Gestin de cuentas de usuario.

Autor: Joel Barrios Dueas

Correo electrnico: darkshram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
Jabber ID: darkshram@jabber.org
Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1
1999-2014 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer obras derivadas bajo las
condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo
su publicacin, a travs de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra o genera una
obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar
bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de
los derechos de autor. Los derechos derivados de usos legtimos u otras limitaciones no se ven afectados por lo anterior. Licencia
completa en castellano. La informacin contenida en este documento y los derivados de ste se proporcionan tal cual son y los autores
no asumirn responsabilidad alguna si el usuario o lector, hace mal uso de stos.

Introduccin.
An cuando se tenga un sistema con un nico usuario, es importante recordar que es poco
conveniente realizar el trabajo diario utilizando la cuenta del usuario root. sta slo debe utilizarse
para realizar las tareas de administracin del sistema.
Una cuenta de usuario regular tiene las restricciones necesarias para impedir que se ejecute algo
pueda daar al sistema, se altere accidentalmente la configuracin de ste, los servicios que
trabajan en segundo plano o bien los permisos y ubicacin de los archivos y directorios de sistema,
etc. Slo el usuario root tiene privilegios, sin restricciones, sobre el sistema.

Procedimientos.
La gestin de cuentas usuarios se realiza a travs
de useradd, passwd, usermod, groupadd y groupmod.

Gestin de cuentas de usuario.

Creacin de cuentas de usuario.
Ejecute useradd con la opcin -m (crear automticamente directorio de inicio) y el nombre del
usuario como argumento para crear una nueva cuenta de usuario. Ejemplo:

useradd -m pruebas
Asignacin o cambio de contraseas.
Ejecute passwd con el nombre del usuario como argumento para establecer o cambiar una
contrasea. Ejemplo:

passwd pruebas

El sistema solicitar ingrese la nueva contrasea para el usuario y que repita sta para confirmar.
Jams se mostrarn los caracteres ingresados en pantalla. Si se sospecha se cometieron errores de
tecleado, puede presionarse la tecla de retroceso las veces que sean necesarias y repetir todo lo
que sea necesario antes de pulsar la tecla ENTER. El sistema siempre le informar si falla la
confirmacin de la contrasea: devuelve una salida code 0 si el procedimiento fue exitoso y
devuelve una salida code 1 si el procedimiento fall.
Slo se permite al usuario root asignar contraseas dbiles y mostrar siempre una advertencia en
estos casos. Los usuarios regulares realizan un cambio de contrasea, estn obligados a
definir siempre una que sea segura y que excluya palabras incluidas en los diccionarios del sistema.

Eliminacin de cuentas de usuario.

Ejecute userdel con un nombre de usuario como argumento para eliminar ste. Ejemplo:

userdel pruebas
Ejecute userdel con la opcin -r y el nombre del usuario como argumento para eliminar tambin el
directorio de inicio junto con su contenido y el buzn de correo correspondiente. Ejemplo:

userdel -r pruebas
Gestin de Grupos.
Creacin de grupos.
Ejecute groupadd con el nombre del grupo como argumento para crear ste. Ejemplo:

groupadd grupo-que-sea
Creacin de grupos de sistema.
Un grupo de sistema es aquel que tiene un nmero de identidad de grupo GID por debajo del
500 CentOS y Red Hat Enterprise Linux o bien 1000 Fedora, openSUSE y SUSE
Linux Enterprise dependiendo del sistema operativo utilizado. El nmero de identidad de grupo
siempre se asigna automticamente, utilizando el valor consecutivo ms bajo que est disponible en
el sistema.
Ejecute groupadd con la opcin -r y el nombre del grupo como argumento para crear ste. Ejemplo:

groupadd -r grupo-que-sea
Eliminacin de grupos
Ejecute groupdel con el nombre del grupo como argumento para eliminar ste. Ejemplo:

groupdel grupo-que-sea
Asignacin de usuario existentes a grupos existentes.

Ejecute usermod con la opcin -G con el nombre del grupo y el nombre del usuario como
argumentos en ese orden. Ejemplo:

usermod -G grupo-que-sea usuario-que-sea

Opciones avanzadas.
Pueden utilizarse las siguientes opciones de useradd:
-c, --comment comentario
Permite establecer detalles de la cuenta de usuario. En la actualidad se utiliza
para definir el nombre completo del usuario.
-d, --home directorio de inicio
Establece el directorio de inicio del usuario.
-e, --expiredate fecha de expiracin
Establece la fecha de expiracin de una cuenta de usuario en el formato
AAAA-MM-DD.
-f, --inactive das para desactivar
Establece el nmero de das para desactivar una cuenta de usuario tras la
expiracin de una contrasea.
-g, --gid grupo principal
Establece el grupo predeterminado al cual pertenecer el usuario. Nota: el
grupo definido debe de existir previamente.
-G, --groups grupos adicionales,[...]
Establece los grupos adicionales a los que pertenecer el usuario. Estos
deben separarse utilizando una coma y sin espacios. Esto es muy conveniente
cuando se desea que el usuario tenga acceso a determinados recursos del
sistema, como acceso a la unidad de disquetes, administracin de cuentas
PPP y POP. Nota: los grupos definidos deben de existir.
-m, --create-home
Establece que el directorio de inicio del usuario debe ser creado si acaso este
fuese inexistente y se copiaran dentro de este los archivos especificados
en /etc/skel. Esta opcin viene implcita en CentOS, Fedora y Red Hat
Enterprise

Linux,

es

decir

es

innecesaria,

pues

el

archivo/etc/login.defs define la variable CREATE_HOME con el valor yes.

Ejemplo:

useradd alguien
En Debian, openSUSE, SUSE Linux Enterprise y Ubuntu, es necesario
utilizarla de manera explcita, siendo que de lo contrario se omitira la creacin
de

los

directorios

de

inicio

de

los

usuarios,

pues

el

archivo /etc/login.defs define la variable CREATE_HOME con el valor no.

Ejemplo:

useradd -m alguien
-M

Establece se omita crear el directorio de inicio del usuario, an si el

archivo /etc/login.defsdefine la variable CREATE_HOME con el valor yes. Es
lo contrario de la opcin -m.
-r, --system
Crea cuentas de sistema. Los usuarios de sistema sern creados sin
caducidad en el archivo/etc/shadow y sus nmeros de identidad sern
asignados entre el rango de valores de la variableSYS_UID_MIN y la
variable SYS_UID_MAX (100 a 499 en CentOS y Red Hat Enterprise Linux,
100 y 999 en Fedora, openSUSE y SUSE Linux Enterprise) o bien
como est definido en el archivo /etc/login.defs.
-s,
--shell intr
prete de
mandatos
Establece el intrprete de mandatos (shell) que podr utilizar el usuario.
CentOS, Red Hat Enterprise Linux, Fedora, openSUSE y SUSE Linux
Enterprise establecen /bin/bashcomo intrprete de mandatos predeterminado.
-u,
--uid n
mero
de
identid
ad de
usuario
Establece el UID del usuario. Cuando se crea una cuenta de usuario por
primera vez, como ocurre en CentOS y Red Hat Enterprise Linux, los UID se
asignarn a partir del 500. Los UID entre 0 y 99 estn reservados para las
cuentas y grupos de los servicios del sistema. El UID 100 est reservado para
el grupo users. En el caso de openSUSE y SUSE Linux Enterprise, stos
asignan los UID a partir del 1000. El rango de valores de SYS_UID_MINSYS_UID_MAX puede consultarse en el archivo /etc/login.defs.
Ejemplo:

useradd -c "Fulano de tal" \

-u 1000 -m -d /home/pruebas \
-G tape,lp \
pruebas
Lo anterior crear una cuenta de usuario llamada pruebas, que se encuentra incluido en los
grupos tape y lp, que tendr un UID=1000, utilizar /bin/bash como intrprete de mandatos y
utilizar /home/pruebas directorio de inicio.
La descripcin completa de opciones para useradd puede consultarse en la pgina de manual
correspondiente.

man 8 useradd

Para modificar una cuenta de usuario existente, se utiliza usermod, el cual tiene las siguientes
opciones que son similares a las de useradd:
-c, --comment comentario
Cambia la descripcin de la cuenta de usuario.
-d, --home directorio de inicio
Cambia el directorio de inicio del usuario.
-e, --expiredate fecha de expiracin
Cambia las fecha de expiracin de una cuenta de usuario en el formato AAAAMM-DD.
-f, --inactive das para desactivar
Cambia el nmero de das para desactivar una cuenta de usuario tras la
expiracin de una contrasea.
-g, --gid grupo principal
Cambia el grupo predeterminado al cual pertenecer el usuario. Nota: el grupo
definido debe de existir previamente.
-G, --groups grupos adicionales,[...]
Cambia los grupos adicionales a los que pertenecer el usuario. Estos deben
separarse utilizando una coma y sin espacios. Nota: los grupos definidos
deben de existir.
-l, --login nuevo nombre del usuario
Cambia el nombre del usuario.
-m, --move-home
Mueve el contenido del directorio de inicio del usuario cuando se ha
establecido uno distinto con la opcin -d.
-s, --shell intrprete de
mandatos
Cambia el intrprete de mandatos (shell) que podr utilizar el usuario.
-u, --uid nmero de
identidad de usuario
Cambia el UID del usuario.
Ejemplo:

usermod -c "Alguien" \
-s /bin/zsh \
-u 1001 -m -d /home/alguien \
-l alguien \
pruebas
Lo anterior cambiar la cuenta del usuario llamada pruebas para que adelante tenga como
descripcin Alguien, tenga el UID=1001, utilice /bin/zsh como intrprete de mandatos y cambie su
directorio de inicio con todo su contenido a /home/alguien.
La descripcin completa de opciones para usermod puede consultarse en la pgina de manual
correspondiente.

man 8 usermod

Pueden utilizarse las siguientes opciones de passwd:

-k
Se utiliza para indicar que la actualizacin de una contrasea slo se aplique
para las sesiones expiradas, sin afectar a las sesiones activas del usuario
modificado.
-l
Slo puede ser utilizada por root. Se utiliza para bloquear cuentas de usuario.
El bloqueo se realiza aadiendo el smbolo ! al inicio del criptograma de la
contrasea en el archivo/etc/shadow.
--stdin
Establece que passwd deber leer el valor de la contrasea desde la entrada
estndar (STDIN).
-u
Slo puede ser utilizada por root. Revierte lo que se haya hecho con la opcin
-l. Es decir, desbloquea cuentas de usuario. Es decir, elimina el smbolo ! al
inicio del criptograma de la contrasea en el archivo /etc/shadow
-d
Slo puede ser utilizada por root. Elimina la contrasea de un usuario en
particular, permitiendo ingresar al sistema sin contrasea.
-e
Slo puede ser utilizada por root. Expira la contrasea del usuario, obligando a
ste a asignar una nueva durante el siguiente ingreso al sistema. Esta opcin
fue descartada en versiones recientes de passwd en favor del uso
de chage con la opcin -d con el nmero cero como valor y el nombre del
usuario como argumento. Ejemplo: chage -d 0 zutano.
-n tiempo mnimo de vida en das
Slo puede ser utilizada por root. Establece el tiempo mnimo de vida, en das,
de una contrasea.
-x tiempo mximo de vida en das
Slo puede ser utilizada por root. Establece el tiempo mximo de vida, en
das, de una contrasea.
-w nmero de das previos a
expiracin
Slo puede ser utilizada por root. Establece el nmero de das, antes de que
expire una contrasea, para que el usuario comience a recibir advertencias
sobre la prxima expiracin de su contrasea.
-i nmero de das tras la
expiracin de contrasea

Slo puede ser utilizada por root. Establece el nmero de das para desactivar
una cuenta de usuario tras la expiracin de su contrasea.
-S
Slo puede ser utilizada por root. Mostrar informacin breve acerca del
estado de una contrasea para un usuario determinado.
Ejemplo:

passwd -n 60 -x 90 -w 10 -i 5 pruebas
Lo anterior establece que la contrasea del usuario pruebas tendr un tiempo de vida mnimo de 60
das, un tiempo mximo de vida de 90 das, comenzando a recibir advertencias 10 das antes de que
expire su contrasea y se desactivando la cuenta 5 das despus de que caduque la contrasea en
el caso de que el usuario hubiese omitido cambiarla.
La descripcin completa de opciones para passwd puede consultarse en la pgina de manual
correspondiente.

man 1 passwd

Herramientas grficas.
Si utiliza CentOS o Red Hat Enterprise Linux, puede gestionar las cuentas de usuarios, grupos y
cambios de contraseas utilizando la herramienta grfica system-config-users. Puede econtrarla
en el me de Sistema Administracin Usuarios y grupos.

Herramienta system-config-users.
Si utiliza openSUSE o SUSE Linux Enterprise, puede gestionar las cuentas de usuarios, grupos
y cambios de contraseas utilizando el mdulo users de YaST en modo texto ejecutando:

yast users

Mdulo users de YaST en modo texto.

O bien haga lo mismo desde YaST Seguridad y usuarios Gestin de usuarios y grupos.

Mdulo users de YaST en modo grfico.

Comentarios finales acerca de la seguridad.

Cuando un intruso consigue infiltrarse en un sistema es generalmente es gracias a que se realiz
una conexin a travs de SSH o Telnet y se pudo "adivinar" alguna de las contraseas de las
cuentas de usuario existentes o bien la contrasea del administrador. Si se especfico
una mala contrasea de root durante el proceso de instalacin del sistema operativo, algo muy

comn entre usuarios novicios, es muy probable que sta sea vulnerada en pocas horas (e incluso
minutos) despus de conectarse a Internet.

Evite especificar contraseas fciles de adivinar. Particularmente, evite utilizar contraseas

que utilicen palabras incluidas en cualquier diccionario de cualquier idioma, datos
relacionados con el usuario o empresa, como son registro federal de contribuyentes
(R.F.C.), fechas de nacimiento, nmeros telefnicos, seguro social, nmeros de cuentas de
acadmicos o alumnos, nombres de mascotas, nombres de personajes de ciencia ficcin,
etc.

Evite escribir las contraseas sobre medios fsicos, prefiera siempre limitarse
a memorizar stas.

Si necesita almacenar contraseas en un archivo, hgalo utilizando un buen cifrado.

Si se le dificulta memorizar contraseas complejas, utilice entonces contraseas fciles de

recordar, pero cmbielas peridicamente.

Jams proporcione una contrasea a terceros. Evite proporcionarla en especial a personas

que se identifiquen como miembros de algn servicio de soporte o ventas. Este ltimo caso
se menciona con nfasis en la pgina de manual depasswd.

Se considera como una buena contrasea aquella se compone de una combinacin de nmeros y
letras maysculas y minsculas y que contiene como mnimo 8 caracteres, al menos tres caracteres
en mayscula, al menos tres nmeros y al menos tres caracteres especiales. Tambin es posible
utilizar pares de palabras con puntuacin insertada y frases o secuencias de palabras o bien
acrnimos de estas.
Observar estas recomendaciones, principalmente en sistemas con acceso a redes locales y/o
pblicas, como Internet, har que el sistema sea ms seguro.