Javi Felices@javifelices
Con respecto a usuarios se manejan dos archivos:
etc/passwd → Se encuentra la información de todos los usuarios, incluido el usuario root.
etc/shadow → Se encuentran las contraseñas de los usuarios, encriptadas, para que no sean visualizadas con facilidad.
Abriendo el archivo passwd nos encontramos todos los usuarios, el primero de la lista es el usuario root, y al final los usuarios creados, soporte, apoyo, javifelices, pruebas…. El resto de usuarios son creados en la instalación del SSOO. Cada servicio, por lo general, suele tener un usuario para su ejecución.
Ahora vamos a ver qué significa cada parte, columna o campo de un usuario, que como podemos observar, vienen separadas por los dos puntos (:). Por ejemplo:
apoyo:x:1000:1000:Apoyo,,,:/home/apoyo:/bin/bash
Nombre de usuario (apoyo)
Contraseña cifrada usando el sistema shadow (/etc/shadow) (x)
id del usuario (1000)
id del grupo primario del usuario (1000)
Descripción del usuario (Nombre Completo, y pueden haber otros datos). (Apoyo).
Directorio home del usuario. No siempre tiene que estar ahí, se puede modificar para que esté en otro directorio, aunque lo “normal” en sistemas Unix, es que esté de esta forma. (/home/apoyo)
Ruta de la shell asignada al usuario (/bin/bash).
Por defecto, el id del primer usuario creado manualmente es 1000, así como del grupo.
En el archivo /etc/shadow podemos ver las contraseñas de los usuarios cifradas, así como las políticas de estas contraseñas.
Igual que con el archivo passwd hay una serie de campos, vamos a usar al usuario root, como ejemplo, para identificarlos:
root:$6$M0kez/EI$bfBkuhITpHhVKtALwlRR9GFd/5AN.X0DQu9wJzN4PjmVFZcrzmSUqI7YJMd0CXNjJ3fCZFmjPI/epgZF2wpy8.:17372:0:99999:7:::
Nombre de usuario (root).
Contraseña del usuario cifrada, usando el método SHA512 ($6$M … py8.). En SHA512 empieza por $6, si fuera md5 sería $1, SHA256 $5.
Fecha del último cambio de contraseña en formato UNIX EPOCH (17372).
Duración mínima de la contraseña en días (0).
Duración máxima de la contraseña en días (99999).
Número de días para mostrar la advertencia de expiración de contraseña (7).
Fecha en la que la cuenta será deshabilitada ().
Campo reservado, sin uso actual ().
Con el comando chage -l podemos ver la política de contraseñas de un usuario en concreto, pongamos un ejemplo.
root@debian-apoyo:~# chage -l root
Último cambio de contraseña :jul 25, 2017
La contraseña caduca : nunca
Contraseña inactiva : nunca
La cuenta caduca : nunca
Número de días mínimo entre cambio de contraseña : 0
Número de días máximo entre cambio de contraseña : 99999
Número de días de aviso antes de que caduque la contraseña : 7
Si queremos añadir una política indicaremos chage usuario.
De la misma manera, la información de los grupos de usuarios se manejan estos dos archivos:
etc/group → Se encuentra la información de todos los grupos usuarios.
etc/gshadow → Se encuentran las contraseñas de los grupos de usuarios, encriptadas, para que no sean visualizadas con facilidad.
Como en los casos anteriores podemos ver dichos archivos, empezando por group, donde tenemos los siguientes campos, usaremos el grupo apoyo, como ejemplo:
apoyo:x:1000:
Al crear un usuario si no especificamos el nombre del grupo primario de este, por defecto, toma el nombre de usuario, como nombre de grupo.
Nombre del grupo primario de usuario (apoyo).
Contraseña cifrada usando el sistema shadow (/etc/gshadow) (x)
id del grupo de usuario (1000).
Miembros, en este caso, lista de usuarios miembros ().
Como podemos ver, el id del usuario y el id del grupo primario es el mismo, porque por defecto no se asignó un nombre de grupo primario diferente, de no ser así, no se cumpliría.
En el caso del fichero gshadow nos encontramos que no hay contraseñas asignadas, por ser un método inseguro, nada recomendable, y por ello, no usado.
En el fichero shadow o gshadow podemos ver después del nombre de usuario o de grupo, que no viene una x, haciendo referencia a la contraseña cifrada, nos podemos encontrar con un signo de admiración o dos, o un asterisco. Esto quiere decir:
! → No tiene contraseña en sistemas Debian
!! → No tiene contraseña en sistemas Centos