sISTEMAS OPERATIVOS Y REDES
Páginas: 9 (2064 palabras)
Publicado: 13 de noviembre de 2014
Universidad Nacional de Ingeniería
Facultad de Electrotecnia y Computación
Departamento de Aplicaciones y Sistemas
Práctica 4: SUDO
Manejo de cuentas de usuario
Para esta práctica ya habrás realizado previamente la creación de cuentas y el manejo de UGO para las carpetas y archivos. Habrás creado diferentes carpetas y archivos para diversos usuarios y grupos, permitiendo que algunosusuarios puedan ejecutar el contenido pero restringiéndoles en su capacidad de modificarlo; o bien que solo puedan leer el contenido, o que no puedan interactuar de ninguna manera con el archivo o carpeta. Pero: ¿qué pasa si queremos que el usuario pueda ejecutar algo que puede alterar los registros del sistema? Por ejemplo, permitir que cambie la configuración de red, o el montaje o desmontajede unidades físicas, entre otros. Para que un usuario distinto a Root pueda realizar esto, hay que otorgarle los suficientes privilegios añadiéndolo a algún grupo que tenga la autorización de realizar estos cambios; o bien, permitir que el usuario abandone esa cuenta y pase temporalmente a ROOT para realizar estas operaciones.
El modo más ideal podría ser el permitir que el usuario pertenezca aun grupo con los privilegios necesarios, pero resulta complejo encuadrarlo en un marco de seguridad fiable ya que si se maneja mal, el usuario podría poseer demasiados privilegios en otros elementos de la máquina. Con esta perspectiva, obviamente usar a ROOT también resulta inseguro ya que el administrador debe responder a lo que haga este usuario (y cada uno de los que ocupen ROOTcotidianamente) o bien arriesgar la seguridad entregando su contraseña.
Escenario
Durante esta primera parte de la práctica nos enfocaremos en darle diferentes privilegios a usuarios comunes para que ellos puedan tener un control un poco más a modo sin requerir el uso de la cuenta Root. Suponga el siguiente escenario:
Bob posee un equipo de cómputo bastante importante que utiliza en la oficina, perosimultáneamente es utilizado por sus dos hijos que van a la universidad y por dos empleados de él (un administrador de redes y otro de diseño de procesadores que pertenece al mismo equipo que Bob). Por lo mismo maneja un grupo general de familia y dos grupos de trabajo denominado: WK_IT y WK_MK. Como sus empleados tienen sus propios equipos, se pueden conectar remotamente a la computadora de Bob. Deigual manera los hijos lo pueden hacer en sus equipos, o bien usar directamente la computadora cuando Bob no la esté usando.
Lo anterior se puede representar en la siguiente tabla:
Aunque Bob es dueño del equipo de cómputo debe cumplir con una política administrativa que involucra lo siguiente:
El administrador de redes requiere poder acceder vía remota MÁS NO requiere una carpeta principal(“HOME”).
Las contraseñas de los miembros del departamento de desarrollo de software deben ser cambiadas cada 2 meses.
La contraseña del administrador de redes debe ser compleja y cambiar cada 46 días.
La cuenta de de Vasconcelos es meramente temporal y expira el 17 de diciembre del presente año.
Todos los empleados deben de usar BASH como Shell predeterminado.
Los hijos, al no formarparte de la política de seguridad resultan más sencillos y solo requieren pertenecer al grupo familia (y especificar su carpeta Home) pero al igual que el padre tendrán derecho a entrar a la carpeta /Familia/ para tener un repositorio en común de toda la familia.
Con el escenario definido empezaremos a trabajar con ello, primero con la creación de las cuentas y posteriormente otorgándoles losprivilegios y limitaciones ya mencionadas.
Configuración de usuarios
Primero procederemos a crear los 3 grupos de forma similar a la práctica de administración:
Una vez creado los grupos crearemos las cuentas de usuario con los requisitos indicados pero no deben olvidar que se está solicitando tiempos de expiración de contraseñas y de vida de las cuentas. Bien, toda cuenta creada...
Facultad de Electrotecnia y Computación
Departamento de Aplicaciones y Sistemas
Práctica 4: SUDO
Manejo de cuentas de usuario
Para esta práctica ya habrás realizado previamente la creación de cuentas y el manejo de UGO para las carpetas y archivos. Habrás creado diferentes carpetas y archivos para diversos usuarios y grupos, permitiendo que algunosusuarios puedan ejecutar el contenido pero restringiéndoles en su capacidad de modificarlo; o bien que solo puedan leer el contenido, o que no puedan interactuar de ninguna manera con el archivo o carpeta. Pero: ¿qué pasa si queremos que el usuario pueda ejecutar algo que puede alterar los registros del sistema? Por ejemplo, permitir que cambie la configuración de red, o el montaje o desmontajede unidades físicas, entre otros. Para que un usuario distinto a Root pueda realizar esto, hay que otorgarle los suficientes privilegios añadiéndolo a algún grupo que tenga la autorización de realizar estos cambios; o bien, permitir que el usuario abandone esa cuenta y pase temporalmente a ROOT para realizar estas operaciones.
El modo más ideal podría ser el permitir que el usuario pertenezca aun grupo con los privilegios necesarios, pero resulta complejo encuadrarlo en un marco de seguridad fiable ya que si se maneja mal, el usuario podría poseer demasiados privilegios en otros elementos de la máquina. Con esta perspectiva, obviamente usar a ROOT también resulta inseguro ya que el administrador debe responder a lo que haga este usuario (y cada uno de los que ocupen ROOTcotidianamente) o bien arriesgar la seguridad entregando su contraseña.
Escenario
Durante esta primera parte de la práctica nos enfocaremos en darle diferentes privilegios a usuarios comunes para que ellos puedan tener un control un poco más a modo sin requerir el uso de la cuenta Root. Suponga el siguiente escenario:
Bob posee un equipo de cómputo bastante importante que utiliza en la oficina, perosimultáneamente es utilizado por sus dos hijos que van a la universidad y por dos empleados de él (un administrador de redes y otro de diseño de procesadores que pertenece al mismo equipo que Bob). Por lo mismo maneja un grupo general de familia y dos grupos de trabajo denominado: WK_IT y WK_MK. Como sus empleados tienen sus propios equipos, se pueden conectar remotamente a la computadora de Bob. Deigual manera los hijos lo pueden hacer en sus equipos, o bien usar directamente la computadora cuando Bob no la esté usando.
Lo anterior se puede representar en la siguiente tabla:
Aunque Bob es dueño del equipo de cómputo debe cumplir con una política administrativa que involucra lo siguiente:
El administrador de redes requiere poder acceder vía remota MÁS NO requiere una carpeta principal(“HOME”).
Las contraseñas de los miembros del departamento de desarrollo de software deben ser cambiadas cada 2 meses.
La contraseña del administrador de redes debe ser compleja y cambiar cada 46 días.
La cuenta de de Vasconcelos es meramente temporal y expira el 17 de diciembre del presente año.
Todos los empleados deben de usar BASH como Shell predeterminado.
Los hijos, al no formarparte de la política de seguridad resultan más sencillos y solo requieren pertenecer al grupo familia (y especificar su carpeta Home) pero al igual que el padre tendrán derecho a entrar a la carpeta /Familia/ para tener un repositorio en común de toda la familia.
Con el escenario definido empezaremos a trabajar con ello, primero con la creación de las cuentas y posteriormente otorgándoles losprivilegios y limitaciones ya mencionadas.
Configuración de usuarios
Primero procederemos a crear los 3 grupos de forma similar a la práctica de administración:
Una vez creado los grupos crearemos las cuentas de usuario con los requisitos indicados pero no deben olvidar que se está solicitando tiempos de expiración de contraseñas y de vida de las cuentas. Bien, toda cuenta creada...
Leer documento completo
Regístrate para leer el documento completo.