Joel Aranda Cardenas SMX 1r

Enrere

Documentació de Configuració d’Usuaris i Privilegis (Nivell PRO+)

1. Introducció i Objectiu

He configurat el sistema de permisos seguint el principi de mínim privilegi. L’objectiu ha estat crear un entorn modular on cada usuari tingui només les eines necessàries per a la seva feina, garantint la màxima seguretat i traçabilitat del sistema.

2. Neteja i Preparació de l’Entorn

Abans d’iniciar la configuració, es va realitzar una purga de les configuracions prèvies per evitar conflictes i garantir un sistema securitzat des de zero.

  • Ordres: userdel -r [usuari] i groupdel [grup] per eliminar rastres antics.
  • Acció: Es va verificar que el directori /etc/sudoers.d/ estigués net de fitxers residuals.

3. Gestió d’Usuaris Nominals (Administradors)

Per complir amb el criteri d’“Ubicació més segura” i “Mínimes línies de codi”, s’ha optat per una gestió basada en grups.

Implementació:

Creació del grup: groupadd administradors

Assignació: Es van afegir els usuaris dels membres de l’equip al grup: usermod -aG administradors joel.

Configuració de privilegis: Es va crear el fitxer modular /etc/sudoers.d/privilegis-equip amb una única línia: %administradors ALL=(ALL:ALL) ALL

Justificació Tècnica:

  • Optimització: L’ús del símbol % permet gestionar tots els administradors des d’una sola línia, facilitant l’escalabilitat del sistema.
  • Seguretat: En utilitzar /etc/sudoers.d/, mantenim la integritat del fitxer principal /etc/sudoers.

4. Configuració de l’Usuari Genèric “Major” (Gestió)

L’objectiu és que aquest usuari gestioni xarxa i serveis sense tenir accés total al sistema.

Implementació:

Es va crear el fitxer /etc/sudoers.d/major definint ordres específiques amb rutes absolutes i comodins:

major ALL=/usr/bin/systemctl *, /usr/sbin/service *, /usr/sbin/ip *, /usr/bin/nmcli *

Justificació Tècnica:

  • Principi de Mínim Privilegi: Es limita el radi d’acció de l’usuari. Si l’usuari intenta executar una ordre no autoritzada (ex: apt update), el sistema denega l’accés, protegint el nucli del SO.

Comparativa del que pot fer i no fer el major

AccióJoel / Marc (administradors)Usuari major
Instal·lar programes (apt)✅ SÍ❌ NO
Veure estat de serveis✅ SÍ✅ SÍ
Configurar la IP de xarxa✅ SÍ✅ SÍ
Crear altres usuaris✅ SÍ❌ NO
Modificar fitxers de sudoers✅ SÍ❌ NO
  1. ** Joel i Marc** són els responsables de la infraestructura (poden trencar i arreglar-ho tot).
  2. Major és un tècnic de manteniment (pot arreglar la xarxa o reiniciar un servei si falla, però no pot comprometre la seguretat global del servidor instal·lant coses o mirant dades privades).

5. Configuració de l’Usuari Genèric “Super” (Restringit)

Seguint la rúbrica, l’usuari super ha d’existir, però no ha de tenir privilegis.

Implementació:

  • Es va crear mitjançant adduser super i no es va incloure en cap grup de privilegis ni en fitxers de configuració de sudoers.

6. Protecció crítica: Bloqueig del Compte Root

Per assolir l’excel·lència en seguretat, s’ha procedit a deshabilitar l’accés directe al superusuari root.

Implementació:

  • Ordre: passwd -l root
  • Resultat: El compte queda bloquejat (“Locked”). Qualsevol tasca administrativa s’ha de realitzar mitjançant els usuaris nominals autoritzats, garantint la traçabilitat.

7. Verificació de Resultats (Evidències)

Per validar el nivell PRO+, s’han realitzat les següents comprovacions:

  1. Prova de Sudo: L’usuari joel pot administrar el sistema després d’autenticar-se.
  2. Prova de Restricció: L’usuari major pot consultar serveis (systemctl) però no pot instal·lar programari.
  3. Prova de Bloqueig: L’usuari super rep l’error “is not in the sudoers file” en intentar fer servir sudo.
  4. Prova d’Integritat: L’ordre sudo passwd -S root mostra l’estat L (Locked).

8. Reflexió Personal

“Aquest procés de configuració m’ha permès entendre la importància de l’administració modular en Linux. No es tracta només de donar permisos, sinó d’estructurar-los de manera que el sistema sigui segur per defecte. L’ús de /etc/sudoers.d/ i la deshabilitació del root són pràctiques professionals que eleven la robustesa de qualsevol infraestructura informàtica.”

9. EVIDÈNCIES

Aquí deixo codi per deixar comprovat de què la feina ha sigut tot un èxit.

total 28
-r--r----- 1 root root   20 Feb  7  2019 0pwfeedback
-rw-r----- 1 root root   58 Apr 13 14:07 genèrics
-rw-r----- 1 root root   85 Apr 14 11:21 major
-r--r----- 1 root root  185 Aug 26  2025 mintdrivers
-r--r----- 1 root root  206 Aug 26  2025 mintupdate
-rw-r----- 1 root root   35 Apr 13 14:05 privilegis-equip
-r--r----- 1 root root 1068 Jan 29  2024 README

Demostra que el sistema reconeix els fitxers amb permisos de lectura per a root (-rw-r-----), cosa que confirma que la configuració és segura i està activa.

1
#### Codi per saber si el root esta bloquejat ####
sudo passwd -S root
#### Resposta de la maquina ####
root L 2026-04-13 0 99999 7 -1


Què significa aquesta “L”?
La “L” significa Locked (Bloquejat). Indica que el compte de root no té una contrasenya operativa per entrar-hi directament.

2
super@major304:/home/joel$ sudo ls /
[sudo] password for super:
Sorry, user super is not allowed to execute '/usr/bin/ls /' as root on major304.
super@major304:/home/joel$

En aquest codi demostro que la política de seguretat s’aplica correctament per als usuaris sense privilegis.
He intentat executar una ordre amb sudo des de l’usuari super, i el sistema l’ha bloquejat immediatament. Això passa perquè L’usuari no està autoritzat: L’usuari super forma part del grup de “genèrics” i no ha estat afegit a cap fitxer de /etc/sudoers.d/ amb permisos d’execució.

3

Review My Order

0

Subtotal

Taxes & shipping calculated at checkout

Checkout