemos almacenada. Si las dos coinciden, se reconoce al usuario y se le permite entrar.

Una forma más segura de almacenar las contraseñas es el sistema «shadow password» («claves en sombra») en la que la información de las claves se relega al fichero /etc/shadow. Este es el método empleado por Esware GNU/Linux. (salvo si se optó por desactivarlo en el proceso de instalación).

En este caso en el campo de la contraseña de /etc/passwd se sustituye por una x, de esta manera:

Crispin:x:506:506:Javi Roman:/home/Crispin:/bin/bashs

El problema de /etc/passwd es que es legible por todo el mundo, mientras que /etc/shadow no lo es, por lo que suministra un grado extra de seguridad. Las claves shadow suministran otras funciones como la expiración de claves.

Si necesitamos deshabilitar una cuenta temporalmente, basta con colocar un asterisco (*) delante de la clave encriptada:

Crispin:*TBe1jvLU$QWNBxcwdVM:506:506:Javi Roman:/home/Crispin:/bin/bashs

El asterisco (*) no es un carácter válido para un campo encriptado. Si después necesitamos usar esta cuenta de nuevo, solamente tendremos que retirar el asterisco.

El tercer campo «506», es el UID (Número de Identificación de Usuario). Este debe ser único para cada usuario.

El cuarto campo, «506», es el GID (Número de Identificación de Grupo). Este usuario pertenece al grupo numerado 506. La información de grupos, se almacena en el fichero /etc/group.

El quinto campo es el nombre completo del usuario. «Javi Roman». Este campo es opcional rellenarlo. Es útil en sitios donde tengamos muchos usuarios para la identificación de los mismos.

El sexto campo es el directorio personal del usuario (/home/Crispin). No es necesario que el directorio inicial de un usuario tenga el mismo nombre que el del nombre de usuario. Sin embargo, ayuda a identificar el directorio.

Y el último es interprete de comandos que usará para esa sesión (/bin/bash).

Grupos de usuarios.-

Cada usuario pertenece a uno o mas grupos. La única importancia real de las relaciones de grupo es la perteneciente a los permisos de ficheros, cada fichero tiene un «grupo propietario» y un conjunto de permisos de grupo que define de que forma pueden acceder al fichero los usuarios del grupo.

Hay varios grupos definidos en el sistema, como pueden ser bin, Mail, y sys. Los usuarios no deben pertenecer a ninguno de estos grupos; se utilizan para permisos de ficheros del sistema. En su lugar, los usuarios deben pertenecer a un grupo individual, como users. Si se quiere ser detallista, se pueden mantener varios grupos de usuarios como por ejemplo estudiantes, soporte y facultad.
El fichero /etc/group contiene información acerca de los grupos. El formato de cada linea es:

nombre de grupo:clave:GID:otros miembros

Algunos ejemplos de grupos pueden ser:

root:*:0:
usuarios:*:100:mdw,larry
invitados:*:200:
otros:*:250:kiwi

El primer grupo, root, es un grupo especial del sistema reservado para la cuenta root. El siguiente grupo, usuarios, es para usuarios normales. Tiene un GID de 100. Los usuarios mdw y larry tienen acceso a este grupo.

Los usuarios pueden pertenecer a mas de ungrupo, añadiendo sus nombres de usuario a otras líneas de grupo en /etc/group. El comando groups lista a que grupos se tiene acceso.

El tercer grupo, invitados, es para usuarios invitados, y otros es para «otros» usuarios. El usuario kiwi tiene acceso a este grupo.

Como se puede ver, el campo clave de /etc/group raramente se utiliza. Aveces se utiliza para dar una clave para acceder a un grupo. Esto es raras veces necesario.Para evitar el que los usuarios cambien a grupos privilegiados (con el comando newgroup), se pone el campo de la clave a «*».

Se pueden usar los comandos addgroup o groupadd para añadir grupos a su sistema. Normalmente es mas sencillo añadir líneas a /etc/group uno mismo, puesto que no se necesitan mas configuraciones para añadir un grupo. Para borrar un grupo, solo hay que borrar su entrada de /etc/group.