Si alguna vez has trabajado en Linux, es muy probable que te hayas topado con algo como esto: -rw-r--r--. ¿Te suena a chino? ¡No te preocupes! Hoy vamos a desentrañar el misterio de los permisos en Linux, un concepto fundamental para entender cómo funciona la seguridad y el acceso a los archivos en este sistema operativo.

Los permisos son la columna vertebral de la seguridad en Linux. Determinan quién puede leer, escribir o ejecutar un archivo o directorio. Sin un sistema de permisos robusto, cualquiera podría modificar archivos importantes del sistema o acceder a información sensible, lo que sería un caos.

¿Cómo se representan los Permisos?

Cuando ejecutas el comando ls -l en tu terminal, obtendrás una lista detallada de los archivos y directorios en el directorio actual, incluyendo la información de sus permisos. La cadena de 10 caracteres al principio de cada línea es la clave:

drwxr-xr-x 2 usuario grupo 4096 May 21 15:30 mi_directorio

-rw-r--r-- 1 usuario grupo 1024 May 21 15:30 mi_archivo.txt

Vamos a desglosar esos 10 caracteres:

• Primer carácter: Indica el tipo de archivo.
  • -: Archivo regular.
  • d: Directorio.
  • l: Enlace simbólico.
  • Y hay otros menos comunes como c para archivos de caracteres, b para archivos de bloques, etc.
• Los nueve caracteres restantes: Se dividen en tres grupos de tres, representando los permisos para:
  1. Dueño (Owner): Los primeros tres caracteres (rwx en el ejemplo anterior) definen los permisos del usuario que es el propietario del archivo o directorio.
  2. Grupo (Group): Los siguientes tres caracteres (r-x en el ejemplo) definen los permisos para los miembros del grupo al que pertenece el archivo o directorio.
  3. Otros (Others): Los últimos tres caracteres (r-x en el ejemplo) definen los permisos para todos los demás usuarios del sistema que no son el dueño ni forman parte del grupo.

Entendiendo los Permisos: rwx

Cada uno de estos tres caracteres tiene un significado específico:

• r (read – lectura):
  • Archivos: Permite ver el contenido del archivo.
  • Directorios: Permite listar el contenido del directorio (es decir, ver qué archivos y subdirectorios hay dentro).
• w (write – escritura):
  • Archivos: Permite modificar o eliminar el archivo.
  • Directorios: Permite crear, renombrar o eliminar archivos y subdirectorios dentro de ese directorio. ¡Cuidado! Para eliminar un archivo, necesitas permiso de escritura en el directorio que lo contiene, no necesariamente en el archivo en sí.
• x (execute – ejecución):
  • Archivos: Permite ejecutar el archivo si es un programa o un script.
  • Directorios: Permite «entrar» al directorio, es decir, acceder a sus contenidos y subdirectorios. Sin este permiso, no puedes usar cd para navegar a él, incluso si tienes permiso de lectura.

Cuando un permiso no está presente, se muestra un guion (-) en su lugar. Por ejemplo, -rw-r--r-- significa:

• Dueño: Puede leer y escribir (rw-).
• Grupo: Solo puede leer (r--).
• Otros: Solo puede leer (r--).

Modificando Permisos: chmod

Aquí es donde las cosas se ponen interesantes. El comando chmod (change mode) es tu mejor amigo para modificar los permisos. Hay dos formas principales de usarlo:

1. Notación Simbólica (Letras)

Esta es una forma intuitiva de agregar o quitar permisos. Usamos u (dueño), g (grupo), o (otros) y a (todos). Los operadores son + (añadir), - (quitar) y = (establecer exactamente).

• Ejemplos:
  • chmod u+x mi_script.sh: Añade permiso de ejecución al dueño del archivo mi_script.sh.
  • chmod g-w mi_archivo.txt: Quita el permiso de escritura al grupo en mi_archivo.txt.
  • chmod o=r mi_documento.pdf: Establece el permiso de lectura para «otros» en mi_documento.pdf, quitando cualquier otro permiso que tuvieran.
  • chmod a+rw archivo_compartido: Añade permisos de lectura y escritura para todos (u, g, o).

2. Notación Octal (Números)

Esta es una forma más compacta y potente de establecer permisos, especialmente útil cuando quieres configurar varios permisos a la vez. Cada permiso tiene un valor numérico:

• r (read): 4
• w (write): 2
• x (execute): 1
• – (no permiso): 0

Para cada grupo (dueño, grupo, otros), sumas los valores de los permisos deseados. Luego, concatenas estos tres números para formar un código octal de tres dígitos.

• Ejemplos:
  • rwx = 4 + 2 + 1 = 7
  • rw- = 4 + 2 + 0 = 6
  • r-x = 4 + 0 + 1 = 5
  • r-- = 4 + 0 + 0 = 4
• Aplicando chmod con notación octal:
  • chmod 755 mi_script.sh: Da permisos rwx al dueño, r-x al grupo y r-x a otros. Esto es común para scripts ejecutables.
  • chmod 644 mi_archivo.txt: Da permisos rw- al dueño, r-- al grupo y r-- a otros. Esto es común para archivos de texto.

chown y chgrp: Cambiando Dueño y Grupo

Además de los permisos, también puedes cambiar el propietario de un archivo o directorio y el grupo al que pertenece:

• chown (change owner): Cambia el dueño de un archivo o directorio.
  • chown nuevo_usuario archivo.txt
  • chown nuevo_usuario:nuevo_grupo archivo.txt (Cambia dueño y grupo a la vez)
• chgrp (change group): Cambia el grupo de un archivo o directorio.
  • chgrp nuevo_grupo archivo.txt

Permisos por Defecto: umask

Cuando creas un nuevo archivo o directorio, Linux le asigna un conjunto de permisos por defecto. Este comportamiento se controla mediante el comando umask. El umask es una máscara que resta permisos a los permisos máximos posibles (666 para archivos, 777 para directorios).

• Por ejemplo, si tu umask es 0022:
  • Para archivos (máximo 666): 666 - 022 = 644 (rw-r–r–)
  • Para directorios (máximo 777): 777 - 022 = 755 (rwxr-xr-x)

Puedes ver tu umask actual escribiendo umask en la terminal.

Los permisos en Linux son una herramienta poderosa y esencial para mantener tu sistema seguro y organizado. Dominarlos te dará un control total sobre tus archivos y directorios, y te permitirá trabajar de forma más eficiente y segura. Así que la próxima vez que veas esos misteriosos -rw-r--r--, ¡ya sabrás exactamente qué significan!

Permisos Especiales

Más Allá de rwx: Desentrañando los Permisos Especiales en Linux

Ya hemos explorado los permisos básicos de lectura (r), escritura (w) y ejecución (x) en Linux, un pilar fundamental para la seguridad del sistema. Sin embargo, el universo de los permisos en Linux esconde algunas joyas adicionales que ofrecen funcionalidades avanzadas y, a veces, cruciales para la administración del sistema. Hablamos de los permisos especiales: el setuid, setgid y el sticky bit.

Estos permisos, representados por un s o t en la cadena de permisos que obtenemos con ls -l, pueden parecer un poco intimidantes al principio. Pero una vez que entiendes su propósito, te darás cuenta de su utilidad y de por qué es tan importante manejarlos con precaución.

1. El Bit setuid (s)

El setuid (abreviatura de «set user ID») es un permiso que se aplica exclusivamente a archivos ejecutables. Su función es muy específica y potente: cuando un usuario ejecuta un archivo con el bit setuid activado, el proceso se ejecuta con los privilegios del dueño del archivo, en lugar de los privilegios del usuario que lo está ejecutando.

¿Cómo lo ves?

En la cadena de permisos, verás una s en lugar de la x para el dueño:

-rwsr-xr-x

¿Por qué es útil?

Imagina un programa como passwd, que permite a los usuarios cambiar su contraseña. Para hacer esto, passwd necesita escribir en un archivo que solo el usuario root tiene permiso para modificar (generalmente /etc/shadow). Si passwd no tuviera setuid activado, un usuario normal no podría cambiar su contraseña. Con setuid, passwd se ejecuta temporalmente con los privilegios de root (su dueño), permitiendo el cambio de contraseña.

Riesgos:

Debido a que otorga privilegios elevados, un uso indebido o una vulnerabilidad en un programa con setuid puede ser un grave riesgo de seguridad. Un atacante podría explotar un programa setuid para ejecutar código malicioso con permisos de root. Por eso, es fundamental que solo los programas de confianza y bien auditados tengan este permiso.

2. El Bit setgid (s)

Similar al setuid, el setgid (abreviatura de «set group ID») puede aplicarse tanto a archivos ejecutables como a directorios.

• En archivos ejecutables: Cuando un usuario ejecuta un archivo con el bit setgid activado, el proceso se ejecuta con los privilegios del grupo propietario del archivo, en lugar de los privilegios del grupo principal del usuario que lo ejecuta. ¿Cómo lo ves?Una s en lugar de la x para el grupo:-rwxr-sr-x Utilidad: Permite que un programa interactúe con recursos que son accesibles para un grupo específico, incluso si el usuario que lo ejecuta no pertenece a ese grupo, siempre y cuando el programa sea parte de ese grupo.
• En directorios: Este es un uso muy común y práctico. Cuando el setgid está activado en un directorio, todos los nuevos archivos y subdirectorios creados dentro de él heredarán automáticamente el grupo del directorio padre, en lugar del grupo principal del usuario que los creó. ¿Cómo lo ves?Una s en lugar de la x para el grupo:drwxr-sr-x Utilidad: Es ideal para directorios compartidos donde varios usuarios necesitan colaborar. Asegura que todos los archivos creados por diferentes usuarios en ese directorio pertenezcan al mismo grupo, simplificando la gestión de permisos para la colaboración.

3. El Sticky Bit (t)

El sticky bit es un permiso que se aplica exclusivamente a directorios. Su función principal es evitar que los usuarios eliminen o renombren archivos de otros usuarios dentro de un directorio compartido, incluso si tienen permisos de escritura sobre ese directorio.

¿Cómo lo ves?

Una t en lugar de la x para «otros»:

drwxrwxrwt

Utilidad: El ejemplo más claro y común es el directorio /tmp. En este directorio, cualquier usuario puede crear archivos y directorios. Sin el sticky bit, un usuario malicioso podría eliminar los archivos temporales de otro usuario. Con el sticky bit activado, un usuario solo puede eliminar o renombrar los archivos y directorios que él mismo posee dentro de /tmp.

Cómo Establecer los Permisos Especiales con chmod

Al igual que los permisos básicos, los permisos especiales se pueden establecer utilizando el comando chmod, tanto con la notación simbólica como con la octal.

Notación Simbólica:

• setuid:u+s
  • chmod u+s mi_programa
• setgid:g+s
  • chmod g+s mi_directorio_compartido
• sticky bit:o+t
  • chmod o+t /var/tmp

Notación Octal:

Los permisos especiales tienen un dígito octal adicional que se coloca al principio de los tres dígitos de permisos básicos (dueño, grupo, otros).

• setuid: 4
• setgid: 2
• sticky bit: 1

Para aplicar, sumas el valor del permiso especial que quieres establecer y lo antepones al número octal de los permisos básicos.

• Ejemplos:
  • setuid en un ejecutable (755): chmod 4755 mi_programa (El 4 activa setuid, luego 755 para rwxr-xr-x)
  • setgid en un directorio (770): chmod 2770 mi_directorio_compartido (El 2 activa setgid, luego 770 para rwxrwx---)
  • sticky bit en un directorio (777): chmod 1777 /tmp (El 1 activa sticky bit, luego 777 para rwxrwxrwx)
  Si un permiso especial se activa pero el permiso de ejecución (x) no está presente para el grupo o «otros», la s o t se mostrará en mayúscula (S o T), indicando que el permiso especial está presente, pero el bit de ejecución está ausente.

Conclusión

Los permisos especiales en Linux son herramientas poderosas que, cuando se usan correctamente, mejoran la funcionalidad y la seguridad del sistema. Sin embargo, su poder conlleva una gran responsabilidad. El uso descuidado de setuid y setgid en programas no confiables puede abrir brechas de seguridad significativas.

Entender cuándo y cómo aplicar estos permisos, junto con los permisos básicos, es un paso crucial para cualquier administrador de sistemas o usuario avanzado de Linux. Así que, la próxima vez que veas una s o una t en un listado de permisos, ya sabrás que estás frente a algo más que simple lectura, escritura o ejecución. ¡Estás ante una capa adicional de control y seguridad en tu sistema Linux!

Todos sabemos que Linux es muy seguro, pero como alguien acceda físicamente a tu máquina desde un LiveUSB, te hace la pascua. Y es que como se vio en «Como montar tu disco duro desde un Live USB» aprendimos a acceder a los datos de un disco. Ahora ademas, veremos como cambiar la contraseña de un usuario, e incluso la de root.

Para esto se usa Chroot (Change root) que es una utilidad del sistema Unix que se emplea para crear un nuevo entorno separado del directorio raíz del sistema principal. Este nuevo entorno se conoce como una «jaula chroot». Un usuario que opere dentro de la jaula no puede ver ni acceder ficheros fuera del entorno en el que se le ha confinado.

¡Comenzamos!

Inicia cualquier LiveUSB, yo lo haré con Debian 12 XFCE4.

Una vez iniciado el sistema, abre una terminal y escribe:

lsblk -p

Como resultado tendremos esta salida:

demo@mx1:~
$ lsblk -p
NAME                   MAJ:MIN RM   SIZE RO TYPE MOUNTPOINTS
/dev/loop0               7:0    0   2,1G  1 loop /live/linux
/dev/sda                 8:0    0 111,8G  0 disk 
├─/dev/sda1              8:1    0 110,8G  0 part 
├─/dev/sda2              8:2    0     1K  0 part 
└─/dev/sda5              8:5    0   975M  0 part [SWAP]
/dev/sdb                 8:16   0 298,1G  0 disk 
└─/dev/sdb1              8:17   0 298,1G  0 part 
/dev/sdc                 8:32   1  29,3G  0 disk 
├─/dev/sdc1              8:33   1  29,3G  0 part 
│ └─/dev/mapper/ventoy 254:0    0   2,2G  1 dm   /live/boot-dev
└─/dev/sdc2              8:34   1    32M  0 part 
demo@mx1:~

Como puedes observar, se han listado 3 discos:

• /dev/sda que es donde está insalado Debian 12 XFCE (lo sé porque tiene 3 particiones, siendo una de ella la swap)
• /dev/sdb que es un disco que tengo como almacen.
• /dev/sdc que es el propio Pendrive de arranque del Live USB.
• También tenemos el /dev/loop0 que es donde está montado nuestro sistema provisional.

Si con lsblk no tienes toda la información que necesitas para identificar tu disco, puedes usar estos comandos que te dejo a continuación:

• fdisk
  fdisk es otra opción común entre los sysops. Actualmente lista las diferentes particiones (lo que está relacionado con los discos duros, ya que un disco duro puede estar dividido en varias particiones) de su sistema.
  sudo fdisk –list
• parted
  Esta es similar a las anteriores mencionadas, lista todas las particiones y permite gestionarlas. Su principal diferencia es que también te informa de la marca y modelo de tus discos duros e incluso del tipo de conectividad utilizada en el mismo (scsi, sata, etc) y del tamaño total del disco.
  sudo parted -l
• sfdisk
  Esto es muy similar a fdisk, sin embargo sfdisk le permite ver tanto los volúmenes físicos como los lógicos y también le da un «resumen» de las particiones de los volúmenes físicos reales con los cilindros (inicio y final), sectores, tamaño y tipo.
  Probablemente la «s» es por «super», ya que es un fdisk con superpoderes:
  sudo sfdisk -l

Creando el directorio contenedor.

Para el montaje del disco debes crear un directorio al que puedes llamar como quieras, yo lo llamaré disco, y el lugar donde lo haré, será en /media.

Así que en una terminal homologada escribe:

sudo mkdir /media/disco

Montando el disco

Ahora, en la carpeta contenedora llamada disco, montaré el disco sda1 así:

sudo mount /dev/sda1 /media/disco

Si vuelves a hacer un lsblk, verás que sda1, tiene el punto de montaje en esa ruta.

demo@mx1:~
$ lsblk -p
NAME                   MAJ:MIN RM   SIZE RO TYPE MOUNTPOINTS
/dev/loop0               7:0    0   2,1G  1 loop /live/linux
/dev/sda                 8:0    0 111,8G  0 disk 
├─/dev/sda1              8:1    0 110,8G  0 part /media/disco
├─/dev/sda2              8:2    0     1K  0 part 
└─/dev/sda5              8:5    0   975M  0 part [SWAP]
/dev/sdb                 8:16   0 298,1G  0 disk 
└─/dev/sdb1              8:17   0 298,1G  0 part 
/dev/sdc                 8:32   1  29,3G  0 disk 
├─/dev/sdc1              8:33   1  29,3G  0 part 
│ └─/dev/mapper/ventoy 254:0    0   2,2G  1 dm   /live/boot-dev
└─/dev/sdc2              8:34   1    32M  0 part 
demo@mx1:~

Enjaular disco

Para que Chroot funcione, este debe de ser montado dentro de un disco que tenga un sistema linux instalado, ya que bash necesitará estar instalado ahí. Si lo haces sobre un disco vacío, no funcionará ningún comando.

Y ahora que ya lo tenemos montado, ejecutamos el comando chroot para enjaularnos dentro de nuestro disco y poder ejecutar comandos como si estuviésemos operando desde ese disco

sudo chroot /media/disco

En este momento, todo lo que hagamos solo afectará al disco donde estamos enjaulados.

Cambia el password de root así:

passwd root

Y el de usuario, así:

passwd tu_usuario

Ya solo queda reiniciar el equipo, quitar el Live Cd, e introducir las nuevas contraseñas.

Estas son las instrucciones básicas para la creación, eliminación y modificación de usuarios en Debian y derivadas de este sistema operativo.

Requisitos para añadir usuarios

Muchos de los comandos de esta guía requieren privilegios de superusuario.

Si aparece el siguiente error al usar el comando sudo:

sudo: command not found

Debes activar el modo de superusuario, instalar el comando sudo y agregar tu usuario al grupo sudo.

Hazte superusuario desde la terminal:

su -

Instalamos el comando sudo:

apt-get install sudo -y

Agrega tu ususario al grupo sudo:

usermod -aG sudo tu_usuario

¿Cómo agregar un nuevo usuario?

Debian tiene dos herramientas de línea de comandos que puede usar para crear una nueva cuenta de usuario: useradd y adduser.

Diferencias clave entre ambos:

1. Configuración predeterminada:
   useradd: No establece configuraciones predeterminadas. Te obliga a especificar todos los detalles de la cuenta usando opciones de comandos.
   adduser: Aplica valores predeterminados para grupos, directorios de inicio y otros parámetros.
2. Solicitud de contraseña:
   useradd: No te pide una contraseña para el usuario recién creado. Si quieres proteger la cuenta, deberás usar la opción -p para establecer una contraseña.
   adduser: Te solicita que introduzcas una contraseña durante el proceso de creación de la cuenta, garantizando la seguridad desde el inicio.
3. Creación del directorio de inicio:
   useradd: No crea automáticamente el directorio de inicio del usuario. Si lo necesitas, usa la opción -m para crear un home para el nuevo usuario.
   adduser: Crea automáticamente el directorio de inicio del usuario en la ubicación predeterminada.
4. Interfaz de usuario:
   useradd: Te exige usar opciones de línea de comandos específicas para definir las características de la cuenta.
   adduser: Te ofrece una interfaz interactiva que facilita la configuración de la cuenta del usuario, permitiéndote navegar por el proceso con más fluidez.
5. Disponibilidad:
   useradd: Disponible en todas las distribuciones de Linux.
   adduser: Puede no estar disponible en todas las distribuciones, aunque en Debian 12, viene instalado de serie.

Entonces visto esto, sabemos que:

• useradd es una utilidad de bajo nivel para agregar nuevos usuarios.
• adduser es una interfaz interactiva amigable para useradd escrita en Perl.

Para crear una nueva cuenta de usuario «completa» , ejecute el siguiente comando:

sudo adduser tu_usuario

Como ejemplo crearé el usuario «raspberry»

sudo adduser raspberry

Como resultado, aparece un diálogo en el que debe ingresar la contraseña e información adicional:

Añadiendo el usuario raspberry' ... Añadiendo el nuevo gruporaspberry’ (1001) …
Adding new user raspberry' (1001) with groupraspberry (1001)’ …
Creando el directorio personal /home/raspberry' ... Copiando los ficheros desde/etc/skel’ …
Nueva contraseña:
Vuelva a escribir la nueva contraseña:
passwd: contraseña actualizada correctamente
Cambiando la información de usuario para raspberry
Introduzca el nuevo valor, o pulse INTRO para usar el valor predeterminado
Nombre completo []:
Número de habitación []:
Teléfono del trabajo []:
Teléfono de casa []:
Otro []:
¿Es correcta la información? [S/n] s
Adding new user raspberry' to supplemental / extra groupsusers’ …
Añadiendo al usuario raspberry' al grupousers’ …

El comando crea el directorio de inicio para el nuevo usuario y copia los archivos del directorio /etc/skel allí. (son archivos ocultos)

Agregar un usuario a un grupo.

De forma predeterminada, los miembros del grupo sudo tienen acceso a sudo.

Si deseas que el usuario recién creado tenga derechos de administrador, agrégalo al grupo sudo:

sudo usermod -aG sudo username

Y en nuestro ejemplo lo haremos de la siguiente manera:

sudo usermod -aG sudo raspberry

¿Cómo eliminar un usuario?

Hay dos herramientas de línea de comandos que puede usar para eliminar una cuenta de usuario: userdel y deluser.

userdel es una utilidad de bajo nivel para eliminar usuarios.
deluser es una interfaz interactiva amigable para userdel escrita en Perl.

Es preferible usar el comando deluser, ya que es más amigable que userdel.

Para eliminar un usuario sin eliminar los archivos y directorios del usuario, haga lo siguiente:

sudo deluser tu_usuario

Si necesita eliminar el directorio de inicio del usuario y su contenido, use el indicador -r o --remove-home:

sudo deluser -r tu_usuario

Ejemplo para borrar al usuario «lenovo» y toda su configuración.

sudo deluser -r lenovo

Como resultado, aparece el siguiente mensaje:

Buscando archivos para guardar/eliminar …
Eliminando archivos …
Eliminando el «crontab» …
Eliminando al usuario `lenovo’ …
Hecho.

¿Cómo cambiar la contraseña de usuario?

Para cambiar su contraseña, use el comando passwd sin argumentos adicionales:

passwd

En el diálogo del sistema, deberá ingresar la contraseña anterior y especificar una nueva:

~$ passwd
Cambiando la contraseña de raspberry.
Contraseña actual:
Nueva contraseña:
Vuelva a escribir la nueva contraseña:
passwd: contraseña actualizada correctamente

Para cambiar la contraseña de otro usuario, debe tener derechos de administrador y nombre de usuario:

sudo password username

Seguiremos los pasos descritos anteriormente.