Usuaris i grups

De wikijoan
Salta a la navegació Salta a la cerca

Què fa el sudo

A ubuntu hi ha tres tipus d'usuari:

 • usuari inicial: joan
 • root'
 • altres usuaris

A Ubuntu, per defecte l'usuari root està deshabilitat, però l'usuari inicial (joan) té permisos de superusuari (sudo, superusuer do rights).

DESCRIPTION
    sudo allows a permitted user to execute a command as the superuser or
    another user, as specified in the sudoers file.

És per això que quan fem sudo comanda el password que hem de ficar és el de joan, no el de root (que està deshabilitat)

El que puc fer després d'una instal.lació d'Ubuntu és habilitar el root ficant-li un password:

sudo passwd root

però de fet això no caldria perquè amb sudo l'usuari joan pot fer totes les tasques administratives.


Afegir usuaris i grups

adduser i addgroup. El funcionament d'aquestes comandes es configura a /etc/adduser.conf.

adduser pere

afegeix l'usuari pere al sistema. El sistema demana més informació addicional i el password. Per defecte, es crea el grup pere i aquest serà el grup per defecte. Això es configura a /etc/adduser.conf.

adduser --ingroup pere maria

afegeix l'usuari maria al sistema establint com a grup ppal el grup pere

adduser pere cdrom

afegeix l'usuari pere (creat prèviament) al grup cdrom.

Per crear grup alumnes:

addgroup alumnes

Alternativament també es pot utilitzar les comandes useradd i groupadd, que llegeixen la informació de configuració del fitxer /etc/login.defs.

Eliminar usuaris i grups

S'utilitza userdel i groupdel.

userdel maria
userdel -r maria

Amb l'opció -r s'elimina el directori personal /home/maria

groupdel alumnes

elimina el grupo alumnos.

Modificar usuaris i grups

Per modificar les característiques dels usuaris i grups s'utilitza usermod i groupmod.

usermod [opcions] login
usermod -d /home/maria2 -m maria

canvia el directori d'inici de maria per tal que sigui /home/maria2. L'opció -m fa que es mogui el contingut de l'antic directori al nou.

usermod -g alumnes maria

canvia el grup inicial de maria per tal que sigui alumnes

usermod -l mariaq maria

canvia el nom de l'usuari maria per mariaq.

groupmod -n alumes_asi alumnes canvia el nom del grup alumnes per alumnes_asi

Fitxers relacionats amb la gestió d'usuaris i grups

Alguns dels fitxers són:

 • /etc/passwd: conté informació sobre cada usuari: ID, grup principal, descripció, directori d'inici, shell, etc. També conté el password encriptat, a no ser que s'utilitzi shadow passwords.
 • /etc/shadow: conté els passwords encriptats dels usuaris quan s'utilitza shadow passwords.
 • /etc/group: conté els membres de cada grupo, excepte per al grup principal, que apareix a /etc/passwd.
 • /etc/skel: directori que conté el contingut del directori dels nous usuaris. És a dir, si vull que en crear un usuari aquest disposi ja d'alguns fitxers i carpetes ho posaré aquí. skel ve d'esquelet, skeleton.
 • /etc/adduser.conf. comportament de quan es crea un usuari. Per ex, si es crea el directori /home/username

Alguns grups especials

En el sistema existeixen alguns grups especials que serveixen per controlar l'accés dels usuaris a diferents dispositius. El control s'aconsegueix mitjançant els permisos adequats als fitxers de dispositiu situats a /dev. Alguns d'aquests grups són:

 • cdrom: dispositius de CD–ROM. El dispositiu concret afectat depèn d'on estiguin connectades les unitats de CD–ROM. Per exemple, /dev/hdc.
 • floppy: unitats de diskette, per exemple, /dev/fd0
 • dialout: ports sèrie. Afecta, per exemple, als modems externs connectats al sistema. Per exemple, /dev/ttyS1
 • audio: controla l'accés a dispositius relacionats amb la tarjeta de so. Per exemple, /dev/dsp, /dev/mixer i /dev/sndstat.

Per donar accés a un usuari a un d'aquests dispositius n'hi ha prou amb afegir-lo al grup adequat. Per exemple,

adduser pere floppy

Alternativament, per donar accés de lectura al CD–ROM (suposant que estigui a /dev/hdc) i de lectura/escriptura a la disketera a tots els usuaris:

chmod a+r /dev/hdc
chmod a+rw /dev/fd0*

Posant límits als usuaris

En els sitemes UNIX/LINUX existeix la possibilitat de limitar recursos als usuaris o grups, per exemple, el màxim nombre de logins que pot realitzar un usuari simultàniament, el màxim temps de CPU, el màxim número de processos, etc. En Linux aquests límits es controlen a través del fitxer /etc/security/limits.conf. També és possible limitar els temps d'accés als usuaris. Una de las formes de fer-ho és amb el servei timeoutd.

sudo apt-get install timeoutd

no confondre amb el paquet timeout, que permet executar qualsevol comanda a un temps precís.

Aquest servei s'instal.la a través de la distribució i, un cop instal.lat, tindrem el fitxer de configuració /etc/timeouts. En aquest fitxer de configuració les línies en blanc o que comencin per # no són interpretades. La resta de les línies ha de tenir alguna de les següents sintaxi:

TIMES:TTYS:USERS:GROUPS:MAXIDLE:MAXSESS:MAXDAY:WARN

o bé

TIMES:TTYS:USERS:GROUPS:LOGINSTATUS

veure man timeouts(8)

Exemples de límits horaris

L'ususari pere no pot fer login el cap de setmana:

SaSu:*:pere:*:NOLOGIN

Només el root pot accedir des de les consoles tty1–tty6:

Al:tty1,tty2,tty3,tty4,tty5,tty6:root:*:LOGIN
Al:tty1,tty2,tty3,tty4,tty5,tty6:*:*:NOLOGIN

Només l'usuari root pot accedir entre les 15:00 i les 16:00h de cada dia:

Al1500-1600:*:root:*:LOGIN
Al1500-1600:*:*:*:NOLOGIN

Un cop s'ha modificat el fitxer /etc/timeouts és necessari reiniciar el servei timeoutd:

/etc/init.d/timeoutd restart
Stopped /usr/sbin/timeoutd (pid 2412).
Starting /usr/sbin/timeoutd...

És important destacar que aquest procés no actua durant el procés de login i això fa que, encara que l'usuari tingui prohibit l'accés a una màquina en un moment determinat, inicialment pot entrar i només, un cop s'executa el procés timeoutd, serà expulsat del sistema. Per aconseguir que durant el procés de login es revisin les condicions de timeouts s'ha d'incloure les següents línies en el fitxer /etc/profile:

# Comprueba restricciones de timeoutd (ver timeoutd, timeouts(5))
/usr/sbin/timeoutd ‘whoami‘ ‘basename \‘tty\‘‘ || exit

Amb aquesta línia encara que el servei timeoutd estigui parat no es podrà entrar al sistema.

Límits de quotes

El sistema de quotes proveu un mecanisme de control i ús de l'espai de disc dur disponible en un sistema. Es poden establir límits en la quantitat d'espai i en el número de fitxers de què pot disposar un usuari o grup. En les quotes hi ha quatre números per a cada límit: la quantitat actual ocupada; el límit soft (quota pròpiament dita); el límit hard (espai sobre quota), i el temps que falta abansd'eliminar l'excés entre soft i hard. Mentre que el límit soft pot ser superat temporalment, el límit hard mai pot superar-se.

Administrar el sistema de quotes

Per implementar el sistema de quotes és necessari instal.lar algun paquet de control d'aquest sistema. A Ubuntu hi ha un paquete quota:

sudo apt-get install quota

que instal.la tot allò necessari per implementar tot el sistema. Un cop instal.lat hem de realitzar una sèrie de passos per activar el mecanisme de quotes. Aquests passos són:

1. Configuració del kernel

Abans d'instal.lar el sistema de quotes hem de disposar d'un kernel amb l'opció de quota–system habilitada. Això s'aconsegueix en el procés de compilació d'un nou kernel responent yes a la pregunta de Disk QUOTA support. Els kernels precompilats que es distribueixen amb Debian (paquets kernel-image ja tenen aquesta opció habilitada.

2. Elecció del sistema de fitxers sobre el que s'apliquen les quotes Allò normal és que només el sistema de fitxers on estan els comptes d'usuari tinguin quotes, encara que és recomanable tenir quotes en tots els sistemes de fitxers on els usuaris puguin escriure. Per habilitar les quotes en un sistema de fitxers s'ha d'editar el fitxer /etc/fstab i incloure les opcions usrquota i grpquota:

# /etc/fstab: static file system information.
# file system mount point type options dump pas
/dev/hda5 / ext2  defaults,errors=remount-ro,usrquota,grpquota 0

3. Habilitar les quotes Per instal.lar els fitxers de quotes s'ha d'executar la comanda:

quotacheck -avug
Scanning /dev/hda5 [/] done
Checked 4943 directories and 57624 files
Using quotafile /quota.user
Updating in-core user quotas
Using quotafile /quota.group
Updating in-core group quotas

La primera vegada que s'executa aquesta comanda serveix per crear els fitxers de quotes: quota.user i quota.group.

4. Especificar quotes per a usuaris o grups Per editar la quota d'un usuari o grup s'utilitza el programa edquota amb l'opció -u per editar les quotes d'usuaris i amb l'opció -g per editar les opcions de grup. Només s'ha d'editar els números que estan darrera de soft i hard. El període de gràcia que hi ha entre el límit soft i el hard pot canviar-se amb:

edquota -t

La majoria de les vegades els usuaris tenen la mateixa quota. Una forma ràpida d'editar la quota de tots els usuaris és col.locar-se en el directori on tenen els seus directoris arrel cada usuario. Editar la quota d'un d'aquests usuaris amb els valors apropiats i, posteriorment, executar:

edquota -p usuariprototipus *

Per verificar les quotes que té un usuari s'utilitza la comanda:

quota -v

El superusuari pot veure les quotes de tots els usuaris amb la comanda:

repquota filesystem

5. Deshabilitar quotes per a usuaris o grups Per deshabilitar les quotes d'un usuari o grup el que s'ha de fer és editar les quotes i posar els límits a 0.

Comandes essencials

 • groups: llista els grups a què pertanys
 • groups username: llista els grups de l'usuari username
 • per saber tots els grups del sistema: cat /etc/group
 • llistar tots els usuaris d'un grup concret: mirar a dins (grep) de /etc/group or /etc/gshadow
 • per saber tots els usuaris del sistema no hi ha una forma ràpida, també s'ha de mirar dins de /etc/group