Product SiteDocumentation Site

8.4. Bases de datos de usuarios y grupos

Generalmente se almacena la lista de usuarios en el archivo /etc/passwd y el archivo /etc/shadow almacena las contraseñas con hash. Ambos son archivos de texto en un formato relativamente simple que pueden leerse y modificarse con un editor de texto. Se muestra cada usuario en una línea con varios campos separados por dos puntos («:»).

NOTA Editando archivos de sistema

Los archivos de sistema mencionados en este capítulo generalmente son archivos en texto plano y pueden editarse con un editor de texto. Dada su importancia para el funcionamiento intrínseco del sistema siempre es buena idea tomar precauciones extras al editar archivos de sistema. Primero, siempre haga una copia o respaldo de un archivo de sistema antes de abrirlo o modificarlo. Segundo, en servidores o equipos en los que más de una persona puedan acceder al mismo archivo al mismo tiempo, tome las medidas adecuadas para evitar corrupción de archivos.
Para este propósito basta utilizar la orden vipw para editar el archivo /etc/passwd o vigr para editar /etc/group. Éstos programas bloquean el archivo en cuestión antes de ejecutar el editor de texto, (vi de forma predeterminada a menos que se haya modificado la variable de entorno EDITOR). La opción -s permitirá editar el archivo shadow correspondiente.

VOLVER A LOS CIMIENTOS Crypt, una función unidireccional

crypt es una función unidireccional que transforma una cadena (A) a otra cadena (B) de forma que no se pueda obtener A desde B. La única forma de identificar A es probar todos sus posibles valores, revisando uno por uno para verificar si la transformación utilizando dicha función produce B o no. Utiliza hasta 8 caracteres como entrada (la cadena A) y genera una cadena de 13 caracteres imprimibles ASCII (la cadena B).

8.4.1. Lista de usuarios: /etc/passwd

Esta es una lista de los campos en el archivo /etc/passwd:
  • nombre de usuario, por ejemplo rhertzog;
  • contraseña: esta es una contraseña cifrada por una función unidireccional (crypt), que utiliza DES, MD5, SHA-256 o SHA-512. El valor especial «x» indica que la contraseña cifrada está almacenada en /etc/shadow;
  • uid: número único que identifica a cada usuario;
  • gid: número único del grupo principal del usuario (de forma predeterminada, Debian crea un grupo específico para cada usuario);
  • GECOS: campo de datos que generalmente contiene el nombre completo del usuario;
  • directorio de inicio de sesión, asignado al usuario para almacenar sus archivos personales (al que generalmente apunta la variable de entorno $HOME);
  • programa a ejecutar al iniciar sesión. Generalmente es un intérprete de órdenes (consola) que le da libertad al usuario. Si especifica /bin/false (que no hace nada y vuelve el control inmediatamente), el usuario no podrá iniciar sesión.
Como ya se ha dicho anteriormente, se puede editar este archivo directamente. Pero hay formas más elegantes de aplicar cambios, que se describen en Sección 8.4.3, “Modificación de una cuenta o contraseña existente”.

VOLVER A LOS CIMIENTOS Grupo Unix

Un grupo Unix es una entidad que incluye varios usuarios para que puedan compartir archivos fácilmente utilizando el sistema de permisos integrado (obteniendo los mismos permisos). También puede restringir el uso de ciertos programas a un grupo específico.

8.4.2. El archivo de contraseñas ocultas y cifradas: /etc/shadow

El archivo /etc/shadow contiene los siguientes campos:
  • nombre de usuario;
  • contraseña cifrada;
  • varios campos que administran el vencimiento de la contraseña.
Se pueden hacer caducar las contraseñas usando este archivo o establecer el tiempo hasta que la cuenta se deshabilite después de que la contraseña haya caducado.

SEGURIDAD Seguridad del archivo /etc/shadow

A diferencia de su contraparte /etc/passwd, /etc/shadow no puede ser leído por usuarios normales. Cualquiera puede leer cualquier contraseña con hash en /etc/password; un «cracker» podría intentar «romper» (o revelar) una contraseña a través de alguno de los métodos de «fuerza bruta» que, de forma simplificada, adivinan las combinaciones de caracteres utilizadas frecuentemente. Este ataque — llamado «ataque de diccionario» — ya no es posible en sistemas que utilizan /etc/shadow.

DOCUMENTACIÓN El formato de los archivos /etc/passwd, /etc/shadow y /etc/group

These formats are documented in the following man pages: passwd(5), shadow(5), and group(5).

8.4.3. Modificación de una cuenta o contraseña existente

Los siguientes programas permiten modificar la información almacenada en campos específicos de la base de datos de usuarios: passwd le permite a un usuario normal cambiar su contraseña que, a su vez, actualiza el archivo /etc/shadow(chpasswd permite a los administradores actualizar las contraseñas de una lista de usuarios en modo batch); chfn (cambiar el nombre completo: «CHange Full Name»), reservado para el superusuario (root), modifica el campo GECOS. chsh (cambiar consola: «CHange SHell») le permite a un usuario cambiar su consola de inicio de sesión; sin embargo las opciones disponibles estarán limitadas a aquellas mencionadas en /etc/shells; el administrador, por el otro lado, no está limitado por esta restricción y puede configurar la consola a cualquier programa de su elección.
Finalmente chage (cambiar edad: «CHange AGE») permite al administrador cambiar la configuración de expiración de la contraseña (la opción -l usuario mostrará la configuración actual). También puede forzar la expiración de una contraseña utilizando la orden passwd -e usuario, que obligará al usuario a cambiar su contraseña la próxima vez que inicie sesión.
Además de estas herramientas el comando usermod permite modificar todos los detalles ya mencionados.

8.4.4. Desactivación de una cuenta

Puede verse en la necesidad de “deshabilitar una cuenta” (bloquear a un usuario), como medida disciplinaria, a efectos de una investigación, o simplemente en caso de ausencia prolongada o definitiva de un usuario. Una cuenta deshabilitada significa que el usuario no puede iniciar sesión ni obtener acceso a la máquina. La cuenta permanece intacta en la máquina y no se eliminan archivos ni datos; simplemente no es accesible. Esto se logra utilizando el comando passwd -l usuario (bloquear). Rehabilitar la cuenta se hace de forma similar, con la opción -u (desbloquear). Esto, sin embargo, solo evita los inicios de sesión basados en contraseña por parte del usuario. Es posible que el usuario aún pueda acceder al sistema mediante una clave SSH (si está configurada). Para evitar incluso esta posibilidad hay que cerrar también la cuenta utilizando chage -E 1usuario o usermod -e 1 usuario(dando un valor de -1 en cualquiera de estos comandos se restablecerá la fecha de caducidad a nunca). Para deshabilitar (temporalmente) todas las cuentas de usuario sólo hay que crear el archivo /etc/nologin.
Puede desactivar una cuenta de usuario no sólo bloqueándola como ya se ha descrito, sino también cambiando su shell de inicio de sesión por defecto (chsh -s shell usuario). Cambiando el último por /usr/sbin/nologin, el usuario recibe un educado mensaje informandole de que no es posible iniciar sesión, mientras que /bin/false simplemente devolvuelve falso. No hay forma de restaurar el shell anterior. Tiene que obtener y conservar esa información antes de cambiar la configuración. Estos shells se utilizan a menudo para los usuarios del sistema que no requieren ninguna disponibilidad de inicio de sesión.

YENDO MÁS ALLÁ NSS y bases de datos de sistema

En lugar de utilizar los archivos usuales para administrar la lista de usuarios y grupos puede utilizar otros tipos de bases de datos como LDAP o db utilizando el módulo NSS (cambio de servicio de nombres: «Name Service Switch»). Puede encontrar una lista de los módulos utilizados en el archivo /etc/nsswitch.conf bajo los elementos passwd, shadow y group. Revise la Sección 11.7.3.1, “Configuración de NSS” para un ejemplo específico sobre el uso de un módulo NSS para LDAP.

8.4.5. Lista de grupos: /etc/group

Se enumeran los grupos en el archivo /etc/group, una simple base de datos de texto en un formato similar al del archivo /etc/passwd con los siguientes campos:
  • nombre del grupo;
  • contraseña (opcional): sólo es utilizada para unirse a un grupo cuando no es un miembro normal (con newgrp o sg, revise el recuadro VOLVER A LOS CIMIENTOS Trabajar con varios grupos);
  • gid: número único de identificación del grupo;
  • lista de miembros: lista separados por comas de nombres de usuario que son miembros del grupo.

VOLVER A LOS CIMIENTOS Trabajar con varios grupos

Cada usuario puede ser miembro de varios grupos, uno de los cuales es su «grupo principal». El grupo principal de un usuario se crea de forma predeterminada durante la configuración inicial del usuario. De forma predeterminada, cada archivo que cree el usuario pertenece a él así como también a su grupo principal. Esto no es siempre el comportamiento deseado; por ejemplo, cuando el usuario necesita trabajar en un directorio compartido por un grupo distinto a su grupo principal. En este caso, el usuario necesita cambiar el grupo principal utilizando una de las siguientes órdenes: newgrp que inicia una nueva consola, o sg que simplemente ejecuta una orden utilizando un grupo alternativo que se provea. Estas órdenes le permiten al usuario unirse a un grupo al que no pertenecen. Si el grupo está protegido por una contraseña necesitarán proveerla antes de ejecutar la orden.
De forma alternativa, el usuario puede activar el bit setgid en el directorio, que causa que los archivos creados en él pertenezcan al grupo correcto automáticamente. Para más detalles revise el recuadro SEGURIDAD Directorios setgid y el bit «sticky» (pegajoso).
La orden id muestra el estado actual del usuario, con su identificador personal (la variable uid), su grupo principal actual (la variable gid) y la lista de grupos a los que pertenece (la variable groups).
Los programas addgroup y delgroup agregan o eliminan un grupo respectivamente. groupmod modifica la información de un grupo (su identificador o gid). La orden gpasswd grupo cambia la contraseña del grupo mientras que gpasswd -r grupo elimina dicha contraseña.

SUGERENCIA getent

El programa getent (obtener elementos: «get entries») revisa las bases de datos de sistema de la forma estándar, utilizando las funciones de la biblioteca apropiada que, a su vez, llaman a los módulos NSS configurados en el archivo /etc/nsswitch.conf. El programa acepta uno o dos parámetros: el nombre de la base de datos a revisar y una posible clave de búsqueda. Por lo tanto, la orden getent passwd rhertzog proveerá la información de la base de datos de usuarios sobre el usuario rhertzog.