Un indicador de shell en una ventana de terminal en una computadora Linux.

Eliminar un usuario en Linux implica más de lo que cree. Si es administrador del sistema, querrá eliminar todos los rastros de la cuenta y su acceso desde sus sistemas. Te mostramos los pasos a seguir.

Si solo desea eliminar una cuenta de usuario de su sistema y no le preocupa finalizar los procesos en ejecución y otras tareas de limpieza, siga los pasos de la sección "Eliminación de la cuenta de usuario" a continuación. Necesitará el delusercomando en distribuciones basadas en Debian y el userdelcomando en otras distribuciones de Linux.

Cuentas de usuario en Linux

Desde que aparecieron los primeros sistemas de tiempo compartido a principios de la década de 1960 y trajeron consigo la capacidad de que varios usuarios trabajaran en una sola computadora, ha existido la necesidad de aislar y compartimentar los archivos y datos de cada usuario de todos los demás usuarios. Y así nacieron las cuentas de usuario y las contraseñas.

Las cuentas de usuario tienen una sobrecarga administrativa. Deben crearse cuando el usuario necesita acceder por primera vez a la computadora. Deben eliminarse cuando ese acceso ya no sea necesario. En Linux, hay una secuencia de pasos que se deben seguir para eliminar correcta y metódicamente al usuario, sus archivos y su cuenta de la computadora.

Si es el administrador del sistema, esa responsabilidad recae en usted. He aquí cómo hacerlo.

Nuestro escenario

Hay varias razones por las que es posible que deba eliminar una cuenta. Un miembro del personal puede mudarse a un equipo diferente o dejar la empresa por completo. Es posible que la cuenta se haya configurado para una colaboración a corto plazo con un visitante de otra empresa. Los equipos de trabajo son comunes en la academia, donde los proyectos de investigación pueden abarcar departamentos, diferentes universidades e incluso entidades comerciales. Al finalizar el proyecto, el administrador del sistema debe realizar la limpieza y eliminar las cuentas innecesarias.

El peor de los casos es cuando alguien se va bajo una nube debido a un delito menor. Estos eventos suelen ocurrir de repente, con poca advertencia previa. Eso le da al administrador del sistema muy poco tiempo para planificar y una urgencia para bloquear, cerrar y eliminar la cuenta, con una copia de los archivos del usuario respaldados en caso de que sean necesarios para cualquier análisis forense posterior al cierre.

En nuestro escenario, pretendemos que un usuario, Eric, ha hecho algo que justifica su eliminación inmediata de las instalaciones. En este momento él no se da cuenta de esto, todavía está trabajando y ha iniciado sesión. Tan pronto como le dé el visto bueno a seguridad, lo escoltarán fuera del edificio.

Todo está listo. Todos los ojos están puestos en ti.

Compruebe el inicio de sesión

Veamos si realmente está conectado y, si lo está, con cuántas sesiones está trabajando. El whocomando enumerará las sesiones activas.

OMS

quien en una ventana de terminal

Eric ha iniciado sesión una vez. Veamos qué procesos está ejecutando.

Revisión de los procesos del usuario

Podemos usar el pscomando para listar los procesos que este usuario está ejecutandoLa -uopción (usuario) nos permite decirle psque restrinja su salida a los procesos que se ejecutan bajo la propiedad de esa cuenta de usuario.

ps -u eric

ps -u eric en una ventana de terminal

Podemos ver los mismos procesos con más información usando el topcomando. top también tiene una -Uopción (usuario) para restringir la salida a los procesos propiedad de un solo usuario. Tenga en cuenta que esta vez es una "U" mayúscula.

arriba -U eric

top -U eric en una ventana de terminal

Podemos ver el uso de la memoria y la CPU de cada tarea y podemos buscar rápidamente cualquier cosa con actividad sospechosa. Estamos a punto de matar a la fuerza todos sus procesos, por lo que es más seguro tomarse un momento para revisar rápidamente los procesos y verificar y asegurarse de que otros usuarios no sufrirán inconvenientes cuando cancele ericlos procesos de la cuenta de usuario .

Salida desde arriba -U eric en una ventana de terminal

No parece que esté haciendo mucho, solo usa  lesspara ver un archivo. Estamos a salvo para continuar. Pero antes de matar sus procesos, congelaremos la cuenta bloqueando la contraseña.

Bloquear la cuenta

Bloquearemos la cuenta antes de matar los procesos porque cuando matamos los procesos cerrará la sesión del usuario. Si ya hemos cambiado su contraseña, no podrá volver a iniciar sesión.

Las contraseñas de usuario cifradas se almacenan en el /etc/shadowarchivo. Normalmente no se molestaría con estos siguientes pasos, pero para que pueda ver lo que sucede en el /etc/shadow archivo cuando bloquea la cuenta, tomaremos un pequeño desvío. Podemos usar el siguiente comando para mirar los dos primeros campos de la entrada de la  eric cuenta de usuario.

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow en una ventana de terminal

El comando awk analiza los campos de los archivos de texto y, opcionalmente, los manipula. Estamos usando la -Fopción (separador de campo) para indicar awkque el archivo usa dos puntos ” :” para separar los campos. Vamos a buscar una línea con el patrón “eric”. Para líneas coincidentes, imprimiremos el primer y segundo campo. Estos son el nombre de la cuenta y la contraseña cifrada.

La entrada para la cuenta de usuario eric está impresa para nosotros.

Para bloquear la cuenta usamos el passwdcomando. Usaremos la -lopción (bloquear) y pasaremos el nombre de la cuenta de usuario para bloquear.

sudo passwd -l eric

sudo passwd -l eric en una ventana de terminal

Si revisamos el /etc/passwdarchivo nuevamente, veremos qué sucedió.

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow en una ventana de terminal

Se ha añadido un signo de exclamación al principio de la contraseña cifrada. No sobrescribe el primer carácter, solo se agrega al inicio de la contraseña. Eso es todo lo que se necesita para evitar que un usuario pueda iniciar sesión en esa cuenta.

Ahora que hemos evitado que el usuario vuelva a iniciar sesión, podemos matar sus procesos y cerrar la sesión.

Matar los procesos

Hay diferentes formas de matar los procesos de un usuario, pero el comando que se muestra aquí está ampliamente disponible y es una implementación más moderna que algunas de las alternativas. El pkillcomando encontrará y matará procesos. Pasamos la señal KILL y usamos la -uopción (usuario).

sudo pkill -KILL -u eric

sudo pkill -KILL -u eric en una ventana de terminal

Regresará al símbolo del sistema de una manera decididamente anticlimática. Para asegurarnos de que sucedió algo, verifiquemos whonuevamente:

OMS

quien en una ventana de terminal

Su sesión se ha ido. Se ha desconectado y sus procesos se han detenido. Eso le quitó algo de urgencia a la situación. Ahora podemos relajarnos un poco y continuar con el resto de la limpieza mientras los de seguridad se acercan al escritorio de Eric.

Archivar el directorio de inicio del usuario

No está descartado que en un escenario como este, se requiera acceso a los archivos del usuario en el futuro. Ya sea como parte de una investigación o simplemente porque su reemplazo puede necesitar hacer referencia al trabajo de su predecesor. Usaremos el tarcomando para archivar todo su directorio de inicio.

Las opciones que estamos usando son:

  • c : crea un archivo de almacenamiento.
  • f : Utilice el nombre de archivo especificado para el nombre del archivo.
  • j : Utilice la compresión bzip2.
  • v : proporciona una salida detallada a medida que se crea el archivo.
sudo tar cfjv eric-20200820.tar.bz / home / eric

sudo tar cfjv eric-20200820.tar.bz / home / eric en una ventana de terminal

Una gran cantidad de salida de pantalla se desplazará en la ventana del terminal. Para comprobar que se ha creado el archivo, utilice el lscomando. Estamos usando las opciones -l(formato largo) y -h(legible por humanos).

ls -lh eric-20200802.tar.bz

sudo tar cfjv eric-20200820.tar.bz / home / eric en una ventana de terminal

Se ha creado un archivo de 722 MB. Esto se puede copiar en un lugar seguro para su posterior revisión.

Eliminar trabajos cron

Será mejor que verifiquemos si hay crontrabajos programados para la cuenta de usuario ericUn crontrabajo es un comando que se activa en momentos o intervalos específicos. Podemos verificar si hay crontrabajos programados para esta cuenta de usuario usando ls:

sudo ls -lh / var / spool / cron / crontabs / eric

sudo ls -lh / var / spool / cron / crontabs / eric en una ventana de terminal

Si existe algo en esta ubicación, significa que hay crontrabajos en cola para esa cuenta de usuario. Podemos eliminarlos con este crontabcomando. La -ropción (eliminar) eliminará los trabajos, y la -uopción (usuario) indica crontab qué trabajos eliminar.

sudo crontab -r -u eric

sudo crontab -r -u eric en una ventana de terminal

Los trabajos se eliminan silenciosamente. Por lo que sabemos, si Eric hubiera sospechado que estaba a punto de ser desalojado, podría haber programado un trabajo malicioso. Este paso es la mejor práctica.

Eliminación de trabajos de impresión

¿Quizás el usuario tenía trabajos de impresión pendientes? Solo para estar seguros, podemos purgar la cola de impresión de cualquier trabajo que pertenezca a la cuenta de usuario ericEl lprmcomando elimina trabajos de la cola de impresiónLa -Uopción (nombre de usuario) le permite eliminar trabajos que pertenecen a la cuenta de usuario nombrada:

lprm -U eric

lprm -U eric en una ventana de terminal

Los trabajos se eliminan y vuelve a la línea de comandos.

Eliminar la cuenta de usuario

Ya hicimos una copia de seguridad de los archivos del /home/eric/directorio, por lo que podemos continuar y eliminar la cuenta de usuario y eliminar el /home/eric/directorio al mismo tiempo.

El comando a usar depende de la distribución de Linux que esté usando. Para las distribuciones de Linux basadas en Debian, el comando es deluser, y para el resto del mundo Linux, lo es userdel.

De hecho, en Ubuntu ambos comandos están disponibles. Casi esperaba que uno fuera un alias del otro, pero son binarios distintos.

tipo deluser
escriba userdel

escriba deluser en una ventana de terminal

Aunque ambos están disponibles, la recomendación es utilizarlos deluser en distribuciones derivadas de Debian:

“ userdelEs una utilidad de bajo nivel para eliminar usuarios. En Debian, los administradores deberían utilizar deluser(8) en su lugar ".

Eso es lo suficientemente claro, por lo que el comando a usar en esta computadora con Ubuntu es deluserDebido a que también queremos que se elimine su directorio de inicio, estamos usando la --remove-homebandera:

sudo deluser --remove-home eric

sudo deluser --remove-home eric en una ventana de terminal

El comando a usar para distribuciones que no son de Debian es userdel, con la --removebandera:

sudo userdel --remove eric

ericSe han borrado todos los rastros de la cuenta de usuario Podemos comprobar que /home/eric/se ha eliminado el directorio:

ls / home

ls / home en una ventana de terminal

El ericgrupo también se ha eliminado porque la cuenta de usuario ericera la única entrada en él. Podemos comprobar esto con bastante facilidad canalizando el contenido de a /etc/grouptravés de grep:

sudo menos / etc / group | grep eric

sudo menos / etc / group | grep eric en una ventana de terminal

Es una envoltura

Eric, por sus pecados, se ha ido. Seguridad todavía lo está sacando del edificio y ya ha protegido y archivado sus archivos, ha eliminado su cuenta y ha purgado el sistema de cualquier resto.

La precisión siempre triunfa sobre la velocidad. Asegúrese de considerar cada paso antes de darlo. No querrás que alguien se acerque a tu escritorio y diga "No, el otro Eric".