TEMA 7: PERMISOS DE ACCESOS A LOS ARCHIVOS · to, el nombre de identificación en el sistema, nombre corto o alias y, obligatoriamente, una contraseña. Además, el sistema operativo

DEBIAN 6.0 TEMA 7: PERMISOS DE ACCESOS A LOS ARCHIVOS

Página 0 de 29 ORGANIZACIÓN DEL ÁRBOL

m i é r c o l e s , 0 6 d e a b r i l d e 2 0 1 1 1 2 : 0 0 : 2 8

José María

Torres Corral

Aprenderemos las limitaciones impuestas en la creación de archivos y

directorios así como todos los comandos relacionados con la creación,

modificación y eliminación de archivos.


Página 1 de 29 ÍNDICE

Tabla de contenido

1 ............ Introducción ............................................................................................................................................. 3

2 ............ Cuentas de usuario ................................................................................................................................. 3

2.1 ........ Ubicación de los datos de los usuarios ................................................................................................. 3

2.1.1 .... Archivo /etc/passwd ............................................................................................................................... 3

2.1.2 .... Archivo /etc/shadow ............................................................................................................................... 4

2.1.3 .... /etc/login.defs ......................................................................................................................................... 5

2.2 ........ Comandos de administración de cuentas de usuario .......................................................................... 9

2.2.1 .... chfn .......................................................................................................................................................... 9

2.2.2 .... chsh ........................................................................................................................................................ 10

2.2.3 .... useradd .................................................................................................................................................. 10

2.2.4 .... usermod ................................................................................................................................................. 12

2.2.5 .... userdel ................................................................................................................................................... 12

2.3 ........ Crear una nueva cuenta de usuario en modo gráfico ........................................................................ 12

2.4 ........ Copia de seguridad de los datos del usuario a través del terminal .................................................. 13

2.4.1 .... Reunión de los datos en un archivo con formato .tar ........................................................................ 13

2.4.2 .... Ver el contenido del archive .tar .......................................................................................................... 15

2.4.3 .... Compresión de los datos ...................................................................................................................... 15

2.4.4 .... Restauración de los datos .................................................................................................................... 16

2.5 ........ Copia de seguridad de los datos del usuario en modo gráfico .......................................................... 16

3 ............ Grupos de usuarios ............................................................................................................................... 17

3.1 ........ Concepto de grupo de usuarios ........................................................................................................... 17

3.2 ........ Ubicación de los datos de grupos de usuario. .................................................................................... 17

3.2.1 .... Archivo /etc/group ................................................................................................................................ 17

3.2.2 .... Fichero /etc/gshadow ........................................................................................................................... 17

3.2.3 .... Fichero /etc/adduser.conf ................................................................................................................... 18

3.3 ........ Comandos de administración de los grupos de usuario .................................................................... 18


Página 2 de 29 ÍNDICE

3.3.1 .... addgroup ................................................................................................................................................ 18

3.3.2 .... delgroup ................................................................................................................................................. 18

4 ............ Derechos en Unix .................................................................................................................................. 19

4.1 ........ Definición de permisos ......................................................................................................................... 19

4.2 ........ Tipos de permisos ................................................................................................................................. 19

4.2.1 .... Permisos rwx .......................................................................................................................................... 19

4.2.2 .... Permisos SUID, SGID, Sticky ................................................................................................................. 20

4.3 ........ Aplicación de los permisos. .................................................................................................................. 21

5 ............ Administración de permisos ................................................................................................................. 21

5.1 ........ Mediante comandos ............................................................................................................................. 21

5.1.1 .... chgrp (change group) ............................................................................................................................ 21

5.1.2 .... chmod (change mod) ............................................................................................................................ 22

5.1.3 .... umask .................................................................................................................................................... 25

5.2 ........ Administradores de archivos ................................................................................................................ 27

5.3 ........ Midnight Comander o MC ..................................................................................................................... 28

6 ............ Bibliografía ............................................................................................................................................. 29


Página 3 de 29 CUENTAS Y GRUPOS DE USUARIOS

1 Introducción

El sistema GNU/Linux es multiusuario. Por tanto, las personas que los usan tienen que autentificarse

para asegurar la confidencialidad de los datos contenidos en las cuentas. De forma predeterminada, los

datos contenidos en el directorio /home de cada usuario solo son vistos por su propietario. Para que los

usuarios puedan ver la información creada por otros usuarios, el administrador del sistema tiene que

asignarles los permisos adecuados. Estos permisos pueden concederse a usuarios individuales o a un

grupo de usuarios con unas características comunes. Aquí nos surgen los conceptos de cuentas de usua-

rio y de grupo de usuarios.

2 Cuentas de usuario

Para identificar sin lugar a error a cada usuario, cada vez que queremos conectar a persona nueva hay

que crear en el sistema una cuenta de usuario. Los datos que vamos a introducir son un nombre comple-

to, el nombre de identificación en el sistema, nombre corto o alias y, obligatoriamente, una contraseña.

Además, el sistema operativo le asigna un número de identificación de usuario, User’s ID o UID, que es el

dato que realmente hace único a un usuario. A cada usuario se le pueden conceder permisos de forma

individual para limitar el acceso a los recursos del ordenador o a los datos contenidos en él.

Existen tres tipos de usuarios:

1. Usuarios normales, con más o menos privilegios. Es el tipo de cuenta que hay que crear para una per-

sona real, el usuario habitual. Además, habrá que asignarles los permisos necesarios y suficientes. Su UID

empieza a partir de 1000, en Debian. En otros sistemas GNU/Linux empiezan a partir del 500.

2. Usuarios del sistema: son aquellos encargados de ejecutar los programas en segundo plano, llamados

demonios o daemons, concediendo a cada uno los permisos adecuados. Una particularidad es que como

nunca van a autentificarse no necesitan que se les asigne un Shell. Su UID oscila entre 1 y 1000.

3. Root o usuario administrador del sistema. Este usuario es como Dios, tiene acceso a todos los recur-

sos, dispositivos, periféricos, directorios y archivos del sistema. Por tanto, hay que tener mucho cuidado al

acceder al sistema autentificado como usuario root. De hecho, los entornos gráficos no permiten acceder

al sistema como este usuario para evitar destrozos del sistema, muy fáciles de hacer a través de las apli-

caciones gráficas. Su UID siempre es 0.

Por tanto, vemos que todo lo que maneja un sistema Unix tiene que tener un propietario definido aun-

que no todos pueden hacer un login en el sistema. Esto restringe bastante los posibles problemas de se-

guridad.

2.1 Ubicación de los datos de los usuarios

Los datos de autentificación de todos los usuarios se guardan en tres archivos localizados en el direc-

torio /etc, que es donde se almacenan todos los archivos que no tienen cabida en otros subdirectorios:

archivos de configuración y scripts de arranque del sistema.

2.1.1 Archivo /etc/passwd

Este archivo contiene los datos básicos de la cuenta. El contenido de este archivo lo puede ver cual-

quier tipo de usuario, bien a través de un administrador de archivos gráfico o a través de un terminal

usando el comando cat.


Página 4 de 29 COMANDOS DERECHOS UNIX

Cada línea de este archivo caracteriza una cuenta de usuario mediante siete campos separados por

dos puntos, que son los siguientes:

Nombre o login de usuario. Es el nombre corto que asignamos a un usuario cuando lo creamos.

Contraseña, una x la sustituye cuando está encriptada mediante algún algoritmo para proteger los

datos.

Número de UID.

Número de GID.

Nombre completo o General Electric Comprehensive Operating System o GECOS. La historia de este

término puedes encontrarla en la página del manual.

Ruta del directorio personal. De forma predeterminada es un directorio alojado en /home.

Ruta del Shell a utilizar.

Ejemplo:

josemariatc:x:1000:1000:Jose Maria Torres Corral

,,,:/home/josemariatc:/bin/bash

2.1.2 Archivo /etc/shadow

El archivo /etc/shadow contiene toda la información relacionada con la contraseña, usando el nombre

corto del usuario para relacionarlo. El contenido de este archivo solo es accesible para usuarios con la

categoría de root. Los campos que describe son:



Un ejemplo:

josemariatc:$6$ho6U1Urz$89enOiCjs4W7OC8riScwI3utshfaMxbrUjgMwMc2zqqRtDTrJX

Typqktr7wOKktzi18uhHP92ELv1.uBtEr1I0:15051:0:99999:7:::

El principal comando para consultar los datos del usuario es who, who am i y passwd, todos ellos vistos

en el tema 3.

2.1.3 /etc/login.defs

Este fichero configura las opciones de login de los usuarios de un sistema GNU/Linux, es un fichero de

texto en ASCII y los puntos más interesantes de éste son los siguientes:

* Establecimiento de Logs de control de entradas al sistema

FAILLOG_ENAB yes

LOG_OK_LOGINS no

LASTLOG_ENAB yes

SYSLOG_SU_ENAB yes

SYSLOG_SG_ENAB yes

SULOG_FILE /var/log/sulog

* Comprobación de correo tras autentificarse

MAIL_CHECK_ENAB yes

*Restriccion de tiempos (/etc/portime)

PORTTIME_CHECKS_ENAB yes

* Permitir el establecimiento de ulimit, umask & niceness

QUOTAS_ENAB yes

* Dispositivos desde los que puede hacer login el root (se puede seleccionar con el path de un fichero

o con los dispositivos separados por ':')

CONSOLE /etc/securetty

#CONSOLE console:tty01:tty02:tty03:tty04

ejemplo: /etc/securetty

# These are the ttys on the physical console:

console

tty1



tty2

tty3

tty4

tty5

tty6

* Especificar el fichero de "message of the day", para poner varios ficheros, separar los paths con ':'.El

contenido de este fichero de texto se muestra a todos los usuarios tras identificarse.

MOTD_FILE /etc/motd

* Establecer el fichero que se muestra antes del login.

ISSUE_FILE /etc/issue

* Determinar el fichero /etc/nologin (root es el único q puede acceder al sistema)

NOLOGINS_FILE /etc/nologin

* Este campo es necesario: Directorio donde están los buzones de correo

MAIL_DIR /var/spool/mail

* Establecer los permisos del terminal

TTYGROUP tty

TTYPERM 0600

*Establecer las configuraciones de inicialización de...

ERASECHAR Terminal ERASE character ('\010' = backspace).

KILLCHAR Terminal KILL character ('\025' = CTRL/U).

UMASK Default "umask" value.

ULIMIT Default "ulimit" value.

Ejemplo:

ERASECHAR 0177

KILLCHAR 025

UMASK 077

ULIMIT 2097152

Una cosa que tengo que comentar sobre el UMASK es que puede ser que esté siendo machacado por



algún script de login tipo /etc/profiles. Así que, hay que comprobar ese tipo de ficheros a ver si está el

comando umask. En ese caso, se aplicará el umask del script ya que se ejecuta después. Cambia los

permisos del umask o comenta esa línea en el script.

Otra cosa importante cara al umask es a la hora de realizar instalaciones. Recuerda que si pones 077

como máscara los permisos serán 700 en todos los ficheros nuevos. En las instalaciones de nuevos pro-

gramas es recomendable cambiar las mascara a 022 (activa permisos 755), para hacerlo utiliza el co-

mando "umask 022". Si luego quieres restringir el acceso a esos ficheros cambia los permisos a éstos.

*Validez temporal de los passwords

PASS_MAX_DAYS Número máximo de día en el que la contraseña va a ser usada

PASS_MIN_DAYS Número mínimo de días permitido entre el cambio de contraseñas.

PASS_MIN_LEN Longitud mínima de la contraseña válida.

PASS_WARN_AGE Aviso con número de días que faltan antes de que la contraseña expire.

Ejemplo:

PASS_MAX_DAYS 99999

PASS_MIN_DAYS 0

PASS_MIN_LEN 8

PASS_WARN_AGE 7

* Una de las opciones de seguridad importante es:

SU_WHEEL_ONLY yes

Si está a yes, entonces sólo los usuarios que pertenezcan al grupo del root (gid 0 *). En mi opinión es

casi obligatoria tenerla activada. De esta forma aseguramos la integridad del sistema operativo.

* Selección de los uid y gid mínimos y máximos que se utilizarán en el comando de añadir usuarios

'useradd'

UID_MIN 1000

UID_MAX 60000

GID_MIN 100

GID_MAX 60000

* Algunas opciones sobre el login:

# Número máximo de reintentos al introducir una contraseña errónea. Un número que oscile entre

uno y tres es muy buen valor porque garantiza que no haya muchos reintentos inválidos de conexión.

LOGIN_RETRIES 3



# Tiempo máximo para autentificarse:

LOGIN_TIMEOUT 60

# Máximo número de intentos para cambiar la contraseña si es rechazada:

PASS_CHANGE_TRIES 5

# Aviso sobre contraseñas débiles.

PASS_ALWAYS_WARN yes

# Number of significant characters in the password for crypt().

# Default is 8, don't change unless your crypt() is better.

# Ignored if MD5_CRYPT_ENAB set to "yes".

#PASS_MAX_LEN 20

#Esto sólo funciona si está compilado con la opción de usar el algoritmo MD5. El md5 soporta cla-

ves de longitud ilimitada. Desactívalo si usas otros sistemas que no soporten este algoritmo.

MD5_CRYPT_ENAB yes

* Opciones del Comando CHFN (Ver punto 'Cambiando la información de los usuarios con chfn')

CHFN_AUTH yes

# Aquí se definen los campos que un usuario puede cambiar cuando se ejecuta el chfn. Se hace me-

diante el uso de la primera letra de cada parámetro modificable "frwh"(full name para el nombre comple-

to, room number para el número de habitación o despacho, work pone para el número de teléfono del

trabajo, home pone para el número de teléfono de casa). Si no definimos nada, entonces no se permite

ningún cambio. Para tener retro-compatibilidad hay que escribir "yes" = "rwh" and "no" = "frwh".

CHFN_RESTRICT frwh

*Algunas cosas más:

#Si activas lo siguiente un usuario podrá acceder a los recursos de los siguientes grupos. Por defecto

está desactivado, y yo lo dejaría así

#CONSOLE_GROUPS floppy:audio:cdrom

#Si está definido, cuando borres un usuario se ejecutará el que está ahí definido. Este programa debe-

ría borrar las entradas de cron/at,etc... Lo más normal es que lo codifiques en un shell_script.

#USERDEL_CMD /usr/sbin/userdel_local

## Si está definido no solicitará passwords para los usuarios hagan login desde estas consolas excep-

to al root. Es conveniente tenerlo desactivado

#NO_PASSWORD_CONSOLE tty1:tty2:tty3:tty4:tty5:tty6



#La siguiente opción es interesante: sirve para indicar el número máximo de asteriscos por carácter

que aleatoriamente aparecerán cuando teclees el password. Por defecto está a -1, si está a 1 saldrá un

asterisco por carácter pulsado pones otro número saldrán hasta ese número

#GETPASS_ASTERISKS 1

#Esto sirve desconcertar a todos aquellos que miran lo que escribes al teclear el password la siguiente

opción sirve para poner los bits de permisos de grupo igual a los bits de permiso del usuario.Yo creo que

se debe de poner que no, si un usuario compartir ficheros que cambie los permisos con chmod, pero

puede haber situaciones en las que si que haya que activarlo.

USERGROUPS_ENAB no

2.2 Comandos de administración de cuentas de usuario

2.2.1 chfn

Función:

A cada usuario particular, le permite cambia los datos personales del usuario almacenados en el sis-

tema: nombre completo, número de habitación, número de teléfono del trabajo y de casa. Este comando

lo puede ejecutar cualquier usuario sobre su cuenta, pidiendo la contraseña para realizar la autentifica-

ción. Si no introducimos ninguna opción, nos saldrá un asistente que nos irá preguntando por los diferen-

tes parámetros.

Sintaxis:

chfn [–opción(es)]

Listado de opciones

-f Introduce el nombre del usuario completo.

-r Introduce el número de habitación.

-w Introduce el número de teléfono del trabajo.

-h Introduce el número teléfono de casa.

-o Introduce otros datos a la cuenta, son una especie de comentarios a la cuenta.

Ejemplo:

josemariatc@curso:~$ chfn

Contraseña:

Cambiando la información de usuario para josemariatc

Introduzca el nuevo valor, o presione ENTER para el predeterminado

Nombre completo: Jose Maria Torres Corral

Número de habitación [1]: 1

Teléfono del trabajo [123456789]: 911234567



Teléfono de casa [123456789]: 919876543

2.2.2 chsh

Función:

Permite a cada usuario modificar el Shell predeterminado que usa cuando se conecta a través de una

consola de comandos. Este comando lo puede ejecutar cualquier usuario sobre su cuenta, pidiendo la

contraseña para autentificar al usuario. El listado de Shells disponibles en el sistema, y que por tanto po-

demos usar para los usuarios del sistema, está en el archivo /etc/shells.

Sintaxis:

chsh [-opción(es)] [nombre_corto]

Listado de opciones:

-s --shell Define el shell para una cuenta.

Ejemplo:

josemariatc@curso:~$ chsh

Contraseña:

Cambiando la shell de acceso para josemariatc


Shell de acceso [/bin/bash]: /bin/bash

2.2.3 useradd

Función:

A un administrador del sistema, permite crear una nueva cuenta de usuario, definiendo todas las ca-

racterísticas. El grupo de usuarios al que queramos asignarle tiene que estar previamente creado. Debian,

y en general los sistemas GNU/Linux, imponen unas reglas para crear un nombre corto o de login de un

usuario

1. Obligatoriamente. tiene que empezar por una letra minúscula.

2. Obligatoriamente, no puede contener espacios. Los espacios pueden sustituirse por guiones.

3. La longitud máxima recomendada es de 30 caracteres, aunque admite más.

Sintaxis:

useradd [-opción(es)] nombre_corto

Listado de opciones

-c --comment Agrega un comentario a la cuenta de usuario.

-d --home El nueva usuario será creado usando el directorio que nosotros indiquemos.

-D --defaults Aplica los valores predeterminados al nuevo usuario. Estos valores los obtiene del

archivo /etc/default/useradd.



-e --expiredate Fija la fecha en la que la cuenta será deshabilitada, en el formato AAAA-MM-DD.

-f --inactive Número de días que van a transcurrir entre la fecha en la que una contraseña expira

y la cuenta es deshabilitada permanentemente.

-g --gid Define el número de identificación del grupo al que pertenecerá el usuario.

-G --groups Listado de los grupos suplementarios.

-m --create-home Crea el directorio del usuario en el directorio /home, si no existe.

-M No crea el directorio personal del usuario.

-p --password

-r --system Crea una cuenta del sistema.

-s --shell Shell del usuario.

-u --uid Asigna el valor numérico del usuario.

Ejemplo:

root@curso:/home/josemariatc# adduser fulanito

Añadiendo el usuario `fulanito' ...

Añadiendo el nuevo grupo `fulanito' (1001) ...

Añadiendo el nuevo usuario `fulanito' (1001) con grupo `fulanito' ...

Creando el directorio personal `/home/fulanito' ...

Copiando los ficheros desde `/etc/skel' ...

Introduzca la nueva contraseña de UNIX:

Vuelva a escribir la nueva contraseña de UNIX:

passwd: contraseña actualizada correctamente

Cambiando la información de usuario para fulanito


Nombre completo []: Fulanito Pérez Rodríguez

Número de habitación []: 1

Teléfono del trabajo []: 123456789

Teléfono de casa []: 987654321

Otro []:

chfn: name with non-ASCII characters: 'Fulanito Pérez Rodríguez'

¿Es correcta la información? [S/n] s

Esta es la información introducida en el archivo /etc/passwd

fulanito:x:1001:1001:Fulanito Pérez

Rodríguez,1,123456789,987654321:/home/fulanito:/bin/bash



2.2.4 usermod

Función:

Cambia cualquiera de los parámetros del usuario definido como parámetro.

Sintaxis:

usermod [options] LOGIN


Las mismas que para useradd, más las listadas a continuación.

-L --lock Bloquea la cuenta de usuario.

-m --move-home Cambia la ubicación del archivo de datos personales.

-p --password Crea la nueva contraseña encriptada.

-u --uid Cambio el número de identificación del usuario.

-U --unlock Desbloquea una cuenta de usuario.

Ejemplo:

root@curso:/home/josemariatc# usermod fulanito –L

2.2.5 userdel

Función:

Borra una cuenta de usuario del sistema.

Sintaxis:

userdel [–opción] login

Listado de opciones

-f --force Forzar la eliminación de los ficheros, incluso si no pertenecen al usuario.

-h --help Muestra este mensaje y termina.

-r --remove Elimina el directorio personal y el buzón de correo.

Ejemplo:

root@curso:/home/josemariatc# userdel -f fulanito

2.3 Crear una nueva cuenta de usuario en modo gráfico

Si estamos autentificados en un modo gráfico, tenemos que seguir el siguiente proceso para crear un

nuevo usuario:

Sistema → Administración → Usuarios y grupos



En la nueva ventana que nos sale tenemos que pulsar sobre Añadir. El sistema nos pedirá la contrase-

ña del root para autentificarnos como

administrador.

Nos pide que introduzcamos el

nombre completo y el nombre corto,

que usaremos para autentificarnos.

A continuación, nos pide que intro-

duzcamos una contraseña para garan-

tizar la seguridad del sistema.

En esta ventana, también podemos

eliminar las cuentas ya creadas, ges-

tionar los grupos a los que pertenece

cada usuario y los ajustes avanzados

de la cuenta. Pulsando sobre ayuda

nos sale una página del manual que nos explica todo el proceso de configuración que puede hacerse.

2.4 Copia de seguridad de los datos del usuario a través del terminal

Realizar la copia de seguridad de los datos en un Sistema Unix es, generalmente, responsabilidad del

administrador del sistema. A pesar de esto es habitual que cada usuario realice la copia de seguridad de

sus datos en un medio extraíble para poder transportarlos cómodamente de un lugar a otro. El formato de

copia de seguridad más extendido en el mundo Unix es el formato .tar asociado al formato de compresión

.gzip. Veamos el proceso para guardar los datos almacenados en el directorio /home usando un terminal.

El proceso se divide en pasos:

1. Reunión de los archivos en un archivo .tar.

2. Ver el contenido del archivo tar.

3. Compresión de los datos.

4. Restauración.

2.4.1 Reunión de los datos en un archivo con formato .tar

Función

El formato fue diseñado para almacenar archivos de una forma conveniente en cintas magnéticas y de

allí proviene su nombre, que proviene de Tape ARchiver (en inglés: archivador en cinta). Debido a este

origen el formato está preparado para ser procesado linealmente, no contando con manera de extraer un

miembro sin recorrer todo el archivo hasta encontrarlo. Por tanto, almacena todos los datos en una carpe-

ta.

Sintaxis:

tar [-Opción(es)] [Fichero]

Listado de opciones

-c --create Creación de un archivo nuevo

-f --file Indica el nombre y ruta del archivo. Si no la indicamos se guarda en /dev/rmt0.



--get Igual que -x

-r --append Agrega archivos al final del archivo seleccionado.

-t --list Muestra la tabla de contenidos del archivo en una lista.

-u --update Agrega los archivos solo si ha habido alguna actualización.

-v --verbose Muestra los archivos tratados durante el proceso

-x --extract Extrae los archivos.

-z --gzip Usa la compresión en formato gzip.

Ejemplo:

josemariatc@curso:~$ pwd

/home/josemariatc

josemariatc@curso:~$ cd /home

josemariatc@curso:/home$ ls -a josemariatc

. .bashrc Escritorio .gstreamer-0.10 Música

.themes .xsession-errors

.. .config .evolution .gtk-bookmarks .nautilus

.thumbnails .xsession-errors.old

archivo .dbus .gconf .gvfs Plantillas

.update-notifier

archivo1 Descargas .gconfd .ICEauthority .profile

.vboxclient-clipboard.pid

archivo2 dir1 .gksu.lock .icons Público

.vboxclient-display.pid

.bash_history dir2 .gnome2 Imágenes .recently-

used.xbel .vboxclient-seamless.pid

.bash_logout Documentos .gnupg .local .swp

Vídeos

josemariatc@curso:/home$ tar cvf /tmp/cs_josemariatc.tar josemariatc

josemariatc/

josemariatc/.dbus/

josemariatc/.dbus/session-bus/

josemariatc/.dbus/session-bus/e1e5422aa31ce093ccff7f8b0000000f-0

josemariatc/.vboxclient-seamless.pid

josemariatc/.gconfd/

josemariatc/.gconfd/saved_state

josemariatc/.bash_logout



2.4.2 Ver el contenido del archive .tar

josemariatc@curso:/home$ ls /tmp

cs_josemariatc.tar lost+found orbit-josemariatc ssh-IiqxUi1646

keyring-AwW7Hm orbit-Debian-gdm seahorse-6UkNPx virtual-

josemariatc.W2c0Ko

josemariatc@curso:/home$ tar tvf /tmp/cs_josemariatc.tar

drwxr-xr-x josemariatc/josemariatc 0 2011-03-23 11:43 josemariatc/

drwx------ josemariatc/josemariatc 0 2011-03-18 17:43 josemariatc/.dbus/

drwx------ josemariatc/josemariatc 0 2011-03-18 17:43

josemariatc/.dbus/session-bus/

-rwx------ josemariatc/josemariatc 58841 2011-03-23 12:18

josemariatc/.gconfd/saved_state

-rw-r--r-- josemariatc/josemariatc 220 2011-03-18 17:41

josemariatc/.bash_logout

2.4.3 Compresión de los datos

Función

Si los datos almacenados ocupan mucho espacio en disco, es necesario y conveniente el usar un for-

mato que nos ahorre espacio sin pérdida de datos. En el mundo Linux el formato más extendido es el gzip

aplicado a un archivo con extensión .tar.

Sintaxis

gzip nombre_archivo

Listado de opciones

-c --stdout Mantiene los archivos originales sin cambio.

-d --decompress Descomprime el archive seleccionado.

-l --list Muestra un listado con en el contenido del fichero.

-L --license Muestra la licencia de uso.

-n --no-name No guarda o restaura el nombre y fecha del archive original.

-N --name Guarda o restaura el nombre y fecha del archive original

-q --quiet Suprime todos los mensajes de error.

-r --recursive Opera de forma recursiva.

-t --test Comprueba la integridad de los archivos comprimidos.

-v --verbose Muestra el proceso entero.

-1 --fast Comprime lo más rápido posible.



-9 --best Comprime lo máximo posible.

Ejemplo:


cs_josemariatc.tar lost+found orbit-josemariatc ssh-IiqxUi1646


josemariatc.W2c0Ko

josemariatc@curso:/home$ gzip /tmp/cs_josemariatc.tar


cs_josemariatc.tar.gz lost+found orbit-josemariatc ssh-IiqxUi1646


josemariatc.W2c0Ko

josemariatc@curso:/home$

2.4.4 Restauración de los datos

Una vez comprobados los datos, tenemos que restaurarlos. Por defecto, la herramienta tar hace esta

operación en el directorio ubicado actualmente. Por esta razón, hay que situarse en el directorio de origen

antes de hacer la restauración.

Si estuviesen comprimidos, habría que descomprimir previamente el archivo usando el siguiente co-

mando:

gzip –d nombre_de_archivo_comprimido nombre_de_archivo_descomprimido

Este proceso largo se puede guardar en fichero autoejecutable o de tipo script que lo ejecute el pro-

gramador de tareas automáticamente cada un cierto periodo de tiempo, facilitando la labor administrativa

del sistema operativo.

2.5 Copia de seguridad de los datos del usuario en modo gráfico

Este largo proceso, se reduce mucho si utilizamos un explorador de archivos como Nautilius.

Para hacer la copia de seguridad de la carpeta personal, simplemente tenemos que navegar hasta la

carpeta de la cual queremos hacer la copia de seguridad, pulsar con el botón derecho y elegir comprimir.

Nos sale una ventana nueva en la que tenemos que elegir el nombre del archivo, el formato de com-

presión (tar.gz, 7z. zip…), el lugar donde se va a guardar y, en función del formato elegido, podremos con-

figurar algunas opciones avanzadas, que se muestran pulsando sobre otras opciones.

Entre estas opciones avanzadas puede estar poner una contraseña al archivo para garantizar la segu-

ridad de los datos o dividir el archivo en partes de un tamaño específico para facilitar su transporte, si es

que tienen un peso muy grande, entendiendo por grande más de 1 Gygabyte.



3 Grupos de usuarios

3.1 Concepto de grupo de usuarios

Un grupo de usuarios es una agrupación de personas con los mismos permisos de acceso a los archi-

vos. La información de seguridad almacenada en una cuenta de usuario es suficiente para establecer el

grado libertad (o dicho de otro modo, las restricciones) que cada usuario debe poseer en el sistema. Sin

embargo, resultaría muchas veces tedioso para el administrador determinar dichas restricciones usuario

por usuario, especialmente en sistemas con un elevado número de ellos. El concepto de grupo de usua-

rios permite agrupar de forma

lógica a los usuarios de un

sistema, y establecer permisos

y restricciones a todo el grupo

de una vez. Un usuario puede

pertenecer a tantos grupos

como sea necesario, poseyen-

do implícitamente la suma de

los permisos de todos ellos.

Esta forma de administrar la

protección del sistema es mu-

cho más flexible y potente que

el establecimiento de permisos

en base a usuarios individua-

les.

Considérese, por ejemplo, que en una empresa un sistema es utilizado por empleados de distinto ran-

go, y que cada rango posee un distinto nivel de privilegios. Supongamos que se desea cambiar de rango a

un empleado, debido a un ascenso, por ejemplo. Si la seguridad estuviera basada en usuarios individua-

les, cambiar los privilegios de este usuario adecuadamente supondría modificar sus privilegios en cada

lugar del sistema en que estos debieran cambiar (con el consiguiente trabajo, y el riesgo de olvidar al-

guno). Por el contrario, con la administración de seguridad basada en grupos, esta operación sería tan

sencilla como cambiar al usuario de un grupo a otro. El gráfico adjunto es un ejemplo clarificador.

3.2 Ubicación de los datos de grupos de usuario.

3.2.1 Archivo /etc/group

Su estructura es:

nombre_grupo:password:GID:lista_usuarios

Nombre del grupo. Por defecto se crea un grupo con el mismo nombre que usuario creado.

Password. Se usa para dar a una serie de personas un mismo directorio con una cuenta común.

GID o Group ID. Número de identificación en el sistema del grupo.

Lista de usuarios: separados por comas.

3.2.2 Fichero /etc/gshadow

Al igual que el fichero /etc/shadow de las contraseñas encriptadas para usuarios, también se puede

usar un fichero /etc/gshadow de contraseñas encriptadas para grupos. Se suele usar para permitir el ac-

ceso al grupo, a un usuario que no es miembro del grupo. Ese usuario tendría entonces los mismos privi-



legios que los miembros de su nuevo grupo.

3.2.3 Fichero /etc/adduser.conf

Este fichero es el sistema usa para realizar la configuración predeterminada cuando se ejecutan los

comandos de adduser y addgroup. O se hace en modo gráfico.

3.3 Comandos de administración de los grupos de usuario

3.3.1 addgroup

Función:

Añade un nuevo grupo de usuarios, a través de su GID. Previamente tiene que existir un usuario con el

mismo nombre y UID.

Sintaxis:

addgroup [opción(es)] [--gid ID] GRUPO

Listado de opciones

-q --quiet No mostrar información del proceso en la salida estándar

--force-badname Permitir nombres de usuarios que no coincidan con la variable de configuración

-h --help Mensaje de uso

-v --version Número de versión y copyright

-c --conf FICHERO Usa FICHERO como fichero de configuración

3.3.2 delgroup

Función:

Borra los datos del grupo seleccionado.

Sintaxis:

delgroup [opción(es)] [--only-if-empty] grupo

Listado de opciones

--only-if-empty El grupo no se elimina en caso de que todavía tenga algún miembro.

--conf FICHERO Usa FICHERO en lugar de los ficheros predeterminados /etc/deluser.conf y

/etc/adduser.conf.

--group Elimina un grupo. La opción predeterminada si se invoca como delgroup.

--help Muestra unas instrucciones breves.

--quiet Suprime mensajes indicadores de progreso.

--system Sólo elimina si el usuario/grupo es un usuario/grupo del sistema. Esto evita borrar ac-

cidentalmente usuarios/grupos que no sean del sistema. Además, si el usuario no

existe, no sedevuelve ningún valor de error. Esta opción está diseñado parasu uso en



los scripts de desarrollador de paquetes de Debian.

--backup Crea una copia de respaldo de todos los ficheros contenidos en el directorio personal

del usuario y el fichero de cola de correo a un fichero llamado «/$user.tar.bz2» o

«/$user.tar.gz».

4 Derechos en Unix

Los derechos, permisos o modos de Unix es el control lógico que impone un sistema operativo

GNU/Linux para limitar el acceso y/o el uso de los archivos contenidos en él. De esta forma conseguimos

limitar el posible daño causado por los usuarios debido a una mal uso del sistema.

4.1 Definición de permisos

Los derechos de acceso en Linux se definen a tres niveles:

Cuentas de usuario. El propietario de un archivo es el usuario que lo ha creado. Para ello, se utiliza

el UID.

Un grupo de usuario. Un archivo pertenecerá por defecto al grupo principal del propietario del archi-

vo. Para ello su usa el GID.

Otros: es una entidad creada para poder compartir información con usuarios que no sean miembros

de los dos niveles anteriores. Esta opción implica una pérdida de control en la seguridad del sistema y

es mejor no usarla. Todo usuario tiene que pertenecer a un grupo de usuarios y disponer de una cuen-

ta de usuario autentificada en el sistema.

4.2 Tipos de permisos

4.2.1 Permisos rwx

Cuando ejecutamos el comando ls –l, vemos los permisos que tiene concedidos cada archivo:

-rw------- 1 josemariatc josemariatc 679 mar 18 19:43 .bash_history

Si nos centramos solo en la parte que describe los permisos vemos que, justo a continuación del carác-

ter que define el tipo de archivo, podemos ver los permisos de acceso concedidos al usuario o u, a los

miembros del grupo o g y al resto de usuarios u o.

Los permisos pueden concederse tanto a directorios como archivos. Bien sean permisos de usuario, de

grupo o para el resto de usuarios, los tipos de permisos fundamentales existentes, expresados siempre en



este orden, son:

R, read o lectura. Cuando el permiso de lectura está activo sobre un directorio significa que se podrá

listar los recursos almacenados en él. Si está asignado a un archivo se podrá leer su contenido.

W, write o escritura. Cuando el permiso de escritura está activo sobre un directorio significa que se

podrá crear y borrar archivos en su interior. Si está activado para un archivo significa que se podrá mo-

dificar su contenido.

X, eXecute o ejecución. Si el permiso de ejecución está activo sobre un directorio significa que el

usuario podrá realizar otras funciones dentro de él mediante los otros permisos de lectura y escritura.

Si está activo sobre un archivo se podrá ejecutarlo desde la línea de comandos.

PERMISO ARCHIVO DIRECTORIO

r Se puede leer el contenido Se puede listar el contenido

w Se puede modificar el contenido Se pueden modificar las entradas

x Se puede ejecutar el archivo Se puede acceder a las entradas

Hay dos posibilidades: que el permiso esté concedido o no. Si está concedido, en la posición corres-

pondiente aparece la letra representativa del permiso. Si no está concedido, entonces aparecerá un guión

medio (-).

En el ejemplo visto anteriormente, el usuario Willy tiene permiso para leer y modificar el archivo notas

pero no para ejecutarlo.

4.2.2 Permisos SUID, SGID, Sticky

Son un tipo de derechos suplementarios a los vistos en el apartado anterior pero igual de indispensa-

bles. Veamos el significado de cada uno. Por razones de seguridad, estos permisos solo se aplican con

archivos binarios y scripts Perl.

PERMISO ARCHIVO DIRECTORIO

SUID Ejecuta el archivo con la identidad

del propietario del archivo

SGID Ejecuta el archivo con la identidad

del grupo del archivo

Los archivos creados en el directorio heredan del

grupo del directorio en lugar del grupo principal

del usuario.

Sticky

La imagen del ejecutable sigue en

memoria, haciendo su recarga más

rápida

Sólo el propietario, puede borrar los archivos con-

tenidos en el directorio.

La representación de los permisos mediante el comando ls –l es:

SUID. El carácter x de los permisos del propietario se cambia por una ese minúscula (s) cuando este

permiso está activado; una ese mayúscula (S) significa que el permiso en ejecución no está activado al

mismo tiempo.

SGID. Igual que el anterior pero a nivel de permisos de grupo.

Sticky bit. Una te minúscula (t) se indica en lugar de la equis (x) a nivel de los permisos de identidad

del otros. Si la te es mayúscula (T), significa que el permiso x que está oculto no está activo.

Veamos unos ejemplo:



josemariatc@curso:~$ ls -l /usr/bin/passwd

-rwsr-xr-x 1 root root 34740 feb 15 21:50 /usr/bin/passwd

josemariatc@curso:~$ ls -l /usr/bin/write

lrwxrwxrwx 1 root root 23 mar 18 16:41 /usr/bin/write ->

/etc/alternatives/write

4.3 Aplicación de los permisos.

El orden de aplicación jerárquica de los permisos es: usuario, grupo y otros. De esta forma, primero se

van a comprobar los permisos de usuario.

El permiso de acceso a un archivo no se define únicamente por los permisos otorgados al archivo y al

directorio que lo contiene, sino que hay que tener el permiso de atravesar todos los directorios especifi-

cados en la ruta de acceso al archivo. De esta forma para acceder en lectura al archivo

/dir1/dir2/dir3/archivo, hay que tener concedido el permiso r en el archivo y los permios r y x en los tres

directorios de paso.

Los permisos concedidos a un directorio son los que definen el derecho de conservar o borrar los ar-

chivos en su interior.

Es posible borrar un archivo para el que no se tiene permisos de escritura y lectura si los permisos

asociados del directorio donde se almacenan están concedidos.

Agregar un permiso activo o quitar uno inactivo es una operación nula y no provoca ningún tipo de error

o cambio.

5 Administración de permisos

5.1 Mediante comandos

5.1.1 chgrp (change group)

Función

Permite cambiar los permisos de grupo de un archivo.

Sintaxis

chgrp -OPCIÓN GRUPO FICHERO

Listado de opciones

-c --changes Muestra los cambios realizados, solo. Como v, pero reducido.

-h --no-dereference Afecta a cada enlace simbólico en lugar de a los ficheros referidos

-f --silent, --quiet Suprimer la mayoría de mensajes de error

-R --recursive Los cambios se aplican a todos los archivos y subdirectroios del directroio intro-

ducido como argumento.

-v --verbose Muestra un mensaje por cada fichero procesado.



5.1.2 chmod (change mod)

Función

Permite cambiar los permisos de los archivos, pudiendo hacer este cambio el propietario del archivo y

el administrador del sistema.

Sintaxis

chmod [OPCIÓN]... MODO[,MODO]... FICHERO...

Listado de opciones

-c --changes Muestra los cambios realizados, solo. Como v, pero reducido.

-h --no-dereference Afecta a cada enlace simbólico en lugar de a los ficheros referidos

-f --silent, --quiet Suprimer la mayoría de mensajes de error

-R --recursive Los cambios se aplican a todos los archivos y subdirectroios del directroio intro-

ducido como argumento.

-v --verbose Muestra un mensaje por cada fichero procesado.

Hay dos manera de indicar los permisos de acceso a un archivo, son las notaciones.

5.1.2.1 Notación simbólica

Se basa en los caracteres r (lectura), w (escritura) y x (ejecución) para indicar los permisos y u (usua-

rio), g (grupo) y o (otros) para simbolizar las entidades afectadas. Además, el carácter a es equivalente a

poner ugo. Un símbolo más (+) indica que hay que activar el permiso, uno menos (-) que hay que quitarlo y

un signo igual (=) que hay que fijar los tres permisos de una vez.

La sintaxis general sería:

entidad[+-=]permisos

Veamos algunos ejemplos:

u+x Agrega el permiso de ejecución para el propietario.

g-w Suprime el permiso de modificación para el grupo.

o-rw Suprime los permisos de lectura y escritura para el grupo de otros usuarios.

ug-x Suprime el permiso de ejecución para el propietario y el grupo.

a+r Agrega el permiso de lectura para todas las entidades.

u=rw Fija los permisos de lectura y modificación y suprime el de ejecución para el propietario.

u+s Añade el bit SUID al usuario.

g+s Añade el bit SGID al grupo.

o+t Añade el bit Sticky al grupo de otros usuarios.



5.1.2.2 Notación octal

Está basada en la codificación en tres bits de los permisos de cada entidad con el criterio siguiente: so

pone el bit a uno cuando está activo y a cero cuando está inactivo. Es decir usamos una notación binaria

que transformamos a octal, o base ocho, para acortar a n número. Siempre se respeta el orden rwx (lectu-

ra-escritura-ejecución). De esta forma, tenemos las siguientes combinaciones y transformaciones que se

relacionan en la tabla siguiente:

Permiso simbólico Notación binaria Notación octal

- - - 000 0

- - x 001 1

- w - 010 2

- w x 011 3

r - - 100 4

r - x 101 5

r w - 110 6

r w x 111 7

Usando esta notación los permisos rwxr-xr--pueden transformarse y acortarse mediante la notación oc-

tal a 754.

Para los permisos suplementarios, se agrega otro número en base octal a la izquierda, es decir, el pri-

mero de todos. Las posibles combinaciones son:

Permiso simbólico Notación binaria Notación octal

- - - 000 0

- - t 001 1

- s - 010 2

- s t 011 3

s - - 100 4

s - t 101 5

s s - 110 6

s s t 111 7

Si al ejemplo anterior, le añadimos algún permiso suplementario, rwxr-sr--, tenemos que la notación oc-

tal es 2754.



Una forma rápida de convertir permisos de Unix a notación octal consiste en sumar los valores 4, 2 y 1

para cada conjunto de tres permisos cunado están activos. Veamos un ejemplo:

Ejemplo:

Vamos a crear un archivo en la carpeta home del usuario autentificado y en el que vamos a cambiar los

permisos de acceso:

josemariatc@curso:~$ pwd

/home/josemariatc

josemariatc@curso:~$ ls -l

total 32

drwxr-xr-x 2 josemariatc josemariatc 4096 mar 18 17:43 Descargas

drwxr-xr-x 2 josemariatc josemariatc 4096 mar 18 17:43 Documentos

drwxr-xr-x 2 josemariatc josemariatc 4096 mar 18 17:43 Escritorio

drwxr-xr-x 2 josemariatc josemariatc 4096 mar 18 17:43 Imágenes

drwxr-xr-x 2 josemariatc josemariatc 4096 mar 18 17:43 Música

drwxr-xr-x 2 josemariatc josemariatc 4096 mar 18 17:43 Plantillas

drwxr-xr-x 2 josemariatc josemariatc 4096 mar 18 17:43 Público

drwxr-xr-x 2 josemariatc josemariatc 4096 mar 18 17:43 Vídeos

josemariatc@curso:~$ touch archivo


total 32

-rw-r--r-- 1 josemariatc josemariatc 0 mar 22 17:14 archivo











josemariatc@curso:~$ chmod u+x archivo


total 32

-rwxr--r-- 1 josemariatc josemariatc 0 mar 22 17:14 archivo









josemariatc@curso:~$

5.1.3 umask

Función:

Los permisos de acceso predeterminados de los nuevos archivos se definen por el valor de una másca-

ra que se aplica al conjunto de permisos estándar.

El valor habitual de esta máscara los usuarios normales es 002 en notación simbólica. En el caso de

los permisos de ejecución, nunca se activan de modo predeterminado, por lo que se quitan. La máscara

del administrador generalmente es 0022, otorgando menos confianza a su grupo que a un usuario nor-

mal.

Sintaxis:

umask [–opción] [modo]


-p Muestra la máscara del usuario

-S Muestra los permisos agrupados a nivel de usuario, grupo y otros.



Ejemplo:

Vamos a obtener la máscara del usuario. Después vamos a crear un archivo y una carpeta para ver los

permisos. Posteriormente, cambiamos la máscara del usuario y volvemos a crear otros archivos.

josemariatc@curso:~$ umask -p

umask 0022

josemariatc@curso:~$ umask -s

bash: umask: -s: opción inválida

umask: uso: umask [-p] [-S] [mode]

josemariatc@curso:~$ umask -S

u=rwx,g=rx,o=rx

josemariatc@curso:~$ touch archivo1

josemariatc@curso:~$ mkdir dir1


total 36


-rw-r--r-- 1 josemariatc josemariatc 0 mar 22 17:35 archivo1


drwxr-xr-x 2 josemariatc josemariatc 4096 mar 22 17:35 dir1








josemariatc@curso:~$ umask 002

josemariatc@curso:~$ touch archivo2

josemariatc@curso:~$ mkdir dir2


total 40


-rw-r--r-- 1 josemariatc josemariatc 0 mar 22 17:35 archivo1

-rw-rw-r-- 1 josemariatc josemariatc 0 mar 22 17:36 archivo2


drwxr-xr-x 2 josemariatc josemariatc 4096 mar 22 17:35 dir1



drwxrwxr-x 2 josemariatc josemariatc 4096 mar 22 17:36 dir2








5.2 Administradores de archivos

Son aplicaciones gráficas que permiten aplicar los permisos vistos hasta ahora de una forma más intui-

tiva. En Debian, el administrador instalado por defecto es Nautilus 2.30.1, cuyo sitio web oficial, en in

gles, es http://live.gnome.org/Nautilus. El aspecto que tiene es el del explorador de archivos de Windows:

Para ver los permisos concedidos a un archivo o directorio, nos situamos sobre él, hacemos click dere-

cho y elegimos Propiedades. De todas las pestañas que salen, elegimos Permisos, como no. El aspecto es

distinto si es un directorio o un archivo.

http://live.gnome.org/Nautilus



Para un directorio:

Para un archivo:

5.3 Midnight Comander o MC

Otro programa que podemos usar para gestionar todo lo visto en este tema es el MC. Para instalarlo, lo

buscamos en el gestor de paquetes Synaptic poniendo mc en la casilla de búsqueda rápida o tecleamos

en un terminal de root el siguiente código:

root@curso:/home/josemariatc# apt-get install mc


Página 29 de 29 BIBLIOGRAFÍA

6 Bibliografía

LINUX. Principios básicos del uso del sistema. Ediciones ENI. Serie: Recursos Informáticos.

Guía oficial de instalación de Debian 6.0. en el sitio web oficial de Debian.

Sitio web oficial de GNU: http://www.gnu.org/home.es.html.

Sitio web oficial de FHS: http://www.pathname.com/fhs/.

Manual Linux eminentemente práctico, que puedes obtener en este enlace:

http://personal.us.es/echevarria/documentos/ManualLinuxZonaSiete.pdf.

Dirección del blog del curso: http://cursotecnicoredes2011.wordpress.com

http://www.debian.org/index.es.html

http://www.gnu.org/home.es.html

http://www.pathname.com/fhs/

http://personal.us.es/echevarria/documentos/ManualLinuxZonaSiete.pdf

http://cursotecnicoredes2011.wordpress.com/

Documents

TEMA 7: PERMISOS DE ACCESOS A LOS ARCHIVOS · to, el nombre de identificación en el sistema, nombre corto o alias y, obligatoriamente, una contraseña. Además, el sistema operativo