usuarios y grupos [miguel angel torres egea]

Aquesta pàgina és només de lectura. Podeu veure'n el codi font, però no podeu canviar-la. Consulteu el vostre administrador si penseu que això és degut a algun error.
= usuarios y grupos
~~NOTOC~~
== información usuario
  * ''id <user>'' -> para saber datos y grupos del usuario
  * ''whoami'' -> nombre del usuario

== usuarios en línea
  * ''who'' -> usuarios conectados - terminal
  * ''ps -U <USER>'' -> procesos asociados a un usuario
  * ''sudo pkill [-9] -u <USER>'' -> eliminar procesos asociados a un usuario.
/via: [[https://www.simplified.guide/linux/user-force-logout]]

== cambio de contraseña
  * ''passwd [<USER>]'' -> cambiar contraseña propia o si tienes privilegios, la contraseña de otro usuario.
  * ''echo 1234 | passwd --stdin jordi'' (no funciona en Debian)
  * ''echo "jordi:1234" | chpasswd'' (se puede añadir ''-m'' para que guarde la contraseña en formato MD5 en lugar de DES
  * ''/etc/security/pwquality.conf'' : establece complejidad de las contraseñas a usar en el sistema
=== chage (CHange AGE)
  * modificación datos, expiraciones, inactividad 
  * ''chage -l <USER>'':_ comprobar "estatus" cuenta.
  * ''chage -d 0 <USER>'' : forzar cambio de contraseña
    * ''passwd -e <USER>''

== grupos
  * crear un grupo: <code bash>groupadd <nombre_grupo></code>
  * añadir nuevo usuario a otros grupos: <code bash>useradd -G <grupo> <usuario></code>
  * añadir/cambiar el grupo principal de un usuario: <code bash>usermod -g <grupo> <usuario></code>
  * añadir un usuario existente a un grupo existente: <code bash>usermod -a -G <grupo> <usuario></code>
    * establece como principal el <grupo> de manera temporal, útil para no reinicar sesión y aplicar la pertenencia (según comando anterior): <code bash>newgrp <grupo></code>
  * añadir/cambiar el grupo principal de un usuario existente: <code bash>usermod -g <grupo> <usuario></code>
  * elimina al usuario del grupo, no elimina ni al usuario ni al grupo: <code bash>deluser <usuario> <grupo></code>

== usuarios
=== adduser/useradd
<code bash>useradd --comment "comentario" --home-dir /home/user --create-home --expiredate 2020-20-20 --uid 6666 --user-group --shell /bin/bash <USER></code>

=== deluser
<code bash>userdel -r <USER></code>

=== modificar
  * cambia varios atributos de usuarios: <code>$ usermod <opcion> <usuario></code>
    * -s <shell> : cambia shell usuario
    * -d -m <nueva ubicación> : cambia el directorio HOME y mueve el contenido
    * -u <UID>: cambia el UID del usuario
    * -g <GID>: cambio del grupo principal del usuario
    * -e <MM/DD/YYYY>: fecha expiración contraseña usuario
    * -a -G <grupo>: añade un grupo a un usuario

== grupos
=== crear
  * grupo nuevo:<code bash>$ groupadd <nombre_grupo></code>

=== modificar
  * <code bash>$ groupmod <opción> <grupo></code>
    * -n <nombre> : cambia el nombre del grupo
    * -g <GID> : cambia el GID del grupo

== /bin/nologin VS /bin/false
<callout type="warning" title="nologin y false" icon="true">2019-11-14: haciendo un chroot el comportamiento ha sido al revés del explicado aquí abajo. /sbin/nologin no me deja SFTP ni SSH, /bin/false si me deja SFTP, no SSH</callout>
  * modificaciones en **/etc/passwd** para evitar login
    * **/sbin/nologin**, **/usr/sbin/nologin**
      * evitar que un usuario haga login por consola (le quedaría SFTP).
      * Además muestra el mensaje **/etc/nologin.txt** cuando se intenta el acceso vía telnet/ssh
      * Se considera una shell válida (aunque no lo es). Hay programas que exigen tener una shell válida (de FTP, p.e.)
      * **/etc/shells/** <- shells válidas del sistema, no debe aparecer **nologin** para que funcione correctamente
    * **/bin/false**
      * evitar el login total en el sistema (telnet/ssh/ftp).
      * No da mensajes de error, símplemente cierra la conexión.
  * otras alternativas para evitar login:
    * modificar el campo de la contraseña **/etc/passwd**, poniendo una admiración en su lugar (por convención)
    * modificar el campo de la contraseña **/etc/shadow**, poniendo una admiración en su lugar (por convención)
    * usar ''passwd -l <user>'' para bloquear (añade ! al hash en **/etc/shadow**)
      * ''passwd -S <user>'': status (**L** locked)
    * usar ''usermod --expiredate 1''

/via: https://www.enmimaquinafunciona.com/pregunta/312/-cual-es-la-diferencia-entre-el-sbinnologin-y-el-binfalso-


/via: [[https://unix.stackexchange.com/questions/10852/whats-the-difference-between-sbin-nologin-and-bin-false]]
<callout type="info" title="alernative" icon="true">https://github.com/mysecureshell/mysecureshell</callout>