[![cloudevel](img/cloudevel.png)](https://cloudevel.com)

# Gestión de usuarios y grupos.

## Notas preliminares sobre el uso de esta notebook.

Las notebooks de este curso han sido diseñadas para ejecutarse dentro alguna de las máquina virtuales proporcionada por Cloudevel<sup>®</sup>.

Dichas máquinas virtuales están configuradas con un usuario con permisos de administración.

* Usuario: ```oi```.
* Contraseña ```0p3n5t4ck```.

En caso de ejecutar las siguientes celdas en un sistema distinto, es muy probable que no funcionen.

**ADVERTENCIA:** El escalamiento de privilegios en un sistema puede tener consecuencias graves si se utiliza de forma imprudente. Se aconseja enfáticamente utilizar los comandos de esta notebook en un entorno de pruebas.

## Control de acceso mediante usuarios y grupos.

Tanto los directorios y archivos como los procesos de los sistemas *UNIX* y *GNU/Linux* están ligados desde su creación a un usuario y a un grupo de usuarios. 

Del mismo modo, a cada uno de estos elementos se le asigna una serie de permisos para el usuario propietario, el grupo propietario y el resto de los usuarios.

Los usuarios no necesariamente deben de ser personas que accedan al sistema. También es posible crear usuarios especiales a los que se les asignen ciertas aplicaciones o servicios específicos.

**Ejemplo:**

La máquina virtual proporcionada por Cloudevel<sup>®</sup> tiene habilitado y en ejecución al servidor web *Apache*. 

El servidor Apache está configurado para desplegar el contenido del directorio ```/var/www/html``` en http://localhost:8980

* La siguiente celda desplegará el listado extendido de ```/var/www/html```.

In [None]:
ls -al /var/www/html

El resultado es algo similar a lo siguiente:

```
total 500
drwxr-xr-x 2 root root   4096 May 10 05:05 .
drwxr-xr-x 3 root root   4096 May 10 05:01 ..
-rw-rw-r-- 1 oi   oi   489252 Jan 31 10:28 adminer.php
-rw-r--r-- 1 root root  10918 May 10 05:02 index.html
```

* La tercera columna indica el nombre del usuario que es dueño del archivo.
* La cuarta columna indica el nombre del grupo que es dueño del archivo.

## El usuario ```root```.

El usuario ```root``` es el administrador o superusuario del sistema y tiene acceso a todos los recursos del sistema.

El directorio de incio de ```root``` es ```/root/```.

**Advertencia:** Nunca acceda a un sistema como ```root``` a menos que sea estrictamente necesario. Se recomienda crear un usuario distinto de ```root``` para actividades cotidianas.

Algunas distros de *GNU/Linux* no le asignan una contraseña a ```root``` al ser instalados, por lo que es necesario definir a un usuario capaz de escalar sus privilegios.

## Escalamiento de privilegios del usuario.

Es posible otorgar privilegios de superusuario a un usuario para ejecutar un comando en particular, siempre y cuando esté autorizado.

### El comando ```sudo```.

Este comando permite a los usuarios acreditados ejecutar un comando con privilegios de ```root```. 

Por lo general es necesario que el usuario que ejecuta el comando ```sudo``` ingrese su contraseña.

```
sudo <opciones> <comando>
```
* Si se ejecuta ```sudo``` sin opciones, el comando se ejecutará como si fuera ```root```. 


**ADVETENCIA:** las  máquinas virtuales proporcionada por Cloudevel<super>®</super> permiten  al usuario ```oi``` utilizar el comando  ```sudo``` sin necesida de ingresar una contraseña. Esta no es una buena práctica, por lo que no se deben de usar dichas máquinas virtuales para objetivos más allá de los didácticos.

**Ejemplo:**

* La siguiente celda intentará listar el contenido del directorio ```/root```.
* Debido a que el usuario ```oi``` no tiene los permisos de acceso, se generará un error.

In [None]:
ls /root

* La siguiente celda ejecutará el comando previo con privilegios escalados mediante ```sudo```.

In [None]:
sudo ls -al /root

#### Algunas opciones.

* ```-u``` o ```--user``` permite definir al usuario con el que se ejecutará el comando. El suario por defecto es ```root```. 
* ```-g``` o ```--group``` permite definir al grupo con el que se ejecutará el comando. El suario por defecto es ```root```. 
* ```-H``` o ```--set-home``` indica que se configurará el directorio *home* del usuario.

#### La *man page* de ```sudo```.

In [None]:
man sudo

### El archivo ```/etc/sudoers```.

El archivo ```/etc/sudoers``` contiene la configuración de los usuarios habilitados para ejecutar el comando```sudo```.

**Ejemplo:**

* La siguiente celda mostrará el contenido del archivo ```/etc/sudoers``` del sistema.

In [None]:
sudo cat /etc/sudoers

### El comando ```visudo```.

El archivo ```/etc/sudoers``` está protegido y no puede ser editado directamente. 

El comando ```visudo``` permite editar dicho archivo si se tiene los privilegios.

#### La *man page* de ```visudo```.

In [None]:
man visudo

## El archivo ```/etc/passwd```.

Es el archivo que tiene la relación de usuarios de sistema.

```
<usuario>:<contraseña>:<uid>:<gid>:<nombre>:<homedir>:<shell>
```

Donde:

* ```<usuario>``` es el nombre del usuario.
* ```<contraseña>``` es la contraseña del usuario, la cual por lo general se define en```/etc/shadow``` y es sustituida por ```x```.
* ```<uid>``` es el número identificador del usuario.
* ```<gid>``` es el número identificador del grupo principal del usuario.
* ```<nombre>``` es el nombre real del usuario.
* ```<homedir>``` es la ruta del *home* del usuario.
* ```<shell>``` es el shell que se ejecutará cuando el usuario acceda a una terminal.

* La siguiente celda mostrará el contenido del archivo ```/etc/passwd``` del sistema.

In [None]:
cat /etc/passwd

## El archivo ```/etc/group```.

Este archivo guarda un listado de grupos y de los usuarios que pertenecen a ellos.

```
<grupo>:<contraseña>:<gid>:<usuario 1>,<usuario 2>,...,<usuario n>
```

Donde:

* ```<grupo>``` es el nombre del grupo.
* ```<contraseña>``` es la contraseñá del grupo, la clual se guarda comunmente en ```/etc/shadow``` y en este archivo se coloca una ```x```.
* ```<gid>``` es el número identificador del grupo.
* ```<usuario i>``` es el nombre de uno de los uusarios que pertenecen al grupo.

* La siguiente celda mostrará el contenido del archivo ```/etc/group``` del sistema.

In [None]:
cat /etc/group

### La *man page* de ```/etc/group```.

In [None]:
man group

## El archivo ```/etc/shadow```.

Este archivo guarda las contraseñas cifradas.

```
<nombre>:<passwd>:<fecha>:<edad min>:<edad max>:<advertencia>:<inactividad>:<expiración> 
```

Donde:

* ```<nombre>``` es el nombre del usuario o grupo.
* ```<passwd>``` es la contraseña cifrada del usuario o grupo.
* ```<fecha>``` es la estampa de tiempo de la última modificación de la contraseña.
* ```<edad min>``` corresponde al tiempo mínimo de existencia de la contraseña, Normalmente es ```0```.
* ```<edad max>``` corresponde al tiempo máximo de existencia de la contraseña, Normalmente es ```99999```.
* ```<advertencia>``` corresponde al número de días de advertencia antes de que expire la contraseña.
* ```<inactividad>``` es el número de días en el que na cuenta suspendida puede ser restablecida.
* ```<expiración>``` es la estampa de tiempo de la fecha en la que expirará la contraseña.

* La siguiente celda mostrará el contenido del archivo ```/etc/shadow``` del sistema.

In [None]:
sudo cat /etc/shadow

### La *man page* de ```/etc/shadow```.

In [None]:
man shadow

## Gestión de usuarios.


Los comandos por defecto que se utilizan en *UNIX* y *GNU/Linux* para la gestión de grupos son: 

* ```useradd```
* ```userdel```

En algunas distribuciones de *GNU/Linux*  están disponibles los siguientes comandos, los cuales son scripts que facilitan el uso de los comandos listados previamente:

* ```adduser```
* ```deluser```

### Creación de usuarios con ```useradd```.

```
useradd <opciones> <nombre>
```

Donde: 

* ```<opciones>``` son las opciones de configuración del usuario.
* ```<nombre>``` es el nombre del usuario.

#### Principales opciones de ```useradd```.

* ```-b``` o ```--basedir``` define el directorio en el que se localizará el *shell* cuando un usuario inicia una sesión en una terminal. Por defecto es el directorio *home* del usuario.
* ```-c``` o ```--comment``` define el texto que será agregado al apartado del nombre real del usuario.
* ```-d``` o  ```--homedir``` define la ruta del directorio *home* del usuario.
* ```-g``` o ```--gid``` define el ```GID``` de grupo principal del usuario.
* ```-G``` o ```--groups``` define una sucesion de grupos a los que pertenece el usuario.
* ```-m``` o ```--create-home``` indica al sistema que cree el directorio *home* del usuario.
* ```-p``` o  ```--password``` define la contraseñá del usuario. Esto no sew recomienda, ya que dicha contraseña no será cifrada en el archivo ```/etc/shadow```.
* ```-r``` o ```--system``` indica si es un usuario del sistema.
* ```-s``` o ```--shell``` define el *shell* del usuario.
* ```-u``` o ```--uid``` define el ```UID``` del usuario.
* ```-U``` o ```--user-group``` define el nombre del grupo principal del usuario.

**Ejemplo:**

* La siguiente celda creará al usuario ```cloudevel``` junto con su directorio *home* con los siguientes datos:
    * Directorio *home*: ```/home/cloudevel```
    * Shell: ```/bin/bash```
    * Contraseña: ```123qwe```
    
El resto de los datos serán definidos por el sistema.

In [None]:
sudo useradd cloudevel -d /home/cloudevel -m -s /bin/bash -p 123qwe 

* La siguiente celda mostrará a detalle el contenido del directorio ```/home/cloudevel```.

In [None]:
sudo ls /home/cloudevel -al

* La siguiente celda mostrará la línea del archivo ```/etc/passwd``` del usuario ```cloudevel```.

In [None]:
grep cloudevel /etc/passwd

* La siguiente celda mostrará la línea del archivo ```/etc/group``` en la que aparezca la cadena ```cloudevel```.

In [None]:
grep cloudevel /etc/group

* La siguiente celda mostrará la línea del archivo ```/etc/shadow``` del usuario ```cloudevel```.

In [None]:
sudo grep cloudevel /etc/shadow

#### La manpage de ```useradd```.

In [None]:
man useradd

### Eliminación de usuarios con ```userdel```.

```
userdel <opciones> <nombre>
```

Donde: 

* ```<opciones>``` son las opciones de configuración del usuario.
* ```<nombre>``` es el nombre del usuario.

#### principales opciones de ```userdel```.

* ```-r``` o ```--remove``` eliminará al directorio *home* del usuario con todo y su contenido.
* ```-f``` o ```---force``` eliminará al usuario aún cuando esté registrado dentro del sistema.

**Ejemplo:**

* La siguiente celda eliminará al usuario ```cloudevel``` y a su directorio *home*.

In [None]:
sudo userdel cloudevel -r

* La siguiente celda mostrará a detalle el contenido del directorio ```/home/cloudevel```.

In [None]:
sudo ls /home/cloudevel -al

* La siguiente celda mostrará las líneas del archivo ```/etc/passwd``` que incluyan la cadena ```cloudevel```.

In [None]:
grep cloudevel /etc/passwd

* La siguiente celda mostrará las líneas del archivo ```/etc/group``` que incluyan la cadena ```cloudevel```.

In [None]:
grep cloudevel /etc/group

* La siguiente celda mostrará las líneas del archivo ```/etc/shadow``` que incluyan la cadena ```cloudevel```.

In [None]:
sudo grep cloudevel /etc/shadow

#### La *man page* de ```deluser```.

In [None]:
man userdel

### Modificación de un usuario existente .

El comando ```usermod``` permite cambiar la configuración de un usuario existente.


```
usermod <opciones> <usuario>
```

Donde:

* ```<opciones>``` son la sposibles opciones del comando.
* ```<usuario>``` es el nombre del usuario a modificar.

#### Principales opciones de ```usermod```.

* ```-c``` o ```--comment``` define el nuevo texto que será agregado al apartado del nombre real del usuario.
* ```-d``` o  ```--homedir``` define la ruta del nuevo directorio *home* del usuario.
* ```-g``` o ```--gid``` define el ```GID``` de grupo principal del usuario.
* ```-G``` o ```--groups``` define una sucesion de grupos a los que pertenece el usuario.
* ```-l``` o ```--login``` define el nuevo nombre de usuario.
* ```-m``` o ```--move-home``` indica al sistema que cambie el directorio *home* del usuario a la ruta especificada.
* ```-p``` o  ```--password``` define la contraseñá del usuario. Esto no sew recomienda, ya que dicha contraseña no será cifrada en el archivo ```/etc/shadow```.
* ```-r``` o ```--system``` indica si es un usuario del sistema.
* ```-s``` o ```--shell``` define el *shell* del usuario.
* ```-u``` o ```--uid``` define el ```UID``` del usuario.
* ```-U``` o ```--user-group``` define el nombre del grupo principal del usuario.

* La siguiente celda creará al usuario ```cloudevel``` junto con su directorio *home* con los siguientes datos:
    * Directorio *home*: ```/home/cloudevel```
    * Shell: ```/bin/bash```
    * Contraseña: ```123qwe```
    
El resto de los datos serán definidos por el sistema.

In [None]:
sudo useradd cloudevel -d /home/cloudevel -m -s /bin/bash -p 123qwe 

* La siguiente celda cambiará los datos del usuario ```cloudevel``` a:

    * Contraseña: ```123456qwerty```
    * Nombre: ```cd``` 
    * Direcorio *home*: ```/home/cd```

In [None]:
sudo usermod cloudevel -l cd -d /home/cd -p 123456qwerty

* La siguiente celda tratará de enlistar al directorio ```/home/cd```, pero este no fue creado.

In [None]:
ls -al /home/cd

* La siguiente celda mostrará las líneas del archivo ```/etc/passwd``` que incluyan la cadena ```cd```.

In [None]:
grep cd /etc/passwd

* La siguiente celda mostrará las líneas del archivo ```/etc/group``` que incluyan la cadena ```cloudevel```.

In [None]:
grep cd /etc/group 

* La siguiente celda mostrará las líneas del archivo ```/etc/shadow``` que incluyan la cadena ```cloudevel```.

In [None]:
sudo grep cd /etc/shadow

#### La *man page* de ```usermod```.

In [None]:
man usermod

## Gestión de grupos.

Los comandos por defecto que se utilizan en *UNIX* y *GNU/Linux* para la gestión de grupos son: 

* ```groupadd```
* ```groupdel```

En algunas distribuciones de *GNU/Linux*  están disponibles los siguientes comandos, los cuales son scripts que facilitan el uso de los comandos listados previamente:

* ```addgrop```
* ```delgroup```

### Creación de grupos con ```groupadd```.

```
groupadd <opciones> <nombre>
```

Donde: 

* ```<opciones>``` son las opciones de configuración del usuario.
* ```<nombre>``` es el nombre del grupo.

#### Principales opciones de ```groupadd```.

* ```-g``` o ```--gid``` define el ```GID``` del grupo.
* ```-p``` o  ```--password``` define la contraseñá del grupo.
* ```-r``` o ```--system``` crea un grupo del sistema.

**Ejemplo:**

* La suguiente celda creará al grupo ```estudiantes```.

In [None]:
sudo groupadd estudiantes

* La siguiente celda mostrará las líneas en ```/etc/group``` que contengan a la cadena ```estudiantes```.

In [None]:
grep estudiantes /etc/group

#### La *man page* de ```groupadd```.

In [None]:
man groupadd

### Eliminación de grupos con ```groupdel```.

```
groupdel <opciones> <nombre>
```

Donde: 

* ```<opciones>``` son las opciones del comando.
* ```<nombre>``` es el nombre del grupo.

**Ejemplo:**

* La siguiente celda eliminará al grupo ```estudiantes```. 

In [None]:
sudo groupdel estudiantes

* La siguiente celda mostrará las líneas en ```/etc/group``` que contengan a la cadena ```estudiantes```.

In [None]:
grep estudiantes /etc/group

#### La *man page* de ```groupdel```.

In [None]:
man groupdel

### Modificación de un grupo existente .

El comando ```groupmod``` permite cambiar la configuración de un usuario existente.


```
groupmod <opciones> <grupo>
```

Donde:

* ```<opciones>``` son la sposibles opciones del comando.
* ```<grupo>``` es el nombre del grupo a modificar.

#### Principales opciones de ```groupadd```.

* ```-g``` o ```--gid``` define el nuevo ```GID``` del grupo.
* ```-n``` o ```--new-name``` define el nuevo nombre del grupo.

**Ejemplo**

* La siguiente celda creará al grupo ```demo```.

In [None]:
sudo groupadd demo

* La siguiente celda mostrará las líneas en las que aparezca la cadena ```demo```.

In [None]:
grep demo /etc/group

* La siguiente celda modificará al grupo ```demo``` y lo renombrará como ```info```.

In [None]:
sudo groupmod demo -n info

* La siguiente celda mostrará las líneas en las que aparezca la cadena ```info```.

In [None]:
grep info /etc/group

#### La *man page* de ```groupmod```.

In [None]:
man groupmod

### Consulta de grupos de un usuario con ```groups ```.

El comando ```groups``` despliega los grupos a los que pertenece un usuario.

```
groups <usuario>
```

Donde:

* ```<usuario>``` es el nombre de un usuario.

**Ejemplo:**

* La siguiente celda mostrará los grupos a los que pertenece el usuario ```oi```.

In [None]:
groups oi

### La *man page* de ```groups```.

In [None]:
man groups

## Consulta de los identificadores de un usuario.


El comando ```id``` permite conocer el ```uid```de un usuario así como los ```gid``` de los grupos a los que pertenece.


```
id <opciones> <usuario>
```

Donde:

* ```<opciones>``` son las opciones de despliegue de los datos. 
* ```<usuario>``` es el nombre de un usuario. En caso de no definirlo, el comando se aplicará al usuario actual.

**Ejemplos:**

* La siguiente celda deplegará los identificadores de usuario y grupos del usuario actual.

In [None]:
id

* La siguiente celda deplegará los identificadores de usuario y grupos del usuario ```root```.

In [None]:
id root

* La siguiente celda deplegará los identificadores de usuario y grupos del usuario ```www-data```.

In [None]:
id www-data

* La siguiente celda deplegará los identificadores de usuario y grupos del usuario ```mysql```.

In [None]:
id mysql

### La *man page* de ```id```.

In [None]:
man id

## Cambio de contraseña con ```passwd```.

 El comando ```passwd``` permite cambiar la contraseña de un usuario.

```
passwd <usuario>
```

Donde:

* ```<usuario>``` es el usuario al que se le cambiará la contraseña. En caso de no ingresar el nombre, el comando se aplicará en el usuario actual. 

### La *man page* de ```passwd```.

In [None]:
man passwd

## Cambio de usuarios con ```su```.

El comando ```su``` permite cambiar de usuario de la terminal. A menos que se cuenten con privilegios de ```root```, es necesario registrarse con la contraseña del usuario nuevo.

Para salir de la sesión se teclea ``` exit``` y la terminal volverá al shell del usuario original.


```
su <usuario> - <opciones>
```

Donde:

* ```<usuario>``` es el usuario con el que se desea acceder.
* ```<opciones>``` son varias opciones del comando.
* ```-``` indica que el shell se moverá al *home* del nuevo usuario.

### La *man page* de ```su```.

In [None]:
man su


## Uitilerías.

### ```whoami ```.

In [None]:
whoami

### ```who```.

In [None]:
who


### ```w```.

In [None]:
w

### ```users```.

In [None]:
users

<p style="text-align: center"><a rel="license" href="http://creativecommons.org/licenses/by/4.0/"><img alt="Licencia Creative Commons" style="border-width:0" src="https://i.creativecommons.org/l/by/4.0/80x15.png" /></a><br />Esta obra está bajo una <a rel="license" href="http://creativecommons.org/licenses/by/4.0/">Licencia Creative Commons Atribución 4.0 Internacional</a>.</p>
<p style="text-align: center">&copy; José Luis Chiquete Valdivieso. 2020.</p>