UD4. Configuración de Sistemas Operativos

Transcripción

1 UD4. Configuración de Sistemas Operativos RA4. Xestiona sistemas operativos utilizando comandos e ferramentas gráficas, e avalía as necesidades do sistema. CA4.1. Xestionáronse contas de usuario locais e grupos. CA4.2. Asegurouse o acceso ao sistema mediante o uso de directivas de conta e directivas de contrasinais. CA4.3. Identificáronse, arrancáronse e detivéronse servizos e procesos. CA4.4. Protexeuse o acceso á información mediante o uso de permisos locais. CA4.5. Utilizáronse comandos para realizar as tarefas básicas de configuración do sistema. CA4.6. Monitorizouse o sistema. CA4.7. Instaláronse e avaliáronse utilidades para o mantemento e a optimización do sistema. CA4.8. Avaliáronse as necesidades do sistema informático en relación co desenvolvemento de aplicacións BC4. Configuración de Sistemas Operativos Configuración de usuarios e grupos locais. Seguridade de contas de usuario. Seguridade de contrasinais. Configuración de perfís locais de usuario. Directivas locais. Servizos e procesos. Acceso a recursos. Permisos locais Ferramentas de monitorización do sistema. Ferramentas de optimización do sistema. 1

2 1. Configuración de usuarios y grupos locales. WINDOWS Un grupo de usuarios es un conjunto de cuentas de usuario que tienen en común los mismos derechos de seguridad. A veces, los grupos de usuarios también se denominan grupos de seguridad. Una cuenta de usuario puede ser miembro de más de un grupo. Los dos grupos de usuarios más comunes son el grupo de usuarios estándar y el grupo de administradores e invitados, pero hay otros. Una cuenta de usuario a veces se describe de acuerdo con el grupo de usuarios al que pertenece (por ejemplo, una cuenta en el grupo de usuarios estándar se denomina cuenta estándar). Si tiene una cuenta de administrador, puede crear grupos de usuarios personalizados, mover cuentas de un grupo a otro, y agregar o quitar cuentas de diferentes grupos. Al crear un grupo de usuarios personalizado, puede elegir los derechos que desea asignar. Para crear una cuenta de usuario local a. Abrir Administración de equipos. cmd mmc.exe b. En el árbol de la consola, hacer clic en Usuarios. (Administración de equipos\herramientas del sistema\usuarios y grupos locales\usuarios) c. En el menú Acción, hacer clic en Usuario nuevo. d. Escriba la información correspondiente en el cuadro de diálogo. Activar o desactivar las siguientes casillas: El usuario debe cambiar la contraseña en el siguiente inicio de sesión El usuario no puede cambiar la contraseña La contraseña nunca expira La cuenta está deshabilitada e. Hacer clic en Crear y, a continuación, en Cerrar. Consideraciones adicionales Para completar este procedimiento, se proporcionan las credenciales de la cuenta de administrador en el equipo local (si se le solicita), o debe ser miembro del grupo Administradores en dicho equipo. Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo del equipo que se está administrando. El nombre de usuario puede contener hasta 20 caracteres, en mayúsculas o minúsculas, excepto los siguientes: " / \ [ ] : ; =, + *? < Un nombre de usuario no puede contener exclusivamente puntos (.) o espacios en blanco. En Contraseña y Confirmar contraseña, podemos escribir una contraseña que contenga hasta 127 caracteres siempre y cuando no haya windows 9x en la red. El uso de contraseñas seguras y de directivas de contraseña adecuadas puede facilitar la protección del equipo en caso de ataque. A partir de Windows Vista hay dos tipos de usuarios: usuarios estándar y administradores. 2

3 Pues bien, cada tipo de usuario tiene una serie de privilegios y de niveles de uso y acceso, pero a nivel de acceso a recursos y ejecución de aplicaciones, en el contexto de seguridad TODOS son considerados como usuarios estándar. También podemos crear nuestros propios grupos tal de formar similar a la creación de un usuario. En los equipos Windows Server el número de grupos de usuarios o perfiles de usuario son más numerosos. A modo de resumen, en la versión 2008: Administradores: Los miembros de este grupo tienen control total del servidor. Operadores de copia de seguridad: Los miembros de este grupo pueden realizar copias de seguridad y restaurar archivos del servidor, independientemente de los permisos que protejan dichos archivos. Operadores criptográficos: Los miembros de este grupo están autorizados a realizar operaciones criptográficas. Usuarios avanzados: Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario y modificar y eliminar las cuentas que crean. Usuarios de COM: Los miembros de este grupo pueden iniciar, activar y usar objetos DCOM en un equipo. Invitados: Los miembros de este grupo disponen de un perfil temporal que se crea al iniciar la sesión y que se elimina cuando el miembro la cierra. La cuenta Invitado (que está deshabilitada de forma predeterminada) IIS_IUSRS: Es un grupo integrado que usa Internet Information Services (IIS). Usuarios del registro de rendimiento: Los miembros de este grupo pueden administrar los contadores de rendimiento, registros y alertas del servidor, tanto de forma local como de forma remota. Operadores de configuración de red: Los miembros de este grupo pueden modificar la configuración TCP/IP y renovar y liberar las direcciones TCP/IP. Usuarios del monitor de sistema: Los miembros de este grupo pueden supervisar los contadores de rendimiento del servidor, tanto de forma local como de forma remota. Usuarios de escritorio remoto: Los miembros de este grupo pueden iniciar sesión en un servidor de forma remota a través de Servicios de Terminal Server. Replicador: El único miembro del grupo Replicador debe ser una cuenta de usuario de dominio que se utilice para iniciar los servicios Replicador de un controlador de dominio. No agregar a este grupo las cuentas de usuario de los usuarios reales. Es un grupo del sistema. 3

4 Usuarios: Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, y bloquear la estación de trabajo. No tienen tareas de administración. Ofrecer aplicaciones auxiliares de asistencia remota: Los miembros de este grupo pueden ofrecer Asistencia remota a los usuarios de este equipo. Aunque no es habitual Windows permite gestionar cuentas de usuario en modo comando de ellos destaca net user. net user se enfoca en la gestión de cuentas de usuario en Windows mediante el intérprete de comandos (CMD). Bien, el comando net user permite ver, agregar y modificar información sobre las cuentas de usuario que están en la base de datos de Windows. Al escribir el comando net user sólo, se mostrará una lista de todas las cuentas de usuario que están activas en Windows. net user NombreDeUsuario * :Permite asignar una contraseña a cualquier usuario. Al ejecutar éste comando, se te pedirá dos veces la contraseña, que no se mostrará en la pantalla por seguridad. net user NombreDeUsuario /add: sirve para agregar una cuenta de usuario. net user NombreDeUsuario /delete: éste comando sirve para eliminar una cuenta de usuario. net localgroup: utilizado para agregar un usuario al grupo de usuarios de Administradores ( localgroup, grupo local; es un grupo de usuarios del sistema operativo) 4

5 Por ejemolo, net localgroup Administrador NombreDeUsuario /add permite añadir al usuario en el grupo de administradores. LINUX Linux es un sistema multiusuario, por lo tanto, la tarea de añadir, modificar, eliminar y en general administrar usuarios se convierte en algo importante, además de ser un elemento de seguridad que mal administrado o tomado a la ligera, puede convertirse en un enorme hoyo de seguridad. Tipos de usuarios Los usuarios en Unix/Linux se identifican por un número único de usuario, User ID, UID. Y pertenecen a un grupo principal de usuario, identificado también por un número único de grupo, Group ID, GID. El usuario puede pertenecer a más grupos además del principal. Usuario root También llamado superusuario o administrador. Su UID (User ID) es 0 (cero). Es la única cuenta de usuario con privilegios sobre todo el sistema. Contro total a todos los archivos y directorios con independencia de propietarios. Controla la administración de cuentas de usuarios. Ejecuta tareas de mantenimiento del sistema. Puede detener el sistema. Instala software en el sistema. Puede modificar o reconfigurar el kernel, controladores, etc. Usuarios especiales Ejemplos: bin, daemon, adm, lp, sync, shutdown, mail, operator, squid, apache, etc. Se les llama también cuentas del sistema. No tiene todos los privilegios del usuario root, pero dependiendo de la cuenta asumen distintos privilegios de root. 5

6 Lo anterior para proteger al sistema de posibles formas de vulnerar la seguridad. No tienen contraseñas pues son cuentas que no están diseñadas para iniciar sesiones con ellas. También se les conoce como cuentas de "no inicio de sesión" (nologin). Se crean (generalmente) automáticamente al momento de la instalación de Linux o de la aplicación. Generalmente se les asigna un UID entre 1 y 100 (definifo en /etc/login.defs) Usuarios normales Se usan para usuarios individuales. Cada usuario dispone de un directorio de trabajo, ubicado generalmente en /home. Cada usuario puede personalizar su entorno de trabajo. Tienen solo privilegios completos en su directorio de trabajo o HOME. Por seguridad, es siempre mejor trabajar como un usuario normal en vez del usuario root, y cuando se requiera hacer uso de comandos solo de root, utilizar el comando su o sud. En las distros actuales de Linux se les asigna generalmente un UID superior a 500. La administracion de grupos en linux permite a root la posibilidad de integrar a un conjunto de usuarios con ciertos provilegios y limitaciones dentro de un grupo, donde podrán existir uno a mas usuarios. El sistema operativo hace uso de tres importantes ficheros durante el proceso de alta de algún usuario en el sistema por parte del administrador (root), estos ficheros son: /etc/passwd En este fichero se encuentran almacenados los datos sobre los comandos y directorios de cada usuario dado de alta en el sistema. Tiene la siguiente estructura pepito:x:501:500:sergio González:/home/sergio:/bin/bash Usuario.-Nombre de la cuenta con la que el usuario se logeara para acceder al sistema Password.-Contraseña de la cuenta del usuario que usara para logearse en el sistema UID.-Identificador del Usuario GID.-Identificador que indica a cual grupo pertenece el usuario Informacion Adicional.-Informacion detallada del usuario Home del Usuario.- Directorio de trabajo del usuario Shell.- Bash particular con la que el usuario trabajara 6

7 /etc/shadow En este fichero se encuentran almacenados los datos sobre las contraseñas encriptadas de cada usuario del sistema. Tiene la siguiente estructura: pepito:rfgf886dg778sdffdrru78asd:10568:0:-1:9:-1:-1:: Usuario.-Nombre de la cuenta con la que el usuario se logeara para acceder al sistema Password Cifrado.- Contraseña del usuario cifrada Parámetros del Password.-Informacion particular sobre el alta y caducidad de la cuenta. /etc/group En este fichero se encuentran almacenados los datos sobre los grupos creados en el sistema asi como los usuarios que pertenecen a cada grupo. Tiene la siguiente estructura: ventas:x:502:pepito,juanito,maria Grupo.-Nombre del grupo Password.- Contraseña del grupo GID.-Identificador que indica a cual grupo pertenece el usuario Miembros.- Usuarios pertenecientes al grupo /etc/login.defs En el archivo de configuración /etc/login.defs están definidas las variables que controlan los aspectos de la creación de usuarios y de los campos de shadow usadas por defecto. Algunos de los aspectos que controlan estas variables son: Número máximo de días que una contraseña es válida PASS_MAX_DAYS El número mínimo de caracteres en la contraseña PASS_MIN_LEN Valor mínimo para usuarios normales cuando se usa useradd UID_MIN El valor umask por defecto UMASK Si el comando useradd debe crear el directorio home por defecto CREATE_HOME Basta con leer este archivo para conocer el resto de las variables que son autodescriptivas y ajustarlas al gusto. Recuérdese que se usarán principalmente al momento de crear o modificar usuarios con los comandos useradd y usermod que se explican a continuación. Todos estos ficheros son editados por el sistema tras haber creado los usuarios por el administrador(root). 7

8 Administración de Grupos Dando de alta grupos Para dar de alta grupos en el sistema usaremos el comando groupadd el cual deberá ser aplicado según la siguiente estructura groupadd [opciones] nombredelgrupo Las opciones que pueden utilizarse con el comando groupadd son las siguientes: Opciones -g --gid Descripcion Define un GID para un grupo Define un grupo del sistema.un grupo del sistema es aquel que tiene un numero de -r identidad (GID) de grupo por debajo del numero 500 -f --force Fuerza al sistema a crear el grupo aunque este ya exista. Modificando grupos Para modificar grupos dados de alta en el sistema usaremos el comando groupmod el cual deberá ser aplicado según la siguiente estructura: groupmod [opciones] nombredelgrupo Las opciones que pueden utilizarse en con el comando groupadd son las siguientes: Opciones Descripcion -g --gid Define un nuevo GID para un grupo -n --new-name Permite cambiar el nombre del grupo por otro Eliminando grupos Para eliminar grupos en el sistema usaremos el comando groupdel el cual deberá ser aplicado según la siguiente estructura groupdel nombredelgrupo Administración de cuentas de Usuario Dando de alta cuentas de usuario Para dar de alta cuentas de usuario en el sistema usaremos el comando useradd el cual deberá ser aplicado según la siguiente estructura: useradd [opciones] nombredelusuario 8

9 Las opciones que pueden utilizarse con el comando useradd son las siguientes: Opciones Descripción Carpeta -d --home de trabajo que sera asignado al usuario Ejemplos a) -d /home/usuario1 b) -d /home/cmartinez Versión del Shell que se asigna al usuario, las opciones disponibles son: -s --shell a) -s /bin/bash Interprete de comandos de Linux equivalente a MS-DOS b) -s /sbin/nologin El usuario no podrá logearse en el sistema. Ideal para usuarios con acceso a Samba o FTP sin acceso al interprete de comandos Grupo principal al cual puede ser asignado un usuario -g --gid Ejemplos a) -g administracion b) -g Ventas Grupo secundario al cual puede ser asignado un usuario -G --groups Ejemplos a) -G desarrollojava b) -G ventasmedicas Identificador que sera asignado al usuario. Por defecto Linux asignara UID's a partir del numero 500 -u --uid Ejemplos a) -u 501 b) -u 503 c) -u 890 Se usa para especificar la fecha en la cual expira la cuenta. Debe especificarse en -e --expiredate el siguiente formato Año-Mes-Dia. Ejemplos a) -e b) -e m Crea el directorio del usuario /home/usuario y lo que haya en /etc/skel Eliminando cuentas de usuario Para eliminar cuentas de usuario en el sistema usaremos el comando userdel el cual deberá ser aplicado según la siguiente estructura userdel [opciones] nombredelusuario Las opciones que pueden utilizarse con el comando useradd son las siguientes: 9

10 Opciones Descripción -f --force Fuerza a remover el usuario del sistema aunque este este activo. -r --remove Elimina la carpeta de trabajo del usuario y todo su contenido. Modificando cuentas de usuario El comando usermod permite modificar o actualizar un usuario o cuenta ya existente. Sus opciones más comunes o importantes son las siguientes: usermod [opciones] nombredelusuario Opciones -c --change Descripción añade o modifica el comentario o campo 5 de /etc/paswd -d --directory modifica el directorio de trabajo del usuario, campo 6 de /etc/passwd -e cambia o establece la fecha de expiración de la cuenta, formato AAAA-MM-DD, campo 8 de /etc/shadow -g --group cambia el número de grupo principal del usuario (GID), campo 4 de /etc/passwd -G permite otros grupos a los que puede pertenecer el usuario separados por comas. -l --login cambia el login o nombre del usuario, campo 1 de /etc/passwd y de /etc/shadow -L bloquea la cuenta del usuario, no permitiéndole que ingrese al sistema. No borra ni cambia nada del usuario, solo lo deshabilita. -s cambia el shell por defecto del usuario cuando ingrese al sistema. -u cambia el UID del usuario. -U desbloquea una cuenta previamente bloqueada con la opción -L. Tanto en Windows como Linux hay entornos gráficos de gestión de usuarios. Windows 10

11 Linux Cuestión.- Busca en internet la diferencia entre el comando useradd y adduser. 2. Seguridade de contas de usuario. Seguridade de contrasinais. Uno de los aspectos más importantes en la seguridad de los sistemas informáticos es el acceso al mismo por parte de usuarios no deseados. En un estudio realizado en la década pasada se constató que el 70% de los usuarios usaban contraseñas fáciles de descubrir (fecha de nacimiento, nomobre de hijos o familiares, número de teléfono, ) Una buena contraseña debe constar de un número mínimo de caracteres, no menos de seis y una combinación de letras (mayúsculos y minúsculas), números y caracteres especiales. WINDOWS Las cuentas de administrador no están pensadas para utilizarlas en el día a día, suponiendo un riesgo para la seguridad. En el uso diario se recomienta utilizar, para cada uno de los usuarios del sistema, una cuenta con privilegios limitados con las que poder desempeñar las actividades cotidianas. Lo mismo sucede en Linux. Las cuentas de usuario permiten que varias personas compartan un mismo equipo sin dificultad. Cada persona puede tener su propia cuenta de usuario con una configuración y preferencias únicas, como el fondo de escritorio o el protector de pantalla. Las cuentas de usuario controlan los archivos y programas a los que se puede obtener acceso y los tipos de cambios que se pueden realizar en el equipo. Normalmente, se deben crear cuentas estándar para la mayoría de los usuarios de equipos y dependerá si el equipo pertenece a un grupo de trabajo o a un dominio. 11

12 Hoy en día los SO también permite el acceso al sistema, si el equipo lo soporta, mediante huellas dactilar. Windows, encripta las contraseñas en un archivo SAM, que reside en algún lugar de la carpeta SYSTEM (windows/system32/congigure/sam, dependiendo de la versión de Windows) y/o en el mismo registro del sistema. Le método de encriptación creando estos archivos "hash", opera de tal manera que la información que ingresa el usuario como contraseña, "rebota" por así decirlo contra el registro del sistema y el mismo archivo, creando una cadena única de caracteres; o sea puedes abrir estos archivos SAM y verlos en el block de notas, pero no existe método mecánico ni método o tabla para descifrarlos. Otra cosa son las contraseñas de las diferentes aplicaciones que tenemos. Suelen guardarse en el perfil local del usuario en o en el registro del sistema. LINUX Anteriormente (en sistemas Unix) las contraseñas cifradas se almacenaban en el mismo /etc/passwd. El problema es que 'passwd' es un archivo que puede ser leído por cualquier usuario, aunque solo modificado por root. Un ordenador potente con un buen programa de descifrado de contraseñas y paciencia es posible "crackear" contraseñas débiles (por eso la conveniencia de cambiar periódicamente la contraseña de root y de otras cuentas). El archivo 'shadow', resuelve el problema, solo puede ser leído por root. De todas formas si deseamos guardar en passwd las contraseñas se utilizaría el comando pwunconv. Las recomendaciones para Windows son de aplicación para Linux. No usar el administrador o root para tareas que no sean de administración y utilizar contraseñas con una cierta complejidad. El comando Linux que gestiona la contraseñas es: password Opciones Descripción -a Mostrar los atributos de contraseña para todas las entradas. -l Bloquear la entrada de contraseña por nombre. -d Elimina contraseña por nombre. Al nombre de acceso no se le pedirá contraseña. -f Fuerza al usuario a cambiar la contraseña en el próximo acceso mediante la expiración de la contraseña para el nombre -a Mostrar los atributos de contraseña para todas las entradas. 3. Configuración de perfís locais de usuario.. En este apartado haremos referencia a los perfiles locales, es decir, a equipos no conectados a un dominio o directorio activo. 12

13 WINDOWS Los perfiles de usuario son una de las herramientas más importantes de Windows para la configuración del entorno de trabajo. Definen un entorno de escritorio personalizado, en el que se incluye la configuración individual de la pantalla, así como las conexiones de red, las impresoras Cada usuario puede tener un perfil asociado a su nombre de usuario que se guarda en su ordenador, (o en el caso de Windows 2010 Server en el mismo servidor), y el usuario o el administrador de sistema pueden definir el entorno de escritorio. Localización: C:\Documents and Settings\All Users, las configuraciones de la carpeta All Users se utilizan para crear los perfiles de usuario individuales. (La carpeta All Users también contiene valores de configuración por equipo para el escritorio y el menú inicio) y que son las que se cargan por defecto la primera vez que se loguea un usuario. Archivo Ntuser.dat: es una parte del registro del perfil de usuario. Cuando un usuario cierra su sesión, el sistema carga la sección del registro específica de dicho usuario (es decir, HKEY_CURRENT_USER) en Ntuser.dat y la actualiza. Existen varios tipos de perfiles de usuario: Perfil de usuario local: se crea la primera vez que un usuario inicia sesión en un ordenador y se almacena en el disco duro local. Todas las modificaciones efectuadas en un perfil de usuario local son específicas del equipo concreto en el que se hayan realizado. Perfil de usuario móvil: orientado a servidores, lo crea el administrador de sistema y se almacena en un servidor. Se descarga al equipo local cuando un usuario inicia sesión y se actualiza tanto localmente como en el servidor cuando el usuario cierra sesión. Perfil de usuario obligatorio: no se actualiza cuando el usuario cierra la sesión. Se descarga en el escritorio del usuario cada vez que inicia sesión. Perfil de usuario temporal: se elimina al final de cada sesión. Los cambios realizados por el usuario en la configuración del escritorio y los archivos se pierden cuando cierra sesión. Los perfiles de usuario ofrecen varias ventajas: Varios usuarios pueden utilizar el mismo equipo. Cuando los usuarios inician una sesión en sus ordenadores, reciben la configuración de escritorio que tenían al terminar su última sesión. La personalización del entorno de escritorio efectuada por un usuario no afecta a la configuración del resto de los usuarios, es decir, en el perfil de usuario queda almacenado: Datos de programa: Datos específicos de los programas (por ejemplo: un diccionario personalizado, perfiles de programas ) Cookies: Información y preferencias del usuario. Escritorio: Elementos del escritorio: incluidos archivos, accesos directos, carpetas y wallpaper. 13

14 Favoritos: Accesos directos a las ubicaciones favoritas de Internet. Configuración local: Archivos de datos de programas, historial y temporales. Mis documentos: Documentos y subcarpetas del usuario. Documentos recientes: Accesos directos a los documentos utilizados recientemente. Mis sitios de red: Accesos directos a elementos de Mis sitios de red. Impresoras: Accesos directos a elementos de la carpeta Impresoras. SendTo Accesos directos a las utilidades de control de los documentos. Menú Inicio: Accesos directos a programas. Plantillas: Elementos de plantillas del usuario. Como se puede ver cada vez que formateamos el sistema operativo tenemos que volver a configurar todos los elementos del perfil de usuario, por lo que copiando y teniendo un backup de nuestro perfil de usuario podríamos ahorrarnos mucho tiempo configurando todo nuestro entorno de trabajo. 14

15 LINUX En linux no hay una distinción de perfiles locales y perfiles móviles tal como la entendemos en Windows (salvo las versiones Server) ya que Linux en sí solo trabaja con un perfil de usuario que es el que se carga por defecto cuando se da alta el usuario. En los sistemas LINUX/UNIX existe un fichero de configuración de nuestro perfil que es el.profile. Éste fichero siempre se encuentra en el directorio HOME de cada usuario. Se carga cada vez que nos logueamos. A continuación veremos como editar el fichero de perfil de usuario y veamos un pequeño ejemplo de qué se puede hacer con él. Para ver el.profile de un determinado usuario, nos situamos en su directorio home, es decir, aquel en el que se encuentra el usuario nada más loguearse, y una vez allí, ejecutaremos en la consola el siguiente comando: # ls -lrta grep.profile De ésta manera veremos un listado largo, apareciendo por orden de abajo a arriba los ficheros ordenados por fecha (el más reciente se encuentra abajo del todo) que contengan ".profile", en éste caso unicamente el fichero que buscamos: # more.profile para ver el contenido del fichero, que dependiendo de la versión de Linux/UNIX puede tener ya algún contenido. Editantdo el fichero podemos añadir lo que deseemos al.profile, teniendo en cuenta que cada vez que nos logueemos en el sistema de la siguiente forma: su usuario se carga el.profile y se ejecuta todo lo que éste contenga. Para entendernos podríamos decir que el fichero.profile es un script de inicio de sesión, que se ejecuta cada vez que el usuario se loguea en el sistema. Ésto puede resultar muy útil, sobre todo para tareas rutinarias. Por ejemplo, si quisieramos que cada vez que accedieramos al sistema en lugar de situarnos en nuestro home, nos fuéramos al 15

16 determinado directorio bastaría con agregar: cd /ruta/del/directorio y cada vez que nos logueemos automaticamente nos situaremos en directorio. También podemos mostrar un mensaje bienvenido con la orden echo.veamos en un pequeño ejemplo, algunas cosas que puede realizar el.profile. En el ejemplo siguiente: Como vemos el script no es perfecto, podríamos extendernos en comprobar si el directorio prueba existe, o en verificar si existe ya un backup previo y en ese caso renombrarlo para poder realizar un backup actualizado etc. En definitiva, todo lo que se nos ocurra, pero con éste ejemplo simple bastará para entendernos. Veamos pues el resultado: Nos logueamos de la siguiente forma: su usuario e introducimos la contraseña Como vemos se han ejecutado las órdenes. Veamos en el directorio prueba el contenido del archivo generadobackup_prueba.tar mediante el comando tar -tf backup_prueba.tar 16

17 Vemos que el.tar contiene todos los archivos que había en prueba, por lo que todo fué bien. Por último veamos que paso en caso de loguearnos sin el guión: su usuario Como vemos simplemente aparecemos en nuestro HOME, y el.profile no ha sido cargado, por eso no realiza nada. En definitiva, el archivo.profile permite realizar tareas que deseemos hacer cada vez que nos logueemos y puede resultar extremadamente útil, pudiendo llegar a hacer montones de cosas, simplemente sabiendo comandos de Linux/UNIX. Otros ficheros en la configuración de usuario sonb.bashrc: contiene las funciones de configuración como el umask, PS1 del prompt y se ejecuta cada vez que el usuario invoca el shell. Es llamado por el bash_profile bash_history: guarda un log con los comandos ejecutados por el usuario que se muestran en el comando history. bash_logout: se ejecuta cuando el usuario hace exit o sale del sistema 17

18 4. Directivas locales El concepto de directivas locales esta relacionado con la familia Windows. Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para: Establecer el título del explorador de Internet Ocultar el panel de control Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE etc Las GPO que estudiaremos se hará a nivel local. Cuando veamos el Directorio Activo lo estudiaremos a nivel de Dominio. Podemos definir dos categorías de tipos troncales de directivas: 1. Según su función 2. Según su objeto de configuración Directivas según su función Hay dos tipos troncales de directivas según su función: Directivas de seguridad: Cuántos caracteres tiene una contraseña? Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas: a. A nivel de dominio: Son aplicadas en todas las máquinas del dominio. 18

19 b. A nivel de controladores de dominio: Se aplican tan sólo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradicción una y otra, se aplica la del dominio, no la de los controladores de dominio). c. A nivel local, donde no se pueden aplicar todas las que se aplican en los otro niveles. Directivas de Entorno (GPO -> Group Policy Object): Quién tiene acceso al panel de control? Cuál es el tamaño máximo del archivo de registro de sistema? Pueden ser aplicadas: a. A nivel de equipo local b. A nivel de sitio c. A nivel de dominio d. A nivel de Unidad Organizativa (OU -> Organizational Unit). Directivas según el objeto al que configuran. Respecto al objeto al que configuran también son dos: Configuración del equipo: que se divide en: i. Configuración de software ii. Configuración de Windows iii. Plantillas administrativas Configuración del usuario, que al igual que la de Windows se divide en: i. Configuración de software ii. Configuración de Windows iii. Plantillas administrativas Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de éstas son diferentes las políticas que se encuentran. Las GPO s pueden estar contenidas en cuatro tipos de objetos: 1. Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con gpedit.msc. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer). 2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. 3. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. 4. Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU). Para lanzar las directivas locales en cmd ejecutamos gpedit.msc y en Windows 8 nos aparece algo así como: 19

20 5. Servizos e Procesos WINDOWS Un proceso puede definirse como un programa en ejecución. Los sistemas operativos multitarea, como Windows, permiten la ejecución simultánea de múltiples procesos. En estos sistemas, la CPU se va repartiendo entre los diferentes procesos, de modo que todos ellos se vayan ejecutando en tiempo compartido. Para observar y llevar el control de los procesos que se encuentran en ejecución en el sistema, Windows proporciona una herramienta denominada Administrador de tareas. Para cada proceso se muestran varios campos de información. Lo normal es que los campos mostrados sean los siguientes: Nombre de imagen: Es el nombre del programa ejecutable desde el que se cargó el proceso. Nombre de usuario: Es la cuenta de usuario utilizada por el proceso en su ejecución. Dicha cuenta establece el entorno de seguridad del proceso. CPU: Indica el porcentaje de CPU consumida por un proceso. Uso de memoria: Es la cantidad de memoria utilizada por el proceso. PID: Se trata de un número entero que identifica al proceso dentro del sistema. A cada 20

21 proceso se le asigna un número diferente. PID es el acrónimo de Process Identifier. Hay más parámetros pero estos son los habituales. Administrador de tareas tras la ejecución del comando taskmgr Los servicios son programas o procesos que se ejecutan con el sistema sin que el usuario los arranque. Estos servicios se arrancan (o no, dependiendo de su configuración) con el equipo y realizan las funciones para las que han sido desarrollados (Wifi, Firewall, Servicios de Servidor, Compartir carpetas, etc). Los hay que son prescindibles de ejecutarse en el arranque. Cualquier programa puede convertirse en un servicio y muchos de los programas (antivirus, firewalls, etc) que instalamos en nuestro equipo se instalan como tales para estar siempre se arrancados funcionando como parte del sistema operativo. Para ver y administrar los servicios tenemos que usar la consola de administración de servicios. Podemos acceder a ella desde el Administrador de equipos en Servicios y aplicaciones, o directamente ejecutando: services.msc. Tendremos una pantalla similar a esta: 21

22 En la que podremos ver todos los servicios del equipo, nombre, descripción, estado, etc. Con doble click sobre cualquiera o botón derecho propiedades entraremos en sus detalles. 22

23 Todos los servicios tienen una serie de Propiedades comunes: Nombre del Servicio: Los servicios tienen un nombre único por cada uno de ellos. Nombre para mostrar: El nombre que se le da al servicio y por el que podemos entender su función. Este cambia dependiendo del idioma de Windows. Descripción: explicación ampliada de su función. Ruta de acceso al ejecutable: nos indica cual es el programa que se arranca con este servicio. Tipo de Inicio: Un servicio puede estar en Automático, se arranca con el sistema operativo, Manual, se arranca al necesitarse por alguno otro servicio o por ejecución de algún programa reaccionado, Deshabilitado, no se arrancara de ninguna manera y el Tipo de Inicio Automático (Inicio retrasado) que esperara a que otros servicios o sistemas de Windows arranquen para arrancar el servicio. Estado del Servicio: Iniciado, el servicio esta ejecutándose, Detenido, el servicio no se esta ejecutando, Pausado el servicio esta en ejecución pero no se están realizando sus tareas y Reanudar restablece el estado si el servicio estaba Pausado. Dependiendo del servicio algunos de los Estados no se pueden aplicar. Por ejemplo el serviciollamada a procedimiento remoto (RPC) (RpcSs) al ser un servicio imprescindible para Windows no se puede pausar, detener, ni cambiar su Tipo de Inicio. Cuando cambiamos el Tipo de Inicio de un servicio (de automático a manual, p.e.) este no sera efectivo hasta que no reiniciemos el equipo. Si detenemos un servicio este se descargara de la memoria, si lo pausamos continuara en ejecución pero sin funcionar. Un servicio Deshabilitado no se puede Iniciar, primero poner en Manual y luego Iniciar Normalmente los servicios se ejecutan con los permisos de los usuarios: Sistema Local, Servicio de Red o Servicio Local, estos usuarios (que realmente no existen como tales) tiene los permisos necesarios para arrancar el servicio y que este ejecute sus funciones. A veces necesitamos que un servicio se ejecute con permisos de un usuario (real) del equipo, para poder acceder a recursos sobre los que este usuario tenga permisos, es habitual arrancar servicios con usuarios concretos en, por ejemplo, tareas de Backup, acceso a servidores de correo, Clusters, etc, a este usuario se le tienen que otorgar derechos de ejecución como servicio. Los Perfiles de Hardware son configuraciones específicas en la que seleccionamos que dispositivos y/o servicios que podemos tener en nuestro equipo. Estos perfiles se seleccionaran al arranque del equipo. Esta funcionalidad era muy usada en las versiones de Windows NT para poder arrancar diferentes configuraciones estando conectado a una red o fuera de esta. 23

24 En la pestaña de Recuperación podemos establecer que pasara si el servicio tiene un error. Lo mas normal es que al tener un error el servicio se pare, dependiendo del servicio es muy posible que tenga que ejecutarse siempre, en estas opciones (muy desaprovechadas) se puede reiniciar el servicio, ejecutar un programa que nos avise de que se ha parado, e incluso reiniciar el equipo, si el equipo con este servicio parado no debe funcionar. Algunos servicios, para que puedan realizar su función, tienen que interactuar con otros, en esta pestaña de dependencias veremos qué servicios depende de este o que servicios dependen de él para funcionar. Si el servicio del que dependen no arranca el servicio no arranca y no arrancan lo dependientes. 24

25 Para acabar Un servicio es un servicio, aparte de por su programación, por estar definido como tal en la clave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Si queremos eliminarlo de la consola de Servicios, lo tendremos que borrar de la correspondiente clave del registro, previa copia de seguridad del registro. Desde Linea de comandos (cmd) podemos usar net start para arrancar un servicio y net stop para pararlo, net pause o net continue. El comando sc es mucho más potente para administrar servicios. Desde el punto de vista de la seguridad hay que señalar que existen Virus y otro malware que se instalan en nuestro equipo como un servicio, para detectarlos podemos seguir estas sugerencias. LINUX Linux, como se sabe, es un sistema operativo multitarea y multiusuario. Esto quiere decir que múltiples procesos pueden operar simultáneamente sin interferirse unos con los otros. Cada proceso tiene la "ilusión" que es el único proceso en el sistema y que tiene acceso exclusivo a todos los servicios del sistema operativo. Programas y procesos son entidades distintas. En un sistema operativo multitarea, múltiples instancias de un programa pueden ejecutarse sumultáneamente. Cada instancia es un proceso separado. Por ejemplo, si cinco usuarios desde equipos diferentes, ejecutan el mismo programa al mismo tiempo, habría cinco instancias del mismo programa, es decir, cinco procesos distintos. ps: es el comando que permite informar sobre el estado de los procesos. Esta basado en el sistema de archivos /proc, es decir, lee directamente la información de los archivos que se encuentran en este directorio. Opciones más importantes: p o PID Process ID, número único o de identificación del proceso. P o PPID Parent Process ID, padre del proceso U o UID User ID, usuario propietario del proceso t o TT o TTY Terminal asociada al proceso, si no hay terminal aparece entonces un '?' T o TIME Tiempo de uso de cpu acumulado por el proceso c o CMD El nombre del programa o camndo que inició el proceso RSS Resident Sise, tamaño de la parte residente en memoria en kilobytes SZ o SIZE Tamaño virtual de la imagen del proceso NI Nice, valor nice (prioridad) del proceso, un número positivo significa menos tiempo de procesador y negativo más tiempo (-19 a 19) C o PCPU Porcentaje de cpu utilizado por el proceso STIME Starting Time, hora de inicio del proceso 25

26 S o STAT Status del proceso, estos pueden ser los siguientes R runnable, en ejecución, corriendo o ejecutándose S sleeping, proceso en ejecución pero sin actividad por el momento, o esperando por algún evento para continuar T stopped, proceso detenido totalmente, pero puede ser reiniciado Z zombie, difunto, proceso que por alguna razón no terminó de manera correcta, no debe haber procesos zombies D uninterruptible sleep, son procesos generalmente asociados a acciones de IO del sistema X dead, muerto, proceso terminado pero que sigue apareciendo, igual que los Z no deberían verse nunca Cada proceso que se inicia es referenciado con un número de identificación único conocido como Process ID PID, que es siempre un entero positivo. Prácticamente todo lo que se está ejecutando en el sistema en cualquier momento es un proceso, incluyendo el shell, el ambiente gráfico que puede tener múltiples procesos, etc. La excepción a lo anterior es el kernel en si, el cual es un conjunto de rutinas que residen en memoria y a los cuales los procesos a través de llamadas al sistema pueden tener acceso. A continuación algunos cuantos ejemplos de ps con la salida recortada. # ps -e (-e muestra todos los procesos) PID TTY TIME CMD 1? 00:00:01 init 2? 00:00:00 kthreadd 3? 00:00:00 migration/0 4? 00:00:00 ksoftirqd/0 # ps -ef UID (-f muestra opciones completas) PID PPID C STIME TTY TIME CMD root :12? 00:00:01 init [5] root :12? 00:00:00 [kthreadd]... root :24 pts/0 00:00:00 su - root :24 pts/0 00:00:00 -bash sergon :28? 00:00:00 kio_file [kdeinit] file /home/sergon/tmp/ksocket-sergon/kl root :38 pts/0 00:00:00 ps -ef 26

27 # ps -ef UID (-F muestra opciones completas extra) PID PPID C SZ RSS PSR STIME TTY root root sergon :59? :59? TIME CMD 00:00:01 init [5] 00:00:00 [kthreadd] 0 17:07? 00:00:00 /bin/sh /usr/lib/firefox /run-mozilla.sh /usr/lib/f sergon :07? 00:00:50 /usr/lib/firefox /mozilla-firefox-bin sergon :17? # ps ax 00:00:10 quanta (formato BSD sin guión, a muestra todos, x sin mostrar tty) PID TTY STAT TIME COMMAND 1? Ss 0:01 init [5] 2? S< 0:00 [kthreadd] 3? S< 0:00 [migration/0] 4? S< 0:00 [ksoftirqd/0] # ps aux (formato BSD sin guión, u muestra usuarios y demás columnas) USER PID %CPU %MEM root root ? S< 16:59 0:00 [kthreadd] root ? S< 16:59 0:00 [migration/0] root ? S< 16:59 0:00 [ksoftirqd/0] root ? S< 16:59 0:00 [migration/1] # ps -eo user,pid,tty VSZ RSS TTY 556? Ss 16:59 STAT START TIME COMMAND 0:01 init [5] (-o output personalizado, se indican los campos separados por coma, ver ps --help o ps L) USER PID TT root 1? root 2? sergon 8570 tty 1 # ps -eh (muestra árbol de procesos) # ps axf (lo mismo en formato BSD) # ps -ec (el comando que se esta ejecutando, sin la ruta, solo el nombre real) # ps -el (muestra formato largo de varias columnas, muy práctico) # ps L (No muestra procesos, lista todos los códigos de formatos) 27

28 pstree Muestra los procesos en forma de árbol, pstree help te da las opciones más comunes. Recomiendo uses lo uses con la opción -A y -G para que te un árbol con líneas con líneas estilo ASCII y de terminal VT100 respectivamente, puedes añadir también -u para mostrar entre paréntesis al usuario propietario del proceso: # pstree -AGu init---acpid -atd(daemon) -automount----2*[{automount}] -avahi-daemon(avahi) -beagled(sergon)----7*[{beagled}] -beagled-helper(sergio)----3*[{beagled-helper}] -compiz(sergon)----kde-window-deco -console-kit-dae----61*[{console-kit-dae}] -crond -dbus-daemon(messagebus) -dbus-daemon(sergio) -dbus-launch(sergio) -dcopserver(sergio) -dhclient -gam_server(sergio) -gconfd-2(sergio) -hald(haldaemon)----hald-runner(root)----hald-addon-acpi(haldaemon) -hald-addon-cpuf -hald-addon-inpu -hald-addon-stor -httpd---8*[httpd(apache)] -2*[ifplugd] -ipw3945d -kaccess(sergio)... 28

29 kill: El comando kill, que literalmente quiere decir matar, sirve no solo para matar o terminar procesos sino principalmente para enviar señales (signals) a los procesos. La señal por default (cuando no se indica ninguna es terminar o matar el proceso), y la sintaxis es kill PID, siendo PID el número de ID del proceso. Asi por ejemplo, es posible enviar una señal de STOP al proceso y se detendrá su ejecución, después cuando se quiera mandar una señal de CONTinuar y el proceso continuara desde donde se quedo. # kill -l (lista todas las posibles señales que pueden enviarse a un proceso) 1) SIGHUP 2) SIGINT 5) SIGTRAP 6) SIGABRT 9) SIGKILL 13) SIGPIPE 10) SIGUSR1 14) SIGALRM 3) SIGQUIT 4) SIGILL 7) SIGBUS 8) SIGFPE 11) SIGSEGV 12) SIGUSR2 15) SIGTERM 16) SIGSTKFLT 17) SIGCHLD 18) SIGCONT 19) SIGSTOP 21) SIGTTIN 22) SIGTTOU 23) SIGURG 25) SIGXFSZ 26) SIGVTALRM 27) SIGPROF 29) SIGIO 30) SIGPWR 31) SIGSYS 20) SIGTSTP 24) SIGXCPU 28) SIGWINCH 34) SIGRTMIN 35) SIGRTMIN+1 36) SIGRTMIN+2 37) SIGRTMIN+3 38) SIGRTMIN+4 39) SIGRTMIN+5 40) SIGRTMIN+6 41) SIGRTMIN+7 42) SIGRTMIN+8 43) SIGRTMIN+9 44) SIGRTMIN+10 45) SIGRTMIN+11 46) SIGRTMIN+12 47) SIGRTMIN+13 48) SIGRTMIN+14 49) SIGRTMIN+15 50) SIGRTMAX-14 51) SIGRTMAX-13 52) SIGRTMAX-12 53) SIGRTMAX-11 54) SIGRTMAX-10 55) SIGRTMAX-9 56) SIGRTMAX-8 57) SIGRTMAX-7 58) SIGRTMAX-6 59) SIGRTMAX-5 60) SIGRTMAX-4 61) SIGRTMAX-3 62) SIGRTMAX-2 63) SIGRTMAX-1 64) SIGRTMAX La lista previa presenta una lista de todas las posibles señales que pueden mandarse a un proceso y estas pueden ser invocadas a través del número de la señal o de su código, por ejemplo: #> kill (termina, mata un proceso completamente) #> kill -SIGKILL (Lo mismo que lo anterior) Las señales más comunes son la 19 y 20 que detienen momentáneamente la ejecución de un proceso o programa, 18 la continua, 1 que es la señal de hang up que obliga al proceso a releer sus archivos de configuración estando en ejecución y 9 que termina rotundamente un proceso. 29

30 killall: El comando killall, que funciona de manera similar a kill, pero con la diferencia de en vez de indicar un PID se indica el nombre del programa, lo que afectará a todos los procesos que tengan ese nombre. Asi por ejemplo si se tienen varias instancias ejecutándose del proxy server squid, con killall squid eliminará todos los procesos que se esten ejecutando con el nombre 'squid' # killall -l (lista de posibles señales) # killall -HUP httpd (manda una señal de "colgar", detenerse releer sus archivos de configuración y reiniciar) # killall -KILL -i squid (manda señal de matar a todos los procesos squid pero pide confirmación en cada uno) nice: Permite cambiar la prioridad de un proceso. Por defecto, todos los procesos tienen una prioridad igual ante el CPU que es de 0. Con nice es posible iniciar un programa (proceso) con la prioridad modificada, más alta o más baja según se requiera. Las prioridades van de -20 (la más alta) a 19 la más baja. Solo root o el superusuario puede establecer prioridades negativas que son más altas. Con la opción -l de ps es posible observar la columna NI que muestra este valor. #> nice (sin argumentos, devuelve la prioridad por defecto ) #> nice -n -5 comando (inicia comando con una prioridad de -5, lo que le da más tiempo de cpu) renice Asi como nice establece la prioridad de un proceso cuando se incia su ejecución, renicepermite alterarla en tiempo real, sin necesidad de detener el proceso. #> nice -n -5 yes (se ejecuta el programa 'yes' con prioridad -5) (dejar ejecutando 'yes' y en otra terminal se analiza con 'ps') #> ps -el F S UID PID PPID C PRI NI ADDR SZ WCHAN TTY 4S write_ pts/2 TIME CMD 00:00:00 yes #> renice : prioridad antigua -5, nueva prioridad 7 #> ps -el F S UID PID PPID C PRI NI ADDR SZ WCHAN TTY 4S write_ pts/2 30 TIME CMD 00:00:15 yes

31 (obsérvese el campo NI en el primer caso en -5, y en el segundo con renice quedó en 7, en tiempo real) nohup y &: Cuando se trata ejecutar procesos en background (segundo plano) se utiliza el comando nohup o el operador &. Aunque realizan una función similar, no son lo mismo. Si se desea liberar la terminal de un programa que se espera durará un tiempo considerable ejecutándose, entonces se usa. Esto funciona mejor cuando el resultado del proceso no es necesario mandarlo a la salida estándar (stdin), como por ejemplo cuando se ejecuta un respaldo o se abre un programa Xwindow desde la consola o terminal. Para lograr esto basta con escribir el comando en cuestión y agregar al final el símbolo & (ampersand). $> yes > /dev/null & $> tar czf respaldo /documentos/* > /dev/null/ & $> konqueror & (con estos ejemplos se ejecuta el comando y se libera la terminal regresando el prompt) Sin embargo lo anterior produce que el padre del proceso PPID que se invocó sea el proceso de la terminal en si, por lo que si cerramos la terminal o salimos de la sesión también se terminaran los procesos hijos que dependan de la terminal, no muy conveniente si se desea que el proceso continué en ejecución. Para solucionar lo anterior, entonces se usa el comando nohup que permite al igual que '&' mandar el proceso y background y que este quede inmune a los hangups (de ahí su nombre nohup) que es cuando se cuelga o termina la terminal o consola de la cual se ejecutó el proceso. $> nohup yes > /dev/null & $> nohup czf respaldo /documentos/* > /dev/null/ $> nohup konqueror Asi se evita que el proceso se "cuelgue" al cerrar la consola. jobs: Si por ejemplo, se tiene acceso a una única consola o terminal, y se tienen que ejecutar varios comandos que se ejecutarán por largo tiempo, se pueden entonces como ya se vió previamente con nohup y el operador '&' mandarlos a segundo plano o background con el objeto de liberar la terminal y continuar trabajando. Pero si solo se está en una terminal esto puede ser difícil de controlar, y para eos tenemos el comando jobs que lista los procesos actuales en ejecución: #> yes > /dev/null & [1] #> ls -lar > archivos.txt & [2]

32 #> jobs [1]- Running yes >/dev/null & [2]+ Running ls --color=tty -lar / >archivos.txt & En el ejemplo previo, se ejecutó el comando yes y se envió a background (&) y el sistema devolvió [1] 26837, indicando asi que se trata del trabajo o de la tarea [1] y su PID, lo mismo con la segunda tarea que es un listado recursivo desde la raíz y enviado a un archivo, esta es la segunda tarea. Con los comandos fg (foreground) y bg background es posible manipular procesos que esten suspendidos temporalmente, ya sea porque se les envió una señal de suspensión como STOP (20) o porque al estarlos ejecutando se presionó ctrl-z. Entonces para reanudar su ejecución en primer plano usaríamos fg: #> jobs [1]- Stopped yes >/dev/null & [2]+ Stopped ls --color=tty -lar / >archivos.txt & #> fg %1 #> jobs [1]+ Running [2]- Stopped yes >/dev/null & ls --color=tty -lar / >archivos.txt & Obsérvese como al traer en primer plano al 'job' o proceso 1, este adquirió el símbolo [+] que indica que esta al frente. Lo mismo sería con bg que volvería a reinicar el proceso pero en segundo plano. Y también es posible matar los procesos con kill indicando el número que devuelve jobs: kill %1, terminaría con el proceso en jobs número Acceso a recursos. Permisos locais. WINDOWS Para limitar el inicio de sesión en el sistema vamos aplicar los comandos en Windows. Cuando instalemos el AD (Active Directory) utilizaremos el modo gráfico. net user nombredeusuario y time: logon_times. Donde user es el nombre de la cuenta de usuario, y donde logon_times son los días y horas que desea permitir el acceso a la del dominio), Días pueden reducidas nombre completo (por ejemplo, lunes) o abreviados (por ejemplo, M, T, W, TH, F, SA, SU). Horas pueden estar en notación de 12 horas (AM y PM) o formato de 24 horas (13:00). Un valor en blanco indica que el usuario no puede iniciar sesión. Un valor de todos los significa que un usuario siempre puede iniciar sesión. 32

33 Se usa un guión ( - ) para marcar un intervalo de días o de horas. Por ejemplo, para crear un intervalo del lunes al viernes se escribe M-F, o monday-friday. Para crear un intervalo de tiempo de 8:00 P.M. a las 5: 00 P.M., se escriba 8:00am 5:00pm, 8 5pm o 8:00 17:00. Los días sueltos de días y hora se separa por comas (por ejemplo, monday, 8 5pm). Se separan unidades días y hora con punto y coma (por ejemplo, monday, 8 5pm; tuesday, 8 4pm; wednesday, 8 3pm). No utilizar espacios entre días u horas. net user nombre /times: {día[-día][,día[-día]],hora[-hora][,hora[-hora]][;] all} Ejemplos: Para limitar a un grupo llamado plantilla durante el fin de semana desde el viernes a las 21:00 hasta el lunes a las 9:00, usaríamos este comando: net group plantilla /times:lu[-vi],9:00[-21:00]; Para limitar a la usuaria deborath durante el fin de semana desde el viernes a las 21:00 hasta el lunes a las 9:00, usaríamos este comando: net user deborath /times:lu[-vi],9:00[-21:00]; Más complicado y para el usuario Luiscova: - Lunes de 4:00 a 17:00 - Martes de 13:00 a 15:00 - De miercoles a viernes de 8:00 a 17:00 net user luiscova /times:m,4am-5pm;t,1pm-3pm;w-f,8:00-17:00 Limitando cuota Para habilitar la administración de cuota de disco en Microsoft Windows Server 2008 pulsaremos con el botón derecho del ratón sobre la Unidad de Disco Propiedades a la que queramos habilitarle la administración de cuota: Accederemos a la pestaña o solapa "Cuota", marcaremos las siguientes opciones: Habilitar la administración de cuota: marcaremos esta opción obligatoriamente para habilitar las cuotas de disco para esta unidad. Denegar espacio de disco a usuarios que excedan el límite de cuota: si queremos que el sistema operativo no permita que un usuario use más espacio del asignado marcaremos esta opción. Cuando un usuario intente utilizar más espacio del asignado le dará un error indicando que falta espacio en unidad destino. De esta forma conseguiremos que los usuarios nunca excedan la cuota asignada. 33

34 No limitar uso de disco: marcando esta opción los usuarios no tendrán límite de cuota de disco. Limitar espacio de disco a: marcando esta opción limitaremos cada usuario a la cuota indicada (en KB, MB, GB, TB, PB, EB). Es recomendable utilizar esta opción para definir un límite estándar y luego usar los Valores de cuota para indicar la cuota que tendrán los usuarios excepcionales (aquellos a los que queramos establecerle más o menos cuota de disco. Establecer el nivel de advertencia en: con esta opción podremos indicar al sistema operativo que registre un suceso cuando un usuario llegue al nivel de advertencia indicado. Registrar suceso cuando un usuario exceda su límite de cuota: marcando esta opción el sistema operativo añadirá un nuevo suceso en el visor de sucesos de Windows cada vez que un usuario exceda su límite de cuota asignado (bien por el predeterminado o por el valor de cuota si lo tuviera). Registrar suceso cuando un usuario exceda su nivel de advertencia: marcando esta opción el sistema operativo añadirá un nuevo suceso en el visor de sucesos de Windows cada vez que un usuario exceda el nivel de advertencia asignado. Una vez establecida la configuración básica para las cuotas de disco pulsaremos en "Valores de cuota" si queremos establecer valores de cuota a usuarios determinados distintos del predeterminado: 34

35 En la ventana de "Entradas de cuota para Disco local..." pulsaremos en el menú "Cuota" "Nueva entrada de cuota". En la ventana de selcción de usuarios introduciremos el usuario o usuarios a los que se les aplicará este valor de cuota: En la ventana de "Agregar nueva entrada de cuota" indicaremos las siguientes posibilidades: No limitar uso de disco: marcando esta opción el usuario o usuarios no tendrán límite de disco, podrán usar el que quieran mientras quede espacio en disco. Limitar espacio de disco a...: con esta opción indicaremos qué limite de espacio tendrá este usuario, podremos establecerlo en KB, MB, GB, TB, PB, EB. Establecer el nivel de advertencia en...: introduciremos el espacio a partir del cual se creará una nueva entrada en el visor de sucesos de Windows. En la ventana de Entradas de cuota podremos ir viendo todos los usuarios del sistema o del dominio y la cantidad de disco utilizada, límite de cuota, nivel de advertencia y porcentaje de uso. Una vez creados los valores de cuota para los usuarios a los que queramos establecerles una cuota diferente a la predeterminada cerraremos esta ventana de Entradas de cuota. Pulsaremos en el botón "Aplicar" de la ventana de Propiedades de Disco. Antes de aplicar y habilitar la administración de cuota nos mostrará un mensaje al que pulsaremos "Aceptar" para continuar. Si volvemos a entrar nuevamente en las Cuotas de disco podremos ver en "Estado": El sistema de cuota de disco está activado 35

36 LINUX En los sistemas UNIX/LINUX existe la posibilidad de limitar recursos a los usuarios o grupos, por ejemplo, máximo numero de logins que puede realizar simultáneamente un usuario, el máximo tiempo de CPU, el máximo numero de procesos etc. Estos límites se controlan en LINUX a través del fichero /etc/security/limits.conf. También es posible limitar los tiempos de acceso a los usuarios. Una de las formas de hacerlo es con el servicio timeoutd. Este servicio se instala a través de la distribución y, una vez instalado aparece un fichero de configuración /etc/timeouts. Una línea del fichero podría ser esta: TIMES:TTYS:USERS:GROUPS:MAXIDLE:MAXSESS:MAXDAY:WARN o bien TIMES:TTYS:USERS:GROUPS:LOGINSTATUS Si deseamos que el usuario adan no puede hacer login durante el fin de semana: SaSu:*:adan:*:NOLOGIN O el usuario root puede acceder desde las consolas tty1tty6: Al:tty1,tty2,tty3,tty4,tty5,tty6:root:*:LOGIN Al:tty1,tty2,tty3,tty4,tty5,tty6:*:*:NOLOGIN O el usuario maria puede acceder entre las 22:00 y las 23:00h de cada día: Al :*:maria:*:LOGIN Al :*:*:*:NOLOGIN Una vez preparado el fichero /etc/timeouts es necesario reiniciar el servidor timeoutd:..# /etc/init.d/timeoutd restart Stopped /usr/sbin/timeoutd (pid 2412). Starting /usr/sbin/timeoutd... Es importante destacar que este proceso no actúa durante el proceso de login lo que da lugar a que, aunque un usuario tenga prohibido el acceso a una máquina en un momento determinado, inicialmente puede entrar y sólo, una vez que se ejecute el proceso timeoutd, será expulsado del sistema. Para conseguir que durante el proceso de login se revisen las condiciones de 36

37 timeouts se debe incluir las siguientes lineas en el fichero /etc/profile: # Comprueba restricciones de timeoutd (ver timeoutd, timeouts(5)) /usr/sbin/timeoutd whoami basename \ tty\ exit Con esta línea incluso aunque el servicio timeoutd este parado si en el fichero /etc/timeouts se prohíbe el acceso a un usuario éste no podrá entrar en el sistema. Límites de quotas El sistema de quotas provee un mecanismo de control y uso del espacio de disco duro disponible en un sistema. Se pueden establecer limites en la cantidad de espacio y el número de ficheros que puede disponer un usuario o grupo. Hay cuatro variables para cada límite: la cantidad actual ocupada; el límite soft (quota propiamente dicha); el límite hard (espacio sobre quota), y el tiempo que resta antes de eliminar el exceso entre soft y hard. Mientras que el límite soft puede ser superado temporalmente, el límite hard nunca puede rebasarse. Para implementar el sistema de quotas es necesario instalar el paquete quota. Una vez instalado tenemos que realizar una serie de pasos para activar el mecanismo de quotas. Estos pasos son: Antes de instalar el sistema de quotas debe disponerse de un kernel con la opción de quota system habilitada. Esto se consigue en el proceso de compilación de un nuevo kernel respondiendo yes a la pregunta de Disk QUOTA support Los kernels precompilados que se distribuyen con Debian (paquetes kernel-image) ya tienen esta opción habilitada. Lo normal es que solo el sistema donde están las cuentas de usuarios tengan quotas, aunque es recomendable que tenga quotas todo sistema de ficheros donde los usuarios puedan escribir. Para habilitar las quotas en un sistema de ficheros hay que editar el fichero /etc/fstab e incluir las opciones usrquota y grpquota: # /etc/fstab: static file system information. # file system mount /dev/hda5 / point ext2 type options dump pas defaults,errors=remount-ro,usrquota,grpquota Para instalar los ficheros de quotas se debe ejecutar el comando: # quotacheck -avug Scanning /dev/hda5 [/] done Checked 4943 directories and files 37 0

38 Using quotafile /quota.user Updating in-core user quotas Using quotafile /quota.group Updating in-core group quotas A continuación establecer o activar el sistema de cuotas # quotaon -f /dev/hda5 (en nuestro caso es /dev/hda5) A veces se hace necesario volver a ejecutar el programa sin la -f # quotaon /dev/hda5 La primera vez que se ejecuta este comando crea los ficheros: quota.user y quota.group. Para editar la quota de un usuario o grupo se usa el programa edquota con la opción -u para editar las quotas de usuarios y con la opción -g para editar las opciones de grupo. Sólo hay que editar los números que están detrás de soft y hard. El período de gracia que hay entre el límite soft y el hard puede cambiarse con: # edquota -t Limitación a un 1GB con un exceso temporal a 2GB 38

39 La mayoría de las veces los usuarios tienen la misma quota. Una forma rápida de editar la quota de todos los usuarios es colocarse en el directorio donde tienen sus directorios raíz cada usuario. Editar la quota de uno de estos usuarios con los valores apropiados y, posteriormente, ejecutar: # edquota -p usuarioprototipo * Para verificar las quotas que tiene un usuario se utiliza el comando: # quota -v El superusuario puede ver las quotas de todos los usuarios con el comando: #repquota filesystem Para deshabilitar las quotas de un usuario o grupo solo hay que editarlas quotas y poner los limites a 0. Así un usuario puede usar tantos bloques e inodos como quiera. PERMISOS WINDOWS El modelo de protección de Windows 2003/8 establece la forma en que el sistema lleva a cabo el control de acceso de cada usuario y grupo de usuarios. En otras palabras, es el modelo que sigue el sistema para establecer las acciones que un usuario (o grupo) está autorizado a llevar a cabo. Este modelo está basado en la definición y contrastación de ciertos atributos de protección que se asignan a los procesos de usuario por un lado, y al sistema y sus recursos por otro. En el caso del sistema y sus recursos, Windows 2003/8 define dos conceptos distintos y complementarios: derecho o privilegio de usuario (user right) es un atributo de un usuario (o grupo) que le permite realizar una accion que afecta al sistema en su conjunto (y no a un objeto o recurso en concreto). Existe un conjunto fijo y predefinido de derechos. Para determinar qué usuarios poseen qué derechos, cada derecho posee una lista donde se especifican los grupos/usuarios que tienen concedido este derecho. Los veremos cuando estudiemos el Active Directory permiso (permission) es una característica de cada recurso (carpeta, archivo, impresora, etc.) del sistema, que concede o deniega el acceso al mismo a un usuario/grupo concreto. Cada recurso posee una lista en la que se establece qué usuarios/grupos pueden acceder a dicho recurso, y también qué tipo de acceso puede hacer cada uno (lectura, modificación, ejecución, borrado, etc.). 39

40 CARPETAS Nombre Significado Listar: Permite listar la carpeta: ver los archivos y subcarpetas que contiene. Leer Permite ver el contenido de los archivos y subcarpetas, así como su propietario, permisos y atributos (sistema, sólo lectura, oculto, etc.). Escribir Permite crear nuevos archivos y subcarpetas. Permite modificar los atributos de la carpeta, así como ver su propietario, permisos y atributos. Leer y Ejecutar Permite moverse por la jerarquía de subcarpetas a partir de la carpeta, incluso si no se tienen permisos sobre ellas. Además, incluye todos los permisos de Leer y de Listar. Modificar Permite eliminar la carpeta más todos los permisos de Escribir y de Leer y Ejecutar. Control Total Permite cambiar permisos, tomar posesión y eliminar subcarpetas y archivos ARCHIVOS Nombre Leer Significado Permite ver el contenido del archivo, así como su propietario, permisos y atributos (sistema, sólo lectura, oculto, etc.). Escribir Permite sobreescribir el archivo, modificar sus atributos y ver su propietario, permisos y atributos. Leer y Ejecutar Modificar Permite ejecutar el archivo más todos los permisos de Leer. Permite modificar y eliminar el archivo más todos los permisos de Escribir y de Leer y Ejecutar. Control Total Permite cambiar permisos y tomar posesión del archivo, más todos los permisos anteriores. Atravesar carpeta/ejecutar archivo Aplicado a una carpeta, permite moverse por subcarpetas en las que puede que no se tenga permiso de acceso al archivo Aplicado a un archivo, permite su ejecución. Leer carpeta/leer datos Aplicado a una carpeta, permite ver los nombres de sus ficheros y subcarpetas. Aplicado a un archivo, permite leer su contenido. Leer atributos Permite ver los atributos del fichero/carpeta, tales como oculto o sólo lectura, definidos en NTFS. Leer atributos extendidos Permite ver los atributos extendidos del archivo o carpeta. (Estos atributos están definidos por los programas y pueden variar). Crear ficheros/escribir datos Aplicado a una carpetas, permite crear archivo en ella. Aplicado a un archivo, permite modificar y sobreescribir su contenido. Crear carpetas/anexar datos Aplicado a una carpeta, permite crear subcarpetas en ella. Aplicado a un archivo, permite añadir datos al mismo. 40

41 Escribir atributos Permite modificar los atributos de un archivo o carpeta. Escribir atributos extendidos Permite modificar los atributos extendidos de un archi vo o carpeta. Borrar subcarpetas y archivos Sólo se aplica a una carpeta, y permite borrar archivos o subcarpetas de la misma, aun no teniendo permiso de borrado en dichos objetos. Borrar Permite eliminar la carpeta o archivo. Leer permisos Permite leer los permisos de la carpeta o archivo. Cambiar permisos Permite modificar los permisos de la carpeta o archivo. Tomar posesión Permite tomar posesión de la carpeta o archivo. Antes que nada hay que explicar que es UAC. UAC es un componente de seguridad, incluido en Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Storage Server 2008 R2, que permite a un administrador introducir credenciales durante una sesión no administrativa, con el fin de realizar una tarea administrativa sin tener que cambiar de usuario o hacer uso de "run as". De esta manera, cuando ejecutas algun programa como un usuario normal, puedes tener unas garantias de que éste realizará alguna tarea administrativa que ponga en peligro la seguridad, como modificar una regla del firewall o añadirla...etc En la práctica para cambiar los permisos tenemos que, si no lo está, activar la cuenta de administrador. Gráficamente: O bien mediante la línea de comandos: c:/>net user administrador /active:yes Una vez realizada la activación llevamos a cabo el cambio de los permisos de la unidad, carpeta o archivo que deseemos. 41

42 Gráficamente: 42

43 LINUX Una de las características que se echan en falta en los sistemas Linux en entornos corporativos es la posibilidad de especificar los permisos de acceso a los ficheros con mayor granularidad. Hasta ahora sabemos que los permisos en Linux está basado en el sistema UGO (User, Group y Other) mediante chown y sobre todo chmod Las ACLs1 no tienen un juego fijo de permisos (como en el modelo tradicional, que tiene tres permisos), sino que los permisos del fichero son en realidad una lista de Entradas de Control de Acceso (o ACEs). Cada una de estas ACEs contiene un par (usuario/grupo, permiso) que indica un tipo de acceso determinado para un usuario o grupo, y el conjunto de todas ellas forman la ACL que marca el tipo de acceso permitido en un fichero. Este sistema es el usado por NTFS de Linux o UFS de Solaris. Para utilizar los ACL debemos instalar los paquetes acl y attr. Posteriormente podemos acceder al fichero /etc/fstab para elegir la partición donde aplicaremos las ACLs, si lo considerásemos necesario. Para ver las ACL que tiene un archivo tenemos el comando getfacl nombre-archivo. Para añadir una nueva ACL al archivo creado tenemos el comando setfacl. #setfacl -m u:nombre-usuario:rw nombre-archivo #setfacl -m g:nombre-grupo:rw nombre-archivo. Algunas opciones de setfacl son: -b: borra las acls existentes -R: acción recursiva en un directorio 1 Las ACL también son utilizadas en redes (configuración de Squid y/o routers) y en todo relacionado con la seguridad informática, tema que se verá en otro módulo profesional. 43

44 Posteriormente aparece el nombre de usuario o grupo al que se le aplica la ACE. Se puede dar el nombre simbólico o el valor numérico del uid o gid correspondiente. El tercer componente es el valor del permiso asociado a esta ACE, y puede ser una combinación cualquiera de las letras r, w, x y -, o un valor numérico octal (como en chmod). -d: permite aplicar las ACEs por defecto a los nuevos ficheros o directorio creados. Por ejemplo si ejecutamos: # setfacl -d -m g:sistemas:rw dir_raiz Todos los ficheros y directorios creados por el grupo sistema en dir_raiz tendrán permisos rw. A partir de la version de Samba, este incorpora soporte para ACLs si el sistema operativo nativo lo soporta, que actualmente es así. Con Samba 4 se facilita mucho el sistema de interacción con los equipos Windows en lo que respecta a permisos efectivos. A título informativo señalar que en Windows las listas de control de acceso se realizan con cacls. Este comando simplifica la tarea de asignar permisos sobre usuarios, ficheros o directorios, y aunque en Windows vienen con un editor de ACLs la sintaxis de este comando es la siguiente: cacls filename [/t] [/e] [/c] [/g user group:perm] [/r user group [...]] [/p user group:perm [...]] [/d user group [...]] Donde podemos usar los siguientes parámetros: /C: No muestra los errores en caso de que hayan cuando se modifica un ACL. /G: Especifica los permisos que podemos conceder a un usuario, fichero o carpeta. Las opciones que tenemos son: R: Permisos de sólo lectura. W: Permisos de escritura. C: Permisos de escritura. F: Todos los permisos. /T: Cambia los permisos a todos los archivos de una carpeta y a sus subcarpetas. /E: Permite editar o remplazar un ACL. /R: Elimina los permiso de un usuario o grupo. /P: permite reemplazar los permiso de un usuario. /D: deniega el acceso a un grupo o usuario. 44

45 Veamos un ejemplo de uso de este comando. Supongamos que tenemos en nuestro directorio C:\una archivo llamadopermisos.txt y queremos darle permisos de escritura: c:/> cacls permisos.txt /g nombre_usuario: 7. Herramientas de monitorización del sistema. Windows Tanto en Windows XP/7/8 como en Windows Server las herramientas de configuración están en : MiPC -> Panel de Control -> Herramientas administrativas y ahí encontramos Monitor del sistema: en el podemos observar desde el consumo de CPU, memoria, disco duro, bits de entrada-salida de eth0... Registros y alertas de rendimiento. Los registros y alertas aumentan las capacidades de seguimiento del monitor del sistema incluyendo funciones para almacenar información de registro y traza así como generar alertas. Las acciones que permite realizar son las siguientes: Registro de contador. Permite guardar en un fichero los valores de los contadores del sistema que previamente hayamos indicado. Registro de seguimiento. Los registros de seguimiento registran los datos reunido Acción se establece la acción a realizars por el proveedor del sistema operativo o datos de programas ajenos al proveedor del sistema operativo. Alertas. Nos permite definir alertas a partir del valor de los contadores del sistema. Una vez establecidos los límites de los contadores en la pestaña Acción se establece la acción a realizar. La acción que puede realizar una alerta es: registrar una entrada en el registro de sucesos de aplicación, enviar un mensaje de red a un determinado equipo, iniciar un registro de seguimiento definido anteriormente, o incluso, ejecutar un programa, por ejemplo, que envíe un mensaje al móvil del administrador del sistema. Visor de sucesos El visor de sucesos permite ver y administrar los registros de sucesos, recopilar información sobre los problemas hardware y software, y supervisar los sucesos de seguridad de Windows. Los sucesos se dividen en tres categorías: Registro de aplicación. El registro de aplicación contiene los sucesos registrados por las aplicaciones o programas. Por ejemplo, un programa de base de datos podría grabar un error de fichero en el registro de aplicación. Registro del sistema. El registro del sistema contiene los sucesos registrados por los 45

46 componentes de Windows. Por ejemplo, el error de la carga de un controlador u otro componente del sistema durante el inicio se graba en el registro del sistema. Los tipos de sucesos registrados por los componentes del sistema están predeterminados. Registro de seguridad. El registro de seguridad puede grabar sucesos de seguridad, como los intentos de inicio de sesión válidos y no válidos, y los sucesos relativos al uso de recursos, como crear, abrir o eliminar ficheros. Por ejemplo, si ha habilitado la auditoria de inicios de sesión, los intentos de inicio de sesión en el sistema se graban en el registro de seguridad. LINUX En Linux las herramientas para monitorización son numerosas y dependen de la elección del administrador. En primer lugar tenemos las herramientas de consola propias del sistema: top: en una pantalla nos muestra todos los proceso con su pid que se están ejecutando, el propietario del mismo, consumo de memoria y cpu. Una vez ejecutándose puedes introducir más opciones en una lína de comando por encima de la columna de presentación. df: nos muestra el grado de utilización del sistema de ficheros. free: grado de utilización de la memoria física. La mayoría del tiempo del usuario sysadmin (administrador de sistemas) se la pasa monitoreando. Hay herramientas que pueden facilitar el trabajo. Monitoreo de ancho de banda Esto es muy importante, ya que al monitorear cuanto ancho de banda consume un servidor en tiempo real podemos determinar cuales son sus horas pico y así optimizarlo. Para ello existe el programa iptraf que monitorea la interface de red. 46

47 Monitoreo de consumo de CPU y Memoria Otra de las tareas de un sysadmin es monitorear el consumo de CPU y Memoria (RAM y SWAP), Linux viene con el comando top. Existe también htop, muy completo ya que nos detalla el consumo de CPU y Memoria por proceso, así como el consumo general de los recursos del sistema. Es mucho mas amigable a comparación del top normal. Conforme se va usando el procesador o los núcleos del procesador el programa lo indica de una manera gráfica. Monitoreo de consumo de disco duro Cada cierto tiempo es necesario que entremos a revisar cuando espacio en disco hay libre en los servidores que manejamos. Para saber el espacio en disco duro se ejecuta el comando df en linux. Más amigable es discus. Este programa es que te indica cuanto espacio esta usado y cuando espacio hay libre, así como los porcentajes de los mismos. 47

48 Monitoreo del I/O En informática, entrada/salida, abreviado E/S o I/O es la colección de interfaces que usan las distintas unidades funcionales (subsistemas) de un sistema para comunicarse entre ellas, o las señales (información) enviadas a través de esas interfaces. Para monitorizar se usa la herramienta iotop que permite el proceso read/write de un disco. Monitoreo de peticiones DNS Para monitorear esto utilizo el programa dnstop con este se puede monitorear cuantas peticiones esta teniendo tu servidor ya sea por clase de dominio.net.org, direcciones ip, por dominio o por sub dominios. Se ejecuta con la orden dns eth0 especificando la NIC, y presionando los botones de obtienes diferentes informes. Monitoreo de tráfico web En servidores de tráfico web es importante monitorizar en tiempo real para ver que archivos estamos sirviendo, el tráfico en megas. La herramienta es apachetop. Entre la informacióne está las páginas que servimos, peticiones por seg, promedio general... 48

49 Monitoreo de puertos abiertos Hay una regla principal en los servidores: si un servicio no te sirve, quítalo del sistema. La herramientas para monitorizar es nmap Su uso es: (localhost) # nmap -v También está ntop para monitorizar la red. Aparte de estos existe otros para intranets y redes con gran número de equipos. Su interfaz gráfica y su gran número de opciones hacen que sean muy utilizadas en ámbitos corporativos. Desacan: Nagios: uno de los más potentes del mercado sino el que más dentro del campo de opensource. Comparable a cualquier otro de pago. Usado en ambientes profesionales (El Sergas lo utiliza para monitorizar sus servidores y la red). Tiene un front-end vía web. 49