7.3.- Asociar UID y GID a usuarios y grupos

Como se mencionó anteriormente, Linux define a los usuarios y grupos por números, a los que se refiere como ID de usuario (UID) e ID de grupos (GID), respectivamente. Internamente, Linux sigue el rastro de los usuarios y grupos por estos números y no por su nombre. Por ejemplo, el usuario riu puede estar asociado al UID 231 y kiko puede ser UID 341. De manera similar, el grupo aula1 puede tener la GID 534 y aula2 puede ser GID 566. Estos detalles generalmente se llevan en privado ya que el usuario emplea nombres y Linux emplea /etc/passwd o /etc/group para localizar el número asociado al nombre. No obstante, puede que, ocasionalmente, necesite saber cómo asigna Linux los números cuando le diga que haga algo, en especial cuando esté resolviendo algún problema o si tiene motivos para editar manualmente /etc/passwd o /etc/group.

Las distribuciones de Linux reservan el primer centenar de ID de usuarios y grupos (0-99) para el uso del sistema. El o es el más importante de éstos, es el que corresponde a root (tanto el usuario como el grupo). Los números más bajos de los que siguen los utilizan las cuentas y grupos que están asociados con utilidades y funciones específicas de Linux.

No todos los números de cuentas y grupos del 0 al 99 están en uso; generalmente, sólo una o dos decenas de cuentas y, aproximadamente, una decena de grupos se utilizan de esta manera.

tux_maestro_derAparte de UID 0 y GID 0, los números de las UID y GID no están totalmente estandarizados. Por ejemplo, aunque UID 2 y GID 2 se asocian con la cuenta daemon y el grupo daemon en Red Hat y SUSE, en Debian se asocian a la cuenta bin y el grupo bin; la cuenta daemon y el grupo daemon corresponden a UID 1 y GID 1. Si queremos hacer referencia a un usuario o grupo particular, emplee el nombre en lugar del número.

Más allá de 100. las ID de usuarios y grupo se encuentran disponibles para los usuarios y grupos normales. No obstante, muchas distribuciones reservan hasta 500 o incluso 1000 para fines especiales. Es frecuente, por tanto,  que la primera cuenta de usuario normal se le asigne una UID de 500 o 1000.

Cuando creemos cuentas adicionales, el sistema localizará normalmente el siguiente número al más alto sin utilizar, por lo que el segundo usuario que fué creado tendrá UID 501 y el tercero la UID 502, etc. Si eliminamos al usuario, el número de ID de dicha cuenta se podrá reutilizar, pero las herramientas de creación automática de cuentas normalmente no hacen eso si los números subsiguientes están en uso, creando de este modo un salto en la secuencia. Este salto no resulta perjudicial a menos que tenga tantos usuarios que se quede sin números para las ID (su límite es de 65536 usuarios en los kernel 2.2.x y sobre los 4,2 billones con los kernel 2.4.x y posteriores, incluyendo a root y las demás cuentas del sistema). De hecho si reutilizamos un número de ID nos puede provocar un problema si no eliminamos los ficheros del antiguo usuario; el nuevo usuario se convertirá en el nuevo propietario de los ficheros del anterior, lo que podría crear confusión.

Normalmente, GID 100 es users, el grupo por defecto para algunas distribuciones. Lo normal sería que creemos nuestros propios grupos, a menos que tenga un sistema muy pequeño con pocos usuarios. Como las distintas distribuciones tienen, por defecto, diferentes modos de asignar usuarios a los grupos, es mejor que nos familiaricemos en el modo en que hace esto nuestra distribución para planificar nuestras propias políticas de creación. Por ejemplo, puede que deseemos crear nuestros propios grupos con determinados rangos de ID para evitar conflictos con los procesos de creación por defecto de usuarios y grupos de la distribución.

Se pueden crear varios nombres de usuario que empleen la misma UID o varios nombres de grupo que empleen la misma GID. En cierto sentido, se trata de cuentas o grupos diferentes; tienen entradas diferentes en /etc/passwd o /etc/group, por lo que pueden tener distintos directorios home, diferentes contraseñas, etc. Sin embargo, los usuarios y grupos al compartir las ID, serán tratados de idéntica manera en lo referente a los permisos de los ficheros. A menos que tenga una razón de peso para ello, debería evitar crear varios usuarios o grupos que compartan ID.

tux_maestro_derLos intrusos a veces, crean cuentas con UID 0 para obtener privilegios de root en los sistemas que invaden. Cualquier cuenta con UID 0 es, a todos los efectos, una cuenta de root, con todo el poder de superusuario. Si detecta una cuenta sospechosa en su fichero /etc/passwd con UID 0, es probable que su sistema esté en riesgo.

Anuncios