Cuentas de usuario

Importancia de las cuentas de usuario

En Linux hay tres tipos de cuentas de usuario: root, estándar o locales, y las de usuarios asociados a servicios, llamadas también cuentas del sistema.

• La cuenta del usuario root: es la del dueño y administrador del sistema Linux. Tiene acceso total a todos los archivos del sistema, puede crear otros usuarios, instalar software, compilar el Kernel, etc. Por todo ello es aconsejable utilizarla únicamente para la administración de nuestro sistema.

• Las cuentas de los usuarios estándar o locales: tienen limitaciones en cuanto a las acciones que pueden iniciar así como a los archivos y carpetas a los que pueden acceder, salvo en su directorio personal en este último caso. Es por ello que son los usuarios recomendados para el uso diario del sistema.

• Las cuentas del sistema o cuentas de usuarios asociados a servicios: las cuales no pueden iniciar sesiones en el sistema, pero por medio de ellas se pueden establecer los permisos asociados a dichos servicios, ejemplos son las cuentas de los usuarios apache, bin...

Por lo expresado anteriormente, y para evitar causar daños involuntarios a nuestro sistema, así como por seguridad, es conveniente que entremos y trabajemos como usuarios estándar, dejando la cuenta de root únicamente para temas de administración que sólo él pueda realizar.

Creación de contraseñas seguras

Las contraseñas son el principal método que utilizan los sistemas operativos como openSUSE para validar los usuarios. De ese modo se autentifica que el usuario es quien dice ser. Por este motivo, la seguridad de las contraseñas es la principal manera de proteger al usuario, al equipo y a la red contra el acceso no autorizado; las contraseñas nunca deben ser compartidas, ni siquiera con familiares cercanos, y deben ser seguras en el sentido de ser lo suficientemente complejas como para que nadie pueda adivinarlas o intuirlas.

Las contraseñas seguras debe cumplir una premisa: su longitud debe ser de 10 caracteres o más, cada carácter de más que se adicione a la contraseña hace que su seguridad aumente exponencialmente. Una contraseña segura debe contener tres de los cuatros características que se expone a continuación.

1. Letras minúsculas.
2. Letras mayúsculas.
3. Números.
4. Caracteres no alfanuméricos o símbolos ($, @, &, #, {, ?, etc...).

Aparte de contener 3 de las 4 características, las contraseñas debe cumplir los siguientes requisitos:

• No debe contener información que sea fácil de averiguar como el nombre del usuario de la cuenta y la información personal de dicho usuario.
• No debe contener palabras existentes en algún idioma, ni siquiera invertidas.
• No debe formarse con números y/o letras que estén adyacentes en el teclado.
• No debe escribirse en ningún sitio, por lo que debe ser fácil de recordar.

A continuación, se expone diversas maneras de crear y recordar una contraseña segura, en cualquiera de los métodos expuestos debe existir dos condiciones:

1. Que no estén repetidas las letras (es indiferente si es minúsculas o mayúsculas) y los números.
2. Que no existan dos letras minúsculas o mayúsculas consecutivas o números consecutivos.

Método con acrónimos

Utilizaremos tres cosas: una frase de un libro o una poesía o un refrán o un dicho popular; un numero como una constante física o matemática o un numero primo o el año de la salida del libro o la fecha de nacimiento del autor, cuyos números no estén repetidos; y tu numero favorito entre el 1 y el 3. Transfórmalo en acrónimos (la 1ª letra de cada palabra) incluyendo los signos de puntuación y en los caracteres que coincidan con tu número favorito añade un dígito del numero seleccionado.

Ejemplo: Seleccionamos la 1ª frase del capitulo 1 del libro "Don Quijote de la Mancha", el año de publicación y como número el 2.

1. Crear los acrónimos: EuldlM,dcnnqa
2. Eliminar los caracteres repetidos: EuldM,cnqa
3. Añadir el año según el numero seleccionado: Eu1ld6M,0cn5qa
4. Transformar la última de las dos letras minúsculas o mayúsculas consecutivas en su inversa: Eu1lD6M,0cN5qA
5. Seleccionamos su longitud (mínimo 10 caracteres): Eu1lD6M0cN,
6. (opcional) Si no tuviera signos de puntuación, añade tu carácter no alfanumérico o símbolo favorito al principio y/o al final o insertarlo en la posición de tu numero favorito. Eu1lD6M0cN,

Es importante que la selección de una frase corresponda a una frase sencilla de recordar (o de buscar en su caso) pero que no tengas publicada asociada contigo en ningún lugar, incluidas tus redes sociales.

Podemos comprobar la fortaleza de una contraseña en Comprobador de Contraseñas/Passwords. Si el indicador está en verde es que es una contraseña segura.

Método con palabras

Aunque los acrónimos proporcionan contraseñas seguras, es fácil olvidar alguno de los elementos que lo conforman. En ese caso se hace muy difícil verificar cuál es la clave correcta.

Una aproximación diferente para la formación de contraseñas consiste en formar contraseñas mucho más largas (más de 20 caracteres) concatenando palabras diferentes.

Ejemplo:

1. Elige 4 o 5 palabras de entre 4 y 6 caracteres, que puedas relacionar de alguna forma entre sí. Digamos: casa, plancha, torre, colina.
2. Busca una frase que las relacione. Por ejemplo, en casa se plancha viendo la torre en la colina.
3. Une las palabras: casaplanchatorrecolina
4. (opcional) Pon algunas mayúsculas que tengan sentido en la frase: casaplanchaTorrecolina
5. (opcional) Pon algunos signos de puntuación y números que tengan sentido en la frase: casaplancha?Torres-colina
6. Contraseñas como la obtenida en el paso 3 deben de tener al menos 25 caracteres o más.

Para probar contraseñas de este tipo, puedes utilizar el servicio de Prueba de Contraseñas de Kaspersky, por ejemplo. No utilices tu contraseña real, utiliza estos servicios como forma de aprendizaje.

Conveniencia del uso de distintas para root y para el usuario

La cuenta de usuario root es la dueña de todo. Todo lo que hagamos con esa cuenta desde que iniciemos sesión con ella, repercutirá en todo el sistema, lo hagamos consciente o inconscientemente. Ello conlleva el tener una responsabilidad que no es necesaria durante nuestro trabajo cotidiano, para ello están las cuentas estándar o locales, las cuales podemos configurar absoluta y totalmente y sin que ello repercuta en el resto de nuestro Linux. Podemos personalizar nuestro escritorio, programas preferidos, etc, sin riesgos colaterales, ya que los cambios sólo afectarán a nuestro usuario. Las cuentas de usuario fueron creadas específicamente para ello, las de administrador para acciones puntuales.

Ficheros /etc/passwd y /etc/shadow

El archivo /etc/passwd es un archivo de texto que describe las cuentas del sistema. Debe tener permisos de lectura para los usuarios ya que muchas utilidades lo usan para asociar identificadores de usuario (ID) con nombres de usuarios, pero solo permisos de escritura para el super usuario.

Cada línea del archivo describe un usuario y contiene siete campos separados por dos puntos (:)

  nombre:clave:UID:GID:GECOS:home:shell

Los campos son los siguientes:

• nombre: Es el nombre del usuario. No debería contener letras mayúsculas.
• clave: Esto puede ser la clave cifrada, un asterisco o la letra 'x'
• UID: El ID del usuario.
• GID: El ID del grupo primario del usuario.
• GECOS: Este campo es opcional y es utilizado con propósitos informativos, normalmente contiene el nombre completo del usuario.
• home: Es la ruta al directorio home del usuario. El valor de este campo se utiliza para asignar la variable HOME.
• shell: Es el programa a ejecutar al inicio de la sesión, si esta vació se utiliza /bin/sh y si apunta a un ejecutable invalido el usuario no podrá iniciar sesión.

El archivo /etc/shadow contiene las claves cifradas de las cuentas de usuarios. La información incluida es:

• Nombre de login
• Clave cifrada
• Días desde el 1/1/1970 que la clave fue cambiada por última vez
• Días antes de que la clave deba ser cambiada
• Días desde de que la clave debió ser cambiada
• Días anteriores a la expiración de la clave en los cuales el usuario es advertido
• Días luego de la expiración de la clave en los que se deshabilita el usuario
• Días desde el 1/1/1970 que la cuenta esta deshabilitada
• Campo reservado

Cómo cambiar la clave de root si se olvida

¡Este artículo puede reciclarse! Este artículo no cumple los estándares esperados en la wiki de openSUSE. Con toda probabilidad, este artículo esté desfasado; sin embargo, puede que contenga suficiente material aprovechable. Estás invitado a ayudar a reciclar el artículo. Para más información ver el equipo del wiki.

• Usando el CD/DVD de instalación de openSUSE:

Introducir el CD/DVD y pulsar F2 para seleccionar el idioma español y seleccionar la opción de menú "Sistema de rescate" (o "Rescue System" si lo dejó en inglés). A continuación comprobamos las particiones que tenemos en nuestro sistema con lsblk (o bien fdisk -l o gdisk). En nuestro caso la salida es:

Disposit. Inicio    Comienzo      Fin      Bloques  Id  Sistema
/dev/sda1   *        2048   315645951   157821952   83  Linux
/dev/sda2       315645952   328224767     6289408   82  Linux swap / Solaris
/dev/sda3       328224768  1953523711   812649472   83  Linux

Sabiendo ahora cuál es la partición de arranque la montamos manualmente:

mount -o remount,rw /dev/sda1 /mnt

Y a continuación tecleamos:

cd /mnt
chroot /mnt
passwd

En el último comando ponemos la nueva contraseña de la cuenta del usuario root y ahora sí, la guardamos bien.

• Durante el inicio de GRUB:

Se edita la línea de parámetros del kernel antes del arranque del sistema operativo y se agrega lo siguiente para acceder al mismo sin contraseña:

init=/bin/bash 

A continuación introducimos la nueva contraseña:

passwd

Y, como último paso, reiniciamos.

• Durante el inicio de GRUB2

En el menú de GRUB2 selecciona la opción de arranque deseada y pulsa e. Luego bajas utilizando la tecla flecha abajo hasta la línea que empieza por linux y en ella pulsa la tecla Fin para colocarte al final y añadir init=/bin/bash. A continuación pulsa F10 para iniciar el arranque y cuando termine ejecuta el comando passwd para cambiar la contraseña. Para acabar reiniciamos.