UD2.- Comandos bsicos. Gestin de usuarios y grupos.

Usuarios, grupos y contraseas

Puesto que Linux es un sistema multiusuario, permite que varios usuarios usen el
sistema simultneamente. Se hace necesario que cada usuario no pueda acceder a
los documentos de los dems, adems no todos los usuarios deberan poder instalar
programas, modificar ficheros importantes del sistema u otras cosas importantes.
Por ello Linux establece login y password (nombre y contrasea) para cada usuario.
Adems existe el administrador del sistema o superusuario, cuyo login es root, que
tiene acceso a todo y permisos para todo.
Las contraseas son almacenadas de forma cifrada, por lo que es imposible acceder
a ellas (si se guardaran simplemente en un fichero de texto, sera muy fcil acceder
y romper el sistema de seguridad).
Importante
Seguridad: debemos usar contraseas que no sean cortas y compuestas de letras
maysculas y minsculas, dgitos e incluso signos. Si usamos una palabra del
diccionario, los crackers pueden fcilmente averiguar nuestra contrasea, pues
existen programas que van probando con cada una de las palabras del diccionario.
Un grupo es un conjunto de usuarios que comparten las mismas caractersticas. La
idea de grupo permite al administrador del sistema dar ciertos permisos al grupo
(por ejemplo: autorizacin para usar la grabadora), evitando tener que drselos a
cada usuario individualmente.
Todo usuario debe pertenecer al menos a un grupo. Adems existen otros usuarios,
aparte de los reales, que los usa el sistema para determinadas operaciones. Estos
usuarios del sistema (no reales) no se pueden "logear", es decir no se puede entrar
al sistema tecleando un login de estos.
El usuario root o superusuario no debe entrar al sistema con el login de root, sino
que debe tener adems un login y password para entrar al sistema. Slo cuando
necesite realizar acciones especiales, el sistema le pedir la contrasea de root y
podr acceder. Aunque es posible acceder como root a un sistema Linux, no es
recomendable.
Toda la informacin sobre usuarios, grupos y contraseas se guarda en los
archivos:

/etc/passwd (informacin sobre usuarios)

/etc/group (informacin sobre grupos)
/etc/shadow (contraseas cifradas)
/etc/gshadow
(contraseas
cifradas
de
[normalmente no se usa este fichero]

los

grupos)

En estos archivos de texto, se almacena la informacin lnea a lnea (cada una es

un usuario o un grupo).

Pgina 1 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

Fichero /etc/passwd
Contiene una lnea por cada usuario creado en el sistema con la informacin
relevante sobre cada usuario. La informacin se compone de varios campos
separados por el carcter de dos puntos (:). Responde al esquema:
usuario : x : UID : GID : comentarios : directorio_home : shell

usuario: es el login o nombre de usuario (nombre nico para cada

usuario)
x: contrasea: aparece una x; la contrasea se encuentra cifrada en
/etc/shadow
UID: User IDentifier (n de Identidad de Usuario). Es nico. Debe ser
un entero0 (el cero se reserva para root y del 1 al 99 se reservan
para tareas del sistema). Usar de 100 en adelante.
GID: n de Identidad de Grupo (el cero se reserva para el grupo root)
comentarios: nombre real u otros comentarios sobre el usuario
(puede contener espacios)
directorio_home: directorio de inicio del usuario
shell: intrprete de comandos (normalmente bash). Si ponemos
/bin/false el usuario no podr ejecutar ningn comando del sistema

Ejemplo:
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
...
identd:x:100:65534::/var/run/identd:/bin/false
sshd:x:101:65534::/var/run/sshd:/bin/false
gdm:x:102:103:Gnome Display
Manager:/var/lib/gdm:/bin/false
dani:x:1000:100::/home/dani:/bin/bash
yaiza:x:1001:1001:,,,:/home/yaiza:/bin/bash

Tecleando en un terminal cat /etc/passwd nos muestra el contenido del fichero

/etc/passwd
Observamos cmo el primer usuario que aparece (primera lnea) es root.
A continuacin una serie de usuarios (no reales) del sistema.
Por ltimo, los usuarios "dani" y "yaiza"(dos ltimas lneas).
Podemos comprobar cmo en esta distribucin de Linux los nmeros de usuarios
empiezan desde 1000 en adelante (en otras distribuciones lo hacen desde 500; los
UIDs comprendidos entre 1 y 499 estn reservados para propsitos
administrativos,).

Pgina 2 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

Fichero /etc/group
Un grupo local es la entidad administrativa capaz de incluir un conjunto de usuarios o incluso
otros grupos, de tal forma que todos los privilegios concedidos a ese grupo, se heredan de
forma directa por los usuarios o grupos que de l dependen.
Los GID y los nombres asociados se almacenan en el archivo /etc/group,
Cada una de las lneas representa un grupo y responde al esquema:
grupo : x : GID : lista_usuarios

grupo: es el nombre del grupo

x: contrasea: aparece una x; la contrasea se encuentra cifrada en
/etc/gshadow. Si este campo aparece vaco, significa que el grupo no
necesita contrasea.
Un usuario puede cambiar su grupo por defecto mediante la orden newgrp. Si
el grupo est protegido mediante una contrasea, el usuario necesitar esta
contrasea para realizar el cambio de grupo si no pertenece a este grupo.
GID: n de Identidad de Grupo (el cero se reserva para el grupo root)
lista_usuarios: lista de usuarios que pertenecen al grupo separados por
comas. Tambin se pueden aadir usuarios de otros grupos, con lo que
tendran todos los privilegios de este grupo.

Ejemplo del archivo /etc/group:

Todos los usuarios Linux pertenecen a uno o ms grupos. Puedes listar los grupos a
los que perteneces ejecutando el comando groups.
Cuando se crean nuevas cuentas de usuario en Ubuntu (incluidas las creadas
durante el proceso de instalacin), se crea un grupo predeterminado para cada uno
de esos usuarios, normalmente con el mismo nombre que el usuario. Ese grupo es

Pgina 3 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

el grupo del cual dicho usuario es miembro predeterminado cuando ingresa en el
sistema.
Si se desea que el sistema no cree automticamente un grupo con el nombre de
usuario, entonces, se editar el fichero /etc/adduser.conf y n la variable
USERGROUPS
con
el
valor
no.
Adems
se
editar
el
fichero
/etc/default/useradd y se eliminar el comentario de la lnea GROUP=100, que
har que el grupo de logueo sea el users.
Linux crea diferentes grupos tras la instalacin:
- users. Grupo general de usuarios. Normalmente los usuarios que
creemos son asignados a este grupo.
- ssh. Grupo al que pertenecern usuarios a los que se les permita
conexin remota al sistema por SSH.
- dhcp. Los usuarios que pertenezcan a este grupo podrn administrar
el servicio DHCP del equipo
- root. A este grupo pertenece el usuario root y aquellos usuarios que
administran casi por completo el equipo local. Root tiene acceso
completo y sin restricciones al equipo o dominio.
- admin. Grupo con privilegios de administracin en el sistema al que
pertenece el usuario que se introdujo en la instalacin del sistema
operativo. Los invitados tienen predeterminadamente el mismo acceso
que los miembros del grupo Users, excepto la cuenta Invitado, que tiene
ms restricciones.

Fichero /etc/shadow
Archivo ascii de acceso restringido que almacena para cada usuario las claves
encriptadas y la informacin relacionada con las mismas.

usuario: contrasea_cifrada:lastchg:min:max:warn:inactive:expire::

usuario
Nombre del usuario, debe coincidir con el archivo /etc/passwd
password Se encuentra encriptada
lastchg
Ultima fecha de modificacin, tomada en nmeros, partiendo del
1/1/1970
min Cuanto debe esperar para permitir cambiar la contrasea al usuario
max Cada cuanto debe cambiar la contrasea
warn
Cuantos das antes se le informara al usuario que debe cambiar
la contrasea.
inactive
Si vale cero (0) al vencer maxdays y no cambio la contrasea se
bloquea la cuenta, si vale 1, puede ingresar y cambiar la contrasea.
expire
Cuntos das faltan para que expire.

Pgina 4 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

Aunque es posible, no es recomendable gestionar los usuarios y grupos del
sistema, editando manualmente los archivos /etc/passwd y /etc/group, a travs
del usuario root.
El sistema linux proporciona un conjunto de rdenes que permiten manipular los
usuarios, los grupos y sus respectivas contraseas.

GESTIN DE USUARIOS.
Aadir usuarios al sistema:
useradd
El uso de este comando es de la siguiente forma:
useradd -g smr -G smr -d /home/crispi -s /bin/bash -m -k /etc/skel
crispi
-g indica el nombre del grupo al que va a pertenecer el usuario, que ser su grupo
primario. En este caso el grupo debe de estar previamente creado.
-G indica los grupos suplementarios del nuevo usuario
-d indica el home del usuario, en este caso /home/crispi.
-s nos indica el shell que va a usar el usuario por defecto, en este caso /bin/bash
-m indica que se cree el directorio en caso de no existir an.
-k indica que se copien los archivos de /etc/skel al directorio home del usuario
que se va a crear. (El directorio /etc/skel
contiene archivos que son
configuraciones iniciales).
nombre-usuario que para ste ejemplo es crispi.

adduser
ste comando es una forma ms fcil de crear usuarios, su uso es muy simple,
solo ejecutamos en la terminal adduser nombreUsuario y se ejecutarn los
pasos necesarios para la creacin de un nuevo usuario tal y como se ve en el
siguiente ejemplo:
root@Ubuntu:~# adduser crispi

Aadiendo usuario crispi

Agregando nuevo grupo `crispi (1001)

Agregando nuevo usuario `crispi (1001) con grupo `crispi

Creando el directorio personal /home/crispi
Copiando archivos desde /etc/skel

Introduzca la nueva contrasea de UNIX:

Vuelva a escribir la nueva contrasea de UNIX:

passwd: contrasea actualizada correctamente

Pgina 5 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

Cambiando la informacin de usuario para crispi

Introduzca el nuevo valor, o presione ENTER para el predeterminado
Nombre completo []:

Nmero de habitacin []:

Telfono del trabajo []:
Telfono de casa []:
Otro []

Es correcta la informacin? [y/N] y

root@Ubuntu:~#

Eliminar usuarios del sistema:

Desde la lnea de comandos podemos hacer uso de los comando userdel y
deluser para eliminar usuarios, adems tambin podemos utilizar la herramienta
grfica correspondiente.

userdel

Es considerado una utilidad de bajo nivel, y se recomienda ms usar deluser en

lugar de ste comando. Podemos usar 2 opciones con ste comando:
una de ellas es -f force que forzar la eliminacin del usuario aunque
ste se encuentre logueado, tambin eliminar el directorio home y los
correos, aunque otros usuarios usen el mismo home y el mismo spool de
correo, sta opcin no se recomienda dado que puede dejar el sistema con
inconsistencias.
La segunda opcin que podemos usar con ste comando es -r remove
que har que se eliminen el directorio home y el spool de correo, si no se
hace uso de la opcin -f el usuario no podr ser eliminado si se encuentra
logueado en el sistema
Ejemplo : root@Ubuntu:~# userdel -r crispi

deluser
Este comando elimina usuarios del sistema acorde a las configuraciones que se
encuentren en /etc/deluser.conf y las opciones que se le pasen al comando al
momento de ejecutarlo. Por defecto deluser eliminar un usuario sin eliminar
ninguno de los archivos del usuario, podemos hacer uso de la opcin removehome para eliminar el directorio home y los archivos de correo del usuario, de
igual forma podemos usar remove-all-files lo que eliminar todos los archivos
que pertenecen al usuario y usando remove-all-files ya no es necesario que
usemos la opcin remove-home puesto que ya va incluida.
deluser tambin nos permite hacer un respaldo de los archivos de usuario que
queremos eliminar haciendo uso de la opcin backup que crear un archivo
con el nombre del usuario que estamos eliminando. El archivo se crear de la
forma usuario.tar.(gz|bz2) y ser guardado en el directorio que se le pase a la
opcin backup-to, por defecto el archivo se guardar en el directorio en el que
nos encontremos actualmente, la forma de usar este comando es como se
muestra a continuacin.
Pgina 6 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

root@Ubuntu:~# deluser remove-all-files backup crispi
Buscando archivos para respaldar/eliminar
Haciendo copia de seguridad en . de los archivos que sern borrados
backup_name = ./crispi.tar/bin/tar: Eliminando la `/ inicial de los nombres
Removiendo archivos
Removiendo usuario crispi
Terminado.

Modificar usuarios del sistema

Usermod

Es un comando que nos permite modificar aspectos de las cuentas de los

usuarios del sistema, tales como su home, poner tiempos de expiracin a las
cuentas, entre otras que veremos a continuacin.

Sintaxis: usermod [-u uid ] [-d directory] [-m] [-g gid ] [-G gid [,gid ][-s shell-inicio][ -c
comentario][-e dias] [-f fecha] [ -l nuevo-nombre] [-L|-U] usuario
OPCION
-d -home
-e expire date
-g gid
-G groups
-l login
-L lock
-s shell
-u uid
-m
-f

Significado
nos crear un nuevo directorio HOME para el usuario
con la que especificamos la fecha en la que la cuenta
expirar, la fecha se pasa con el formato AAAA-MM-DD.
seguida de un GID de un grupo existente cambia el ID del
grupo inicial del usuario.
seguida de la lista de grupos alternos a los que pertenece o
queremos que pertenezca el usuario
modificar el login del usuario, es decir su nombre de
usuario, el nombre de la carpeta home del usuario
cambiar tambin para reflejar el cambio.
desactivamos un password.
modificamos el shell de inicio del usuario.
modificar el id del usuario.
conjuntamente se movern todos los archivos del HOME
viejo al nuevo, de igual forma se crear el directorio en
caso de no existir.
sta opcin recibe un valor entero y que por defecto es -1,
si le pasamos un valor 0, la cuenta se desactivar
inmediatamente cuando expire la misma.

passwd
Su utilidad no es solo modificar o eliminar una contrasea, sino tambin activar,
obligar a cambiar la contrasea, caducar, etc

Sintaxis: passwd [ opciones ] [ usuario [ contrasea] ]

Pgina 7 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

OPCIN
-d
-e
--help
-i INACTIVE
-k
-l
-n MIN_DAYS
-q
-S
-u
-w WARN_DAYS
-x MAX_DAYS

UTILIDAD
Borra la contrasea del usuario especificado.
Fuerza la caducidad de la contrasea del usuario
especificado.
Muestra una ayuda breve sobre el comando passwd
Si la contrasea de la cuenta lleva caducada
INACTIVE das, entonces la cuenta ser
desactivada.
El cambio de contrasea slo tiene lugar si la misma
est caducada.
Bloqueo de la cuenta indicada.
Obliga a que la contrasea se cambie, como muy
pronto, cada MIN_DAYS das.
Modo silencioso.
Informa del estado de la contrasea.
Desbloqueo de la cuenta indicada.
Preaviso de la fecha de caducidad.
Obliga a que la contrasea se cambie, como muy
tarde, cada MAX_DAYS das.

Ejemplos:

# passwd pruebas -x 180 -w 5 -i 15

La clave del usuario pruebas caducara pasados 180 das, que le avisara
durante los cinco ltimos das de validez de la clave, y que si tras pasados 15
das sin modificar la clave se bloqueara.

$ sudo passwd javier -w 3 -x 45 -n 2

La contrasea del usuario javier caducar a los 45 das, se le avisar con 3 das
de antelacin y la contrasea la tendr que cambiar antes de dos das.

chage
Con este comando podemos especificar la caducidad de la cuenta de un
usuario concreto, no slo de su clave.
Echando un vistazo a la ayuda del comando podremos ver la funcin de cada uno
de los parmetros:

$ chage help
Sintaxis: chage [opciones] [USUARIO]
Pgina 8 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

Opciones:
d, --lastday ULTIMO_DA establece el ltimo cambio de clave a ULTIMO_DA
-E, --expiredate FECHA_EXP establece la fecha de caducidad de la cuenta a FECHA_EXP (en
formato aaaa-mm-dd)
-h, --help muestra este mensaje de ayuda y termina
-I, --inactive INACTIV Especifica el nmero de das inactivos despus de la expiracin de la
contrasea antes de bloquear la cuenta. Si el valor es 0, la cuenta no es bloqueada despus
que la contrasea caduca.
-l, --list muestra la informacin de la edad de la cuenta
-m, --mindays DAS_MIN establece el nmero mnimo de das antes de cambiar la clave a
DAS_MIN
-M, --maxdays DAS_MAX establece el nmero mximo de das antes de cambiar la clave a
DAS_MAX
-W, --warndays DAS_AVISO establece el nmero de das de aviso a DAS_AVISO
Con esta orden se puede especificar la fecha exacta en la que expirar la clave
de acceso, los das permitidos tras la expiracin de la cuenta hasta que se
desactiva por completo, los das de aviso, etc.

Ejemplos:
Cambiar la fecha de expiracin de la cuenta al da 2011-9-28 al usuario 'fer'
# chage -E 2012-11-07 fer
Listamos los atributos de caducidad especificados para esta cuenta:
# chage -l fer
ltimo cambio de contrasea: oct 09, 2012
La contrasea caduca: nunca
Contrasea inactiva: nunca
La cuenta caduca: nov 07 , 2012
Mnimo nmero de das entre cambios de contrasea: 0
Mximo nmero de das entre cambios de contrasea: 99999
Nmero de das de aviso antes de que caduque la contrasea: 7

Cambiar nmero de das entre cambios de clave (15) y la caducidad por

inactividad de la clave (150)
# chage -m 15 -M 15 -I 150 fer
# chage -l fer
ltimo cambio de contrasea : oct 09, 2012
La contrasea caduca : nov 13, 2012
Pgina 9 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

Contrasea inactiva : abr 12, 2013

La cuenta caduca : nov 06, 2012
Mnimo nmero de das entre cambios de contrasea: 15
Mximo nmero de das entre cambios de contrasea: 15
Nmero de das de aviso antes de que caduque la contrasea: 7

Obligar a cambiar la clave en el prximo intento de acceso

# chage -d 0 fer

Mostrar informacin del usuario:

id

Sintaxis: id [login]
Muestra el UID, GID del grupo por defecto y los GID de los otros grupos a que
pertenece el usuario indicado en login. Si no se especifica el usuario se utiliza
el usuario actual.

Pgina 10 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

Gestin de grupos.
De la misma forma que los usuarios, los grupos tambin los podemos agregar,
eliminar y modificarlos, tenemos dos formas de hacerlo, manualmente o usar
herramientas que nos permitan hacerlo ms fcil, ya sean de linea de comandos o
grficas.
En la lnea de comandos tenemos los comandos groupadd, groups, groupmod,
groupdel, a continuacin veremos cmo usar cada uno de stos.
groupadd
Sintaxis: groupadd groupname
Crea un grupo de usuarios vaco llamado groupname.
Automticamente se asignara un id del grupo y se modificar el archivo
/etc/group, en caso de querer especificar un ID se hace uso del modificador -g
seguido del ID que deseemos.
root@Ubuntu:~# groupadd nuevogrupo
groups
Sintaxis: groups user
Lista a que grupos pertenece el usuario user.
Groupmod
Sintaxis: groupmod [opciones] groupname
Podemos modificar un grupo existente con el comando groupmod, ste
comando nos permite modificar el GID (Group ID) y el nombre del grupo.
La forma de usarlo es pasndole parmetros, mediante el modificador -g
especificamos un nuevo GID, y con el modificador -n un nuevo nombre, y al
final de todos los parmetros ponemos el nombre del grupo que queremos
que se modifique.
root@Ubuntu:~# groupmod -g 1008 nuevogrupo

Groupdel
Sintaxis: groupdel groupname
Por ltimo veremos el comando groupdel que se usa de la misma forma que
groupadd, solo escribimos groupdel seguido del nombre del grupo que
queremos eliminar, as como se ve en el siguiente ejemplo:

Aadir o retirar usuarios de grupos

Para aadir se utiliza el comando :
adduser nombre-usuario nombre-grupo
Para retirar usuarios de grupos:
deluser nombre-usuario nombre-grupo

Pgina 11 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

MODO GRAFICO EN UBUNTU

En la gui (interfaz grfica), de la ahora llamada "cuentas de usuario", han quitado algunas
opciones (gestionar grupos y usuarios) y bsicamente, solo se puede crear/eliminar usuarios,
tipo de cuenta, idioma, contrasea y opciones de inicio
Si queremos ms, hay que instalar el paquete "gnome-system-tools" en el centro de
software o escribir en el terminal:
sudo apt-get install gnome-system-tools
Este paquete contiene las siguientes aplicaciones:
Users and groups > Esta es la anterior "usuarios y grupos" que nos da las opciones perdidas.
Date and time
Network options
Services
Shares (NFS and Samba)
Ya podemos abrir "usuarios y grupos" desde el Dash (tecla Super o pulsando en el primer
lanzador "Inicio" de la barra de Unity)
1. Para aadir un usuario nuevo:
Pulsa el botn "Pulse para realizar los cambios" e introduce la contrasea de root o
superusuario.
Presiona + Aadir Usuario y se abre el Editor de Cuentas de Usuario.
En la pestaa "CUENTA" como mnimo debes de rellenar:

El Nombre de usuario. No uses espacios ni caracteres ASCII

El Nombre real. Esto es opcional
El perfil: eliges entre Administrador, Usuario de Escritorio y Usuario sin Privilegios
(esto genera los privilegios de usuario predeterminados, aunque posteriormente los
puedes modificar).
La contrasea: la puedes poner a mano (2 veces) o eliges que Ubuntu la genere
automticamente.

En la pestaa "INFORMACION DE CONTACTO":

Puedes poner la ubicacin de la oficina y telfonos. Esto es opcional.

En la pestaa "PRIVILEGIOS DEL USUARIO":

Puedes aadir o quitar los privilegios a los que el nuevo usuario tendr acceso, como
por ejemplo usar dispositivos de audio.

En la pestaa "AVANZADO":

El directorio personal, el intrprete de comandos, el grupo principal y el ID del usuario

se adivina automticamente dependiendo del perfil seleccionado, por lo que no debes
de modificarlos.
Pgina 12 de 13

UD2.- Comandos bsicos. Gestin de usuarios y grupos.

2. Para modificar un usuario existente:
Selecciona el usuario que quieres modificar y pulsa el botn Propiedades. Aparecer una
ventana similar a la usada para aadir usuarios nuevos, permitindote modificarlos.
3. Para borrar un usuario existente:
Selecciona el usuario o usuarios que quieres borrar y pulsa el botn Borrar en la pestaa
Usuarios, debido a la importancia de estos datos, se te pedir confirmacin para cada usuario
que quieras borrar.
Por razones de seguridad, el directorio personal de los usuarios borrados no se borrar.
4. Para aadir un grupo nuevo:
Pulsa el botn "Gestionar Grupos" y pulsa "Aadir grupo", aparecer una ventana nueva
pidiendo los datos del grupo nuevo:

Nombre del grupo.

ID del grupo.
Opcionalmente puedes especificar los usuarios que pertenecern a este grupo.

5. Para modificar un grupo existente:

Pulsa el botn "Gestionar Usuarios", seleccionas el grupo y pulsa el botn Propiedades. A
continuacin aparecer una ventana similar a la de aadir grupo, donde podrs modificar los
datos.
6. Para borrar un grupo existente:
Pulsa el botn "Gestionar Usuarios", seleccionas el grupo y pulsa el botn Borrar, debido a la
importancia de estos datos, se te pedir confirmacin para cada grupo que quieras borrar.

Pgina 13 de 13