Upload
aprende-viendo
View
358
Download
0
Embed Size (px)
Citation preview
Parte IV. Configuración del sistema Part of a system administrator's job is configuring the system for various tasks, types of users, and
hardware configurations. This section explains how to configure a Red Hat Enterprise Linux system.
453
Acceso a consola Cuando los usuarios normales (no root) se registran en un equipo localmente, se les conceden dos
tipos de permisos especiales:
1. Pueden ejecutar ciertos programas que de otra forma no podrían ejecutar.
2. Pueden tener acceso a ciertos archivos (normalmente archivos de dispositivos especiales usados
para acceder a disquetes, CD-ROMs, etc) a los que no tendrían acceso de otro manera.
Puesto que un equipo tiene varias consolas y varios usuarios pueden registrarse a la vez localmente,
uno de los usuarios tiene que ganar la carrera para acceder a los archivos. El primer usuario que se
registra en la consola será el propietario de dichos archivos. Una vez que el primer usuario sale de la
sesión, el siguiente usuario que se registra pasa a ser el propietario de los archivos.
En contraste, cada usuario que se registra en la consola podrá ejecutar programas que realizan
tareas normalmente restringidas para ser ejecutadas por el usuario root. Si se ejecuta el sistema X,
estas acciones se pueden incluir como elementos del menú en una interfaz gráfica de usuario. Tal
y como se distribuyen, los programas accesibles desde una consola incluyen los comandos halt,
poweroff, y reboot.
27.1. Deshabilitando el apagado a través de Ctrl+Alt+Del Por defecto, /etc/inittab especifica que su sistema está configurado para apagarse y rearrancar
el sistema si se utiliza la combinación de teclas Ctrl+Alt+Del en la consola. Si desea desactivar
completamente esta opción, deberá colocar en comentario la línea /etc/inittab colocando un
símbolo de numeral o almohadilla (#) en frente a ella:
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
Opcionalmente, puede que también quiera permitir a algunos usuarios no root a que tengan derechos
para apagar el sistema desde la consola con la combinación de teclas Ctrl+Alt+Del. Para limitar
este privilegio a determinados usuarios, siga los pasos siguientes:
1. Agregue la opción -a a la línea /etc/inittab mostrada arriba, de modo que se lea lo
siguiente:
ca::ctrlaltdel:/sbin/shutdown -a -t3 -r now
El indicador -a indica al comando shutdown que debe buscar el archivo /etc/
shutdown.allow.
2. Cree un archivo denominado shutdown.allow en /etc. El archivo shutdown.allow debe
mostrar los nombres de los usuarios que pueden apagar el sistema con la combinación de teclas
Ctrl+Alt+Del. El formato del archivo shutdown.allow es una lista de nombres de usuario en
cada línea. Por ejemplo:
stephen
jack
sophie
De acuerdo a este archivo de ejemplo shutdown.allow los usuarios stephen, jack y sophie
pueden apagar el sistema desde la consola con Ctrl+Alt+Del . Cuando se utiliza esta combinación
454
Colocar los archivos accesibles desde la consola
de teclas, shutdown -a en /etc/inittab comprueba si alguno de los usuarios en /etc/
shutdown.allow (o root) están conectados en una consola virtual. Si alguno de ellos lo está, el
apagado del sistema continuará; en caso contrario, se registrará un mensaje de error en la consola
del sistema.
Para más información sobre shutdown.allow, consulte la página man para shutdown.
27.2. Desactivación del acceso a programas de la consola Para desactivar el acceso de los usuarios a los programas de la consola, debe ejecutar el siguiente
comando como root:
rm -f /etc/security/console.apps/*
En los entornos en los que la consola tiene otro sistema de seguridad (se han establecido
contraseñas en la BIOS y en el gestor de arranque, se ha desactivado la combinación de
teclas Ctrl+Alt+Delete, se han desabilitado los interruptores de encendido y reinicio, etc.),
probablemente no desee que ningún usuario que trabaje en una consola ejecute los comandos
poweroff, halt, y reboot, a los que de manera predeterminada se puede tener acceso desde la
consola.
Para quitar estas opciones, ejecute los siguientes comandos como root:
rm -f /etc/security/console.apps/poweroff
rm -f /etc/security/console.apps/halt
rm -f /etc/security/console.apps/reboot
27.3. Definición de la consola El módulo pam_console.so usa el archivo /etc/security/console.perms para determinar los
permisos que tienen los usuarios en la consola del sistema. La sintaxis del archivo es muy flexible;
puede modificar el archivo para que estas instrucciones dejen de ser válidas. Sin embargo, el archivo
por defecto tiene una línea similar a la siguiente:
<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :[0-9]\.[0-9] :[0-9]
Cuando los usuarios se registran, se conectan a algún terminal, bien sea un servidor X con un nombre
como :0 o mymachine.example.com:1.0 o un dispositivo como /dev/ttyS0 o /dev/ pts/2. La
opción por defecto es definir esas consolas virtuales locales y que los servidores X locales se
consideren locales, pero si desea considerar también el terminal serial próximo en el puerto /dev/
ttyS1 puede cambiar la línea para que muestre:
<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :[0-9]\.[0-9] :[0-9] /dev/ttyS1
455
Colocar los archivos accesibles desde la consola
27.4. Colocar los archivos accesibles desde la consola La configuración predeterminada para las definiciones de permisos y de clases de dispositivos
individuales se encuentran definidas en /etc/security/console.perms.d/50-
default.perms. Para modificar permisos de archivos y de dispositivos se aconseja que cree
un nuevo archivo predeterminado en /etc/security/console.perms.d/ que contenga
su configuración preferida para un grupo especial de archivos o dispositivos. El nombre de un
archivo nuevo predeterminado debe comenzar con un número mayor que 50 (por ejemplo, 51-
default.perms) para substituir 50-default.perms.
Para lograr esto, cree un nuevo archivo denominado 51-default.perms en /etc/security/
console.perms.d/:
touch /etc/security/console.perms.d/51-default.perms
Abra el archivo predeterminado original perms, 50-default.perms. La primera sección define
clases de dispositivos de una manera similar a esto:
<floppy>=/dev/fd[0-1]* \
/dev/floppy/* /mnt/floppy*
<sound>=/dev/dsp* /dev/audio* /dev/midi* \
/dev/mixer* /dev/sequencer \
/dev/sound/* /dev/beep \
/dev/snd/*
<cdrom>=/dev/cdrom* /dev/cdroms/* /dev/cdwriter* /mnt/cdrom*
Items enclosed in brackets name the device; in the above example, <cdrom> refers to the CD-
ROM drive. To add a new device, do not define it in the default 50-default.perms file; instead,
define it in 51-default.perms. For example, to define a scanner, add the following line to 51-
default.perms:
<scanner>=/dev/scanner /dev/usb/scanner*
Por supuesto, debe utilizar el nombre apropiado del dispositivo. Asegúrese de que /dev/scanner es
realmente su scanner y no el disco duro, por ejemplo.
Una vez que haya definido apropiadamente un dispositivo o un archivo, el segundo paso
es especificar sus definiciones de permisos. La segunda sección de /etc/security/
console.perms.d/50-default.perms define esto de una manera similar a esto:
<console> 0660 <floppy> 0660 root.floppy
<console> 0600 <sound> 0640 root
<console> 0600 <cdrom> 0600 root.disk
Para definir permisos para un escáner añada una línea similar a esta en 51-default.perms:
<console> 0600 <scanner> 0600 root
Luego, cuando se registre en la consola, tendrá derechos de propiedad sobre el dispositivo /dev/
scanner y los permisos serán 0600 (permiso exclusivo de lectura y escritura). Cuando cierre la
sesión, el dispositivo será propiedad de root y seguirá teniendo permisos 0600 (ahora: permiso
exclusivo de lectura y escritura para el usuario root).
456
Colocar los archivos accesibles desde la consola
Advertencia
Nunca debe modificar el archivo por defecto 50-default.perms. Para modificar
permisos para un dispositivo que ya ha sido definido en 50-default.perms añada
la definición del permiso deseado para ese dispositivo en 51-default.perms. Esto
sustituirá los permisos definidos en 50-default.perms.
27.5. Activación del acceso a la consola para otras
aplicaciones Si desea que los usuarios de la consola puedan acceder a otras aplicaciones tendrá que trabajar un
poco más.
En primer lugar, el acceso a la consola sólo funciona para las aplicaciones que residen en /sbin/
o /usr/sbin/, de modo que la aplicación que desee ejecutar deberá estar ubicada en este lugar.
Después de verificar esto, siga los siguientes pasos:
1. Cree un vínculo del nombre de la aplicación, como el programa ejemplo foo, en la aplicación /
usr/bin/consolehelper:
cd /usr/bin ln -s consolehelper foo
2. Cree el archivo /etc/security/console.apps/foo:
touch /etc/security/console.apps/foo
3. Cree un archivo de configuración de PAM para el servicio foo en /etc/pam.d/. Un modo
sencillo de realizar esto es empezar con una copia del archivo de configuración del servicio halt
y luego modificar el archivo si desea cambiar su comportamiento:
cp /etc/pam.d/halt /etc/pam.d/foo
Now, when /usr/bin/foo is executed, consolehelper is called, which authenticates the user with
the help of /usr/sbin/userhelper. To authenticate the user, consolehelper asks for the user's
password if /etc/pam.d/foo is a copy of /etc/pam.d/halt (otherwise, it does precisely what is
specified in /etc/pam.d/foo) and then runs /usr/sbin/foo with root permissions.
En el archivo de configuración PAM, una aplicación puede ser configurada para usar el módulo
pam_timestamp para recordar (caché) un intento de conexión exitoso. Cuando una aplicación inicia y
se proporciona una autentificación adecuada (la contraseña de root), se crea un archivo timestamp.
Por defecto, una validación con éxito está cacheada durante cinco minutos. Durante este tiempo,
cualquier otra aplicación que sea configurada para usar pam_timestamp y ejecutar desde la misma
sesión, está automáticamente autenticada para el usuario — el usuario no tiene que introducir la
contraseña de root de nuevo.
Este módulo está incluido en el paquete pam. Para activar esta característica, el archivo de
configuración PAM en etc/pam.d/ debe incluir las líneas siguientes:
457
Colocar los archivos accesibles desde la consola
auth
include
config-util account include config-util session include config-util
Estas líneas pueden ser copiadas desde cualquier archivo de configuración
/etc/pam.d/system- config-*. Observe que estas líneas se tienen que añadir por
debajo de cualquier otra línea auth sufficient session optional en su archivo de
configuración PAM.
If an application configured to use pam_timestamp is successfully authenticated from the
Applications (the main menu on the panel), the icon is displayed in the notification
area of the panel if you are running the GNOME or KDE desktop environment. After the
authentication expires (the default is five minutes), the icon disappears.
El usuario puede seleccionar olvidar la autentificación cacheada al pulsar el icono y
seleccionar la opción de olvidar la autentificación.
27.6. El Grupo floppy If, for whatever reason, console access is not appropriate for you and your non-root users
require access to your system's diskette drive, this can be done using the floppy group.
Add the user(s) to the floppy group using the tool of your choice. For example, the
gpasswd command can be used to add user fred to the floppy group:
gpasswd -a fred floppy
Now, user fred is able to access the system's diskette drive from the console.