martes, 15 de octubre de 2019

Gestionar grupos, gestionar usuarios, asignar permisos en linux. CentOS



Muchas veces requerimos de asignar permisos a carpetas específicas en un sistema compartido.
Cuando tenemos un servidor o un sistema donde acceden múltiples usuarios, necesitamos un grado de seguridad para que la integridad y la confidencialidad se mantenga entre los colaboradores. Es así como surge la necesidad de limitar el acceso y la gestión de ciertos elementos en nuestro sistema.
Existen diferentes maneras de realizarlo, ya sea una implementación de políticas de grupo por directorio activo, creación de listas de acceso o simplemente permisos aplicados sobre archivos y directorios a un grupo de usuarios. 
En ésta ocasión, vamos a proponer un caso y daremos la solución en el siguiente tutorial.

Caso:
Una empresa tiene un servidor CentOS, allí, varios usuarios incluidos los proveedores, ingresan para realizar diferentes tareas.
El jefe del área de insumos necesita crear un directorio en la ruta /opt/insumos, donde él pueda ser el propietario, tener permisos de lectura, escritura y ejecución.
Él creará los archivos que su equipo de trabajo únicamente podrá ver y ejecutar pero no podrá modificar ni crear. También requiere que los usuarios que no pertenezcan al área de insumos incluidos los proveedores no puedan tener acceso por seguridad.

Desarrollo:
  1. Crear el directorio  /opt/insumos
  2. Crear el usuario Alejo Saenz "alejos" (Jefe del área de insumos)
  3. Crear el usuario Rosa Pérez  "rosap" ( Del equipo de trabajo del área de insumos)
  4. Crear el usuario Proveedor "provee" (Usuario proveedor que no pertenece al área insumos)
  5. Creación del grupo insumos
  6. Los propietarios del directorio /opt/insumos serán:  alejos y el grupo insumos
  7. La usuaria rosap será agregada al grupo insumos.
  8. Aplicar los permisos para que alejos tenga control total como propietario del directorio /opt/insumos, para que rosap que pertenece al grupo insumos pueda ver y ejecutar archivos del directorio /opt/insumos y para que el usuario provee y los demás usuarios (excepto root) no puedan tener acceso al directorio /opt/insumos
  9.  Realizar pruebas.



1)  Crear el directorio  /opt/insumos. 
  • Creamos el directorio con el comando para crear directorios mkdir /opt/insumos 

  • Ingresemos a /opt. Para cambiar de directorio, con el comando cd /opt



  • Para ver los permisos y para ver el propietario de un directorio o archivo en linux podemos utilizar el comando ll


2) Crear el usuario Alejo Saenz "alejos" (Jefe de insumos)
3) Crear el usuario Rosa Pérez  "rosap" ( Del equipo de trabajo del área de insumos)
4) Crear el usuario Proveedor "provee" (Usuario proveedor que no pertenece al área insumos)
  • Para crear usuarios en linux utilizamos el comando useradd seguido de una serie de opciones como lo son: -u para crear el id del usuario, -c para el nombre completo -d para el directorio del usuario, -s para la shell  y finalmente el nombre del usuario.
useradd -u 1001 -c "Rosa Pérez" -d /home/rosap -s /bin/bash rosap




  • Para cambiar la contraseña de un usuario en linux, se utiliza el comando passwd usuario: 
passwd rosap

  • Los usuarios en linux se pueden consultar con el comando cat /etc/passwd



5) Creación del grupo insumos

  • Para la creación de grupos en linux, utilizamos el comando groupadd insumos 


  • Los grupos creados en linux se pueden consultar con el comando cat /etc/group




6) El propietario del directorio /opt/insumos será alejos  y el grupo insumos.
  • Para asignar propietarios en linux se realiza con el comando chown con el parámetro -R queriendo decir que se hará de forma recursiva, luego el usuario y si de una vez queremos asignar el grupo simplemente separamos con : y luego el grupo y luego el archivo o directorio de ésta manera :
chown -R alejos:insumos insumos












  • Para ver los permisos y para ver el propietario de un directorio o archivo en linux podemos utilizar el comando ll






    •
    7) La usuaria rosap será agregada al grupo insumos.

    • un comando utilizado en linux para agregar usuarios a un grupo es gpasswd con el parámetro -a y seguido el usuario y luego el grupo. 
    gpasswd -a rosap insumos



    • Para ver los usuarios que tiene un grupo se pueden consultar con el comando cat /etc/group


    8) Aplicar los permisos para que alejos tenga control total como propietario del directorio /opt/insumos, para que rosap que pertenece al grupo insumos pueda ver y ejecutar archivos del directorio /opt/insumos y para que el usuario provee y los demás usuarios (excepto root) no puedan tener acceso al directorio /opt/insumos

     para asignar permisos a directorios en linux se utiliza el comando chmod -R que con una combinación de parámetros que puede ser con números o con letras se define si los usuarios propietarios editan, leen y ejecutan o no, de igual manera, para los grupos propietarios y para los demás usuarios que no son propietarios ni pertenecen a grupos propietarios. 
    Los permisos representados por números tienen el siguiente valor : 

     1: Ejecución
    2: Escritura
    4: Lectura

     De tal modo que el caso nos pide que los usuarios propietarios del directorio insumos, en éste caso alejos, sea quien tenga el control total. Ahí tenemos un 7. Luego que los grupos propietarios del directorio insumos, en éste caso el grupo insumos donde está rosap, sólo pueda ver y ejecutar. Tenemos un 5. Luego que los demás usuarios que no tienen ninguna relación con insumos, no puedan tener acceso a ese directorio ni a sus archivos. Temos un 0 .
    En conclusión,  la combinación numérica será de 750. 
    Finalmente, el comando se ejecutaría de la siguiente manera:

     chmod -R 750 insumos donde -R quiere decir que se realizará de manera recursiva. 










    • Para ver los permisos y para ver el propietario de un directorio o archivo en linux podemos utilizar el comando ll


      •


      9)  Realizar pruebas.

      • En linux, para cambiar de un usuario a otro se usan los comandos sudo y su. En éste caso como ya estamos con el usuario root, vamos a iniciar sesión con el usuario alejos para realizar pruebas. Se hace con el comando su alejos.
      • Para crear archivos en linux se realiza con el comando touch. 

      touch saludo.sh

      • alejos creará un script que podrá ser ejecutado por los usuarios del grupo insumos, en éste caso por rosap y también lo podrá leer como un archivo de texto. Para editar archivos de texto en linux, se puede usar el comando nano. 
      nano insumos/saludo.sh





      • Ahora, iniciaremos con el usuario que pertenece al grupo insumos. El grupo insumos es propietario del directorio insumos. El usuario rosap, pertenece al grupo insumos.
      su rosap


      • para ejecutar un script.sh en linux se puede utilizar el comando bash.
      • rosap ejecutará el script que ha creado alejos 

      bash insumos/saludo.sh



      • rosap tratará de editar el archivo pero al momento de guardarlo, sale un mensaje de denegación:


      • Ahora cambiaremos al usuario provee, quien no es propietario de la carpeta insumos, tampoco pertenece a ningún grupo propietario de la carpeta insumos.


      • El usuario provee, intentará ingresar a la carpeta insumos y a su contenido 






      Publicado por en

      No hay comentarios:

      Publicar un comentario

      Suscribirse a: Enviar comentarios (Atom)