6.4. Grupos de usuario privado
Red Hat Enterprise Linux utiliza un esquema de grupo privado de usuario (UPG), lo que hace m�s f�cil de manejar los grupos de UNIX.
Se crea un UPG siempre que se a�ade un nuevo usuario al sistema. Un UPG tiene el mismo nombre que el usuario para el cual se crea y ese usuario es el �nico miembro de ese UPG.
Los UPGs hacen que sea m�s seguro configurar los privilegios por defecto para un nuevo archivo o directorio lo que permite a ambos, tanto el usuario como al grupo de ese usuario hacer modificaciones al archivo o directorio.
El par�metro que determina qu� permisos son aplicados a un nuevo archivo o directorio es llamado un umask y se configura en el archivo /etc/bashrc. Tradicionalmente en sistemas UNIX, el umask es configurado a 022, lo que s�lo permite al usuario que cre� el archivo o directorio realizar modificaciones. Bajo este esquema, todos los dem�s usuarios incluyendo miembros del grupo del creador no tienen derecho a realizar ninguna modificaci�n. Sin embargo, bajo el esquema UPG, esta "protecci�n de grupo" no es necesaria puesto que cada usuario tiene su propio grupo privado.
6.4.1. Directorios de grupos
Muchas organizaciones de Tecnolog�as de Informaci�n prefieren crear un grupo para cada proyecto importante y luego asignar personas al grupo si estos necesitan acceso a los archivos de ese proyecto. Usando este esquema tradicional, el manejo de archivos ha sido dif�cil pues cuando alguien crea un archivo, este es asociado con el grupo primario al cual ellos pertenecen. Cuando una persona individual trabaja en m�ltiples proyectos, se hace dif�cil asociar los archivos correctos con el grupo correcto. Usando el esquema UPG, sin embargo, los grupos son autom�ticamente asignados a archivos creados dentro de un directorio con el bit setgid configurado. El bit setgid hace muy simple el manejo de proyectos de grupos que comparten un directorio com�n, pues cualquier archivo creado dentro del directorio es propiedad del grupo que posee el directorio.
Digamos, por ejemplo, que un grupo de personas trabajan con archivos en el directorio /usr/lib/emacs/site-lisp/. Algunas personas son de confianza como para modificar el directorio, pero ciertamente no todos. Entonces, primero cree un grupo emacs, como se muestra en el siguiente comando:
Para asociar los contenidos del directorio con el grupo emacs, escriba:
chown -R root.emacs /usr/lib/emacs/site-lisp |
Ahora es posible a�adir los usuarios adecuados al grupo con el comando gpasswd:
/usr/bin/gpasswd -a <username> emacs |
Para permitir que los usuarios creen archivos dentro del directorio, utilice el comando siguiente:
chmod 775 /usr/lib/emacs/site-lisp |
Cuando un usuario crea un nuevo archivo, se le asigna el grupo del grupo por defecto privado del usuario. Luego, configure el bit setgid, el cual asigna que todo lo que se cree en el directorio la misma permisolog�a de grupo del directorio mismo (emacs). Use el comando siguiente:
chmod 2775 /usr/lib/emacs/site-lisp |
En este punto, puesto que cada usuario tiene por defecto su umask en 002, todos los miembros del grupo emacs pueden crear y modificar archivos en el directorio /usr/lib/emacs/site-lisp/ sin que el administrador tenga que cambiar los permisos de los archivos cada vez que un usuario escriba nuevos archivos.
