uno de los pilares básicos de la solidez de los sistemas GNU/Linux es su potente gestión de usuarios y de permisos.En este artículo veremos como hacer un correcto uso de esta gestión, aumentando en gran medida la seguridad de nuestro sistema, tanto local como remota.
Tipos de cuentas de usuario
Existen varios tipos de cuentas de usuario que dan diferentes niveles de acceso para el uso y administración del sistema. Asegúrate de estar usando siempre la cuenta de usuario adecuada a tus necesidades, una cuenta con más permisos de los necesarios también implica más riesgos de los necesarios.
Usuario con permisos administrativos
Este es el usuario que se crea durante la instalación del sistema, tiene permiso para usar todas las aplicaciones instaladas, guardar o modificar contenidos en su carpeta personal y puede asumir temporalmente las funciones de administrador mediante la orden sudo.
Este es el usuario indicado para el trabajo diario y la administración de sistemas de escritorio habituales.
Usuario sin permisos administrativos
Este es el tipo de usuarios que se crean desde el menú Sistema - Administración - Usuarios y grupos, tiene permiso para usar todas las aplicaciones y guardar o modificar informaciones en su carpeta personal. No podrá ejercer tareas administrativas ni usar el comando sudo.
Creación de un usuarioSi necesitas crear más usuarios para que otras personas usen tu sistema es conveniente el uso de este tipo de cuentas. Así pase lo que pase no podrán alterar la configuración del sistema, sólo sus opciones personales.
En caso de que necesites dar permisos administrativos a estos usuarios puedes hacerlo desde el menú Sistema - Administración - Usuarios y grupos - Ajustes avanzados - Privilegios de usuario - Administrar el sistema
Ajustes avanzados - Privilegios de usuario
Usuario invitado
Esta cuenta, presente en Ubuntu y en algunas otras distribuciones permite el acceso al sistema con un usuario sin privilegios, carece de contraseña y permite el uso de la mayoría de aplicaciones, pero no guardar o modificar datos ni por supuesto asumir tareas administrativas. (Podrá guardar datos pero éstos se perderán al cerrar la sesión).
Este tipo de cuenta es muy útil en ordenadores de acceso público, demostraciones, o cualquier situación en la que quieras que alguien pueda usar el sistema sin alterar nada.
Para acceder a esta cuenta debes hacerlo desde una sesión de usuario ya iniciada haciendo clic en el applet de control de sesión y selecciona Sesión de invitado.
Acceso al usuario invitado
Usuario root
Este es el usuario administrativo tradicionalmente usado en todas las distribuciones GNU/Linux, sin embargo en Ubuntu se ha desactivado esta cuenta y en su lugar se usa el comando sudo.
Las ventajas del uso de sudo frente a root son: minimizar la posibilidad de desastres por descuido al estar la cuenta administrativa activa durante menos tiempo, hacer más consciente al usuario de qué acciones entrañan peligro y cuales no o acostumbrarse a usar permisos administrativos sólo cuando son estrictamente necesarios, entre muchas otras razones.
Algunos usuarios no acostumbrados al modo de trabajar de Ubuntu insisten en la activación de esta cuenta (poniendo en peligro la seguridad del sistema). Si este es tu caso la activación de la cuenta root se hace con la orden:
sudo passwd root
Esto asignará una contraseña al usuario root permitiendo su acceso al sistema y el uso del comando su. Una vez acabada la tarea administrativa en cuestión es recomendable volver a desactivar esta cuenta con la orden:
sudo passwd -l root
Contraseñas
La contraseña es la llave que cierra la puerta de la privacidad de cada usuario. Por este motivo vale la pena dedicarle un poco de tiempo a la elección de la contraseña.
Criterios para elegir una contraseña:
Deberá tener una longitud mínima de 6 caracteres
Preferiblemente que contenga combinaciones de mayúsculas, minúsculas, símbolos y números
No deberá contener ningún carácter fácilmente deducible por los datos "visibles" del usuario (es decir evita contraseñas del tipo usuario1)
Preferiblemente usa contraseñas creadas aleatoriamente
Ejemplos de malas combinaciones usuario/contraseña: usuario/usuario1, root/toor, usuario/1234, usuario/aaaaaaaa, usuario/apellido
Ejemplos de buenas contraseñas: ffagh61w, Op9%ssas
Si tu contraseña no cumple estos requisitos puede ser fácilmente "rebentada" por programas de fuerza bruta. Para cambiar la contraseña y asignar una mejor usa el menú Sistema - Administración - Usuarios y grupos - Cambiar contraseña
Usuario invitado
Esta cuenta, presente en Ubuntu y en algunas otras distribuciones permite el acceso al sistema con un usuario sin privilegios, carece de contraseña y permite el uso de la mayoría de aplicaciones, pero no guardar o modificar datos ni por supuesto asumir tareas administrativas. (Podrá guardar datos pero éstos se perderán al cerrar la sesión).
Este tipo de cuenta es muy útil en ordenadores de acceso público, demostraciones, o cualquier situación en la que quieras que alguien pueda usar el sistema sin alterar nada.
Para acceder a esta cuenta debes hacerlo desde una sesión de usuario ya iniciada haciendo clic en el applet de control de sesión y selecciona Sesión de invitado.
Acceso al usuario invitadoUsuario root
Este es el usuario administrativo tradicionalmente usado en todas las distribuciones GNU/Linux, sin embargo en Ubuntu se ha desactivado esta cuenta y en su lugar se usa el comando sudo.
Las ventajas del uso de sudo frente a root son: minimizar la posibilidad de desastres por descuido al estar la cuenta administrativa activa durante menos tiempo, hacer más consciente al usuario de qué acciones entrañan peligro y cuales no o acostumbrarse a usar permisos administrativos sólo cuando son estrictamente necesarios, entre muchas otras razones.
Algunos usuarios no acostumbrados al modo de trabajar de Ubuntu insisten en la activación de esta cuenta (poniendo en peligro la seguridad del sistema). Si este es tu caso la activación de la cuenta root se hace con la orden:
sudo passwd root
Esto asignará una contraseña al usuario root permitiendo su acceso al sistema y el uso del comando su. Una vez acabada la tarea administrativa en cuestión es recomendable volver a desactivar esta cuenta con la orden:
sudo passwd -l root
Contraseñas
La contraseña es la llave que cierra la puerta de la privacidad de cada usuario. Por este motivo vale la pena dedicarle un poco de tiempo a la elección de la contraseña.
Criterios para elegir una contraseña:
Deberá tener una longitud mínima de 6 caracteres
Preferiblemente que contenga combinaciones de mayúsculas, minúsculas, símbolos y números
No deberá contener ningún carácter fácilmente deducible por los datos "visibles" del usuario (es decir evita contraseñas del tipo usuario1)
Preferiblemente usa contraseñas creadas aleatoriamente
Ejemplos de malas combinaciones usuario/contraseña: usuario/usuario1, root/toor, usuario/1234, usuario/aaaaaaaa, usuario/apellido
Ejemplos de buenas contraseñas: ffagh61w, Op9%ssas
Si tu contraseña no cumple estos requisitos puede ser fácilmente "rebentada" por programas de fuerza bruta. Para cambiar la contraseña y asignar una mejor usa el menú Sistema - Administración - Usuarios y grupos - Cambiar contraseña
Cambiar contraseña
Es muy tentador desactivar la contraseña del usuario para hacer más cómodo el acceso, esto sería equivalente a dejar siempre el coche abierto para no tener que abrirlo (y con las llaves puestas!). Intenta evitar las opciones No preguntar de nuevo la contraseña al iniciar sesión (del menú Usuarios y grupos) y Acceder como usuario automáticamente (del menú Pantalla de acceso)
Es muy tentador desactivar la contraseña del usuario para hacer más cómodo el acceso, esto sería equivalente a dejar siempre el coche abierto para no tener que abrirlo (y con las llaves puestas!). Intenta evitar las opciones No preguntar de nuevo la contraseña al iniciar sesión (del menú Usuarios y grupos) y Acceder como usuario automáticamente (del menú Pantalla de acceso)
Desactiva el acceso automático al sistema
Cambiar permisos y grupos
Todos de los sistemas de ficheros comunes en GNU/Linux soportan un completo sistema de permisos, que asigna a cada archivo/directorio: un propietario, un grupo y permisos de lectura (r) / escritura (w) / ejecución (x) independientes para el propietario, el grupo y el resto de usuarios.
Veamoslo más claro con un ejemplo, el comando ls -l nos mostrará todos estos datos:
ls -l
-rw-r----- 1 dani users 77951 2010-07-06 18:24 screenshot_001.png
En este ejemplo el archivo screenshot_001.png es propiedad del usuario dani, pertenece al grupo users y sus permisos son: lectura y escritura para el propietario (los primeros rw-), lectura para el resto de usuarios del grupo users (r--) y ningún tipo de acceso para el resto de usuarios del sistema (---).
En ocasiones podemos encontrarnos que no tenemos permisos para realizar una u otra acción sobre un archivo (por ejemplo no podemos ejecutar un archivo descargado, o el editor nos avisa de que no podemos guardar cambios sobre un archivo de texto). La solución NO es convertirse en root, la solución es establecer correctamente los permisos del archivo.
Para cambiar los permisos de un archivo usaremos el comando chmod (con sudo si el archivo no es de nuestra propiedad). A cada tipo de permiso se le asigna un numero: lectura=4, escritura=2, ejecución=1, estos permisos pueden sumarse y deben informarse para el propietario, grupo y resto de usuarios. Veamos algunos ejemplos:
chmod 777 archivo # asigna permiso lectura(4) + escritura(2) + ejecución(1) para el propietario, grupo y resto de usuarios
chmod 600 # asigna permiso lectura(4) + escritura(2) al propietario, grupo y resto de usuarios no tienen acceso
chmod 755 # todos los permisos para el propietario, lectura y ejecución para el resto
Si estos comandos te parecen muy complicados siempre puedes usar el gestor de archivos para cambiar los permisos haciendo clic con el botón derecho sobre el archivo que quieres cambiar y eligiendo Propiedades - Permisos
Cambiar permisos y grupos
Todos de los sistemas de ficheros comunes en GNU/Linux soportan un completo sistema de permisos, que asigna a cada archivo/directorio: un propietario, un grupo y permisos de lectura (r) / escritura (w) / ejecución (x) independientes para el propietario, el grupo y el resto de usuarios.
Veamoslo más claro con un ejemplo, el comando ls -l nos mostrará todos estos datos:
ls -l
-rw-r----- 1 dani users 77951 2010-07-06 18:24 screenshot_001.png
En este ejemplo el archivo screenshot_001.png es propiedad del usuario dani, pertenece al grupo users y sus permisos son: lectura y escritura para el propietario (los primeros rw-), lectura para el resto de usuarios del grupo users (r--) y ningún tipo de acceso para el resto de usuarios del sistema (---).
En ocasiones podemos encontrarnos que no tenemos permisos para realizar una u otra acción sobre un archivo (por ejemplo no podemos ejecutar un archivo descargado, o el editor nos avisa de que no podemos guardar cambios sobre un archivo de texto). La solución NO es convertirse en root, la solución es establecer correctamente los permisos del archivo.
Para cambiar los permisos de un archivo usaremos el comando chmod (con sudo si el archivo no es de nuestra propiedad). A cada tipo de permiso se le asigna un numero: lectura=4, escritura=2, ejecución=1, estos permisos pueden sumarse y deben informarse para el propietario, grupo y resto de usuarios. Veamos algunos ejemplos:
chmod 777 archivo # asigna permiso lectura(4) + escritura(2) + ejecución(1) para el propietario, grupo y resto de usuarios
chmod 600 # asigna permiso lectura(4) + escritura(2) al propietario, grupo y resto de usuarios no tienen acceso
chmod 755 # todos los permisos para el propietario, lectura y ejecución para el resto
Si estos comandos te parecen muy complicados siempre puedes usar el gestor de archivos para cambiar los permisos haciendo clic con el botón derecho sobre el archivo que quieres cambiar y eligiendo Propiedades - Permisos
Propiedades - Permisos
Otro error común es que el propietario o grupo del archivo no estén bien asignados (esto ocurre por ejemplo si usas algunos programas con root cuando no debes). De nuevo la solución NO es convertirse en root (más bien esto es el origen del problema), la solución es establecer correctamente el propietario y grupo del archivo.
Para esto usa el comando chown (con sudo si el archivo no es de tu propiedad). Su uso es bastante sencillo, con un ejemplo bastará:
sudo chown dani:dani archivo # asigna el propietario dani y el grupo dani al archivo
Otro error común es que el propietario o grupo del archivo no estén bien asignados (esto ocurre por ejemplo si usas algunos programas con root cuando no debes). De nuevo la solución NO es convertirse en root (más bien esto es el origen del problema), la solución es establecer correctamente el propietario y grupo del archivo.
Para esto usa el comando chown (con sudo si el archivo no es de tu propiedad). Su uso es bastante sencillo, con un ejemplo bastará:
sudo chown dani:dani archivo # asigna el propietario dani y el grupo dani al archivo
0 comentarios :
Publicar un comentario