También necesitaremos entender cómo administrar grupos. El concepto de grupos en Linux no es muy diferente del de otras plataformas y prácticamente cumple exactamente el mismo propósito. Con los grupos, puede controlar de manera más eficiente el acceso de un usuario a los recursos en su servidor. Al asignar un grupo a un recurso (un archivo, directorio, etc.), puede permitir y no permitir el acceso a los usuarios simplemente agregándolos o eliminándolos del grupo.
La forma en que esto funciona en Linux es que cada archivo o directorio tiene tanto un usuario como un grupo que se apropia de él. Esto es contrario a plataformas como Windows, que pueden tener múltiples grupos asignados a un solo recurso. Con Linux, es solo una propiedad uno a uno: solo un usuario y solo un grupo asignado a cada archivo o directorio. Si enumera el contenido de un directorio en un sistema Linux, puede verlo usted mismo:
ls -l
La siguiente es una línea de salida de muestra de un directorio en uno de mis servidores:
-rw-r--r-- 1 root noel 490 2013-04-15 22:05 tmux.conf
En este caso, podemos ver que el root posee el archivo y que también se le asigna noel de grupo. Ignora los otros campos por ahora; Los explicaré más adelante cuando lleguemos a la sección de este capítulo dedicada a los permisos. Por ahora, solo tenga en cuenta que un usuario y un grupo están asignados a cada archivo o directorio.
Esto quiere decir que un fichero o directorio sólo puede tener un sólo grupo asignado. Cualquier cuenta de usuario puede ser miembro de dicho grupo. El comando groups te brindará la información sobre a los grupos que perteneces.
Probablemente has visto que cada cuenta de usuario es miembro de un grupo, un grupo que es nombrado igual que la cuenta de usuario.
Si quieres saber que grupos existen en tu sistema, existe el archivo /etc/group el cual contiene la información de los grupos creados.
Aquí aparece la siguiente información la cual también está separada por dos puntos, pero sólo hay 4 columas:
- nombre del grupo
- contraseña del grupo la cual no es usada comunmente
- GUI
- Miembros del grupo
Para crear un grupo se realiza con el siguiente comando
sudo groupadd test
Si deseas borrar un grupo el siguiente comando lo hara:
sudo groupdel test
Ahora para agregar a un usuario a un grupo se utiliza el comando usermod:
sudo usermod -aG test chino
En el ejemplo anterior pasamos la opción -a que significa append, posteriormente -G que significa modificar un grupo secundario, por lo cual no reemplazará el grupo primario.
En cambio si deseas cambiar el grupo primario se usa el siguiente comando:
sudo usermod -g <grupo> <usuario>
Si desea eliminar un usuario de un grupo, puede usar el comando gpasswd para hacerlo. gpasswd -d hará el truco:
sudo gpasswd -d <usuario> <grupo>
De hecho, gpasswd también se puede usar en lugar de usermod para agregar un usuario a un grupo:
sudo gpasswd -a <usuario> <grupo>
Configurar el acceso del administrador con sudo
Por ahora, ya hemos usado sudo varias veces en este libro. En este punto, ya debería ser consciente del hecho de que sudo le permite ejecutar comandos como si hubiera iniciado sesión como root. Sin embargo, aún no hemos tenido una discusión formal al respecto, ni hemos discutido cómo modificar realmente cuáles de sus cuentas de usuario pueden utilizar sudo.
En todos los sistemas Linux, debe proteger su cuenta raíz con una contraseña segura y limitarla para que sea utilizada por la menor cantidad de personas posible. En Ubuntu, la cuenta raíz está bloqueada de todos modos, por lo que, a menos que la haya desbloqueado configurando una contraseña, no se puede usar para iniciar sesión en el sistema. Usar sudo es una alternativa al uso de root, por lo que puede dar acceso a sus administradores para realizar tareas de root con sudo sin darles su contraseña de root o desbloquear la cuenta de root. De hecho, sudo te permite ser un poco más granular. Usar root es básicamente todo o nada: si alguien conoce la contraseña de root y la cuenta de root está habilitada, esa persona es no limitado y puede hacer lo que quiera. Con sudo, eso también puede ser cierto, pero en realidad puede restringir que algunos usuarios usen solo comandos particulares con sudo y, por lo tanto, limitar el alcance de lo que pueden hacer en el sistema. Por ejemplo, podría dar acceso a un administrador para instalar actualizaciones de software pero no permitirle reiniciar el servidor.
Por defecto, los miembros del grupo sudo pueden usar sudo sin ninguna restricción. Básicamente, los miembros de este grupo pueden hacer cualquier cosa que la raíz pueda hacer (que es todo). Durante la instalación, la cuenta de usuario que creó se hizo miembro de sudo. Para dar acceso a usuarios adicionales a sudo, todo lo que necesita hacer es agregarlos al grupo sudo:
sudo usermod -aG sudo <nombre_usuario>