Permisos de archivos, sus dueños y grupos
Para entender mejor el concepto de permisos se tendrá que tener en cuenta que cada usuario puede pertenecer a uno o más grupos. Cada usuario pertenece por lo menos a un grupo, que es establecido en el momento en que el usuario se crea. El administrador del sistema puede agregar al usuario a otros grupos. Estos grupos son necesarios para poder establecer una política de acceso más organizada dado que en cualquier momento se podría dar a un archivo el acceso a personas de un grupo determinado. Lo único que se tendría que hacer es agregar a los usuarios que se quieran dar permisos a ese grupo.
Para cada objeto (archivo) que se encuentre en el sistema, GNU/Linux guarda información administrativa en la tabla de inodos. Entre los datos que se guardan en esta tabla se encuentran la fecha de creación del archivo, modificación del archivo y la fecha en que se cambio el inodo. Pero además contiene los datos en los que se centra toda la seguridad en GNU/ Linux.
Estos son:
En este tramo nos centraremos en primer medida en entender los permisos y en establecer la forma en que pueden trabajar con ellos.
Conceptos
Al ser GNU/Linux un sistema operativo multiusuario, para que se puedan proteger los archivos se estableció un mecanismo por el cual se otorgan permisos a un determinado usuario y/o grupo. Esto permite, por ejemplo, que si existe un archivo creado por un usuario en particular, este será propiedad del usuario y también podrá ser del grupo del usuario. Se permite que los archivos sean compartidos entre usuarios y grupos de usuarios. Por ejemplo si el usuario “pepe” quisiera puede prohibir los accesos a un archivo determinado que le pertenezca a todos los usuarios que no pertenezcan a su grupo de usuarios.
Los permisos están divididos en tres tipos: lectura, escritura y ejecución (rwx). Estos permisos pueden estar fijados para tres clases de usuario: el propietario del archivo, el grupo al que pertenece el archivo y para todo el resto de los usuarios. El permiso de lectura permite a un usuario leer el contenido del archivo o en el caso de que el archivo sea un directorio, la posibilidad de ver el contenido del mismo. El permiso de escritura permite al usuario modificar y escribir el archivo. En el caso de un directorio permite la crear nuevos archivos en él o borrar archivos existentes. El permiso de ejecución permite al usuario ejecutar el archivo, si tiene algo para ejecutarse. Para los directorios permite al usuario cambiarse a él con el comando cd.
Como se interpretan los permisos
Para poder interpretar los permisos de archivos nada mejor que utilizar el comando ls -la. Con esto vemos un listado largo de un directorio.
adrian@laptop:~$ ls -la
total 13
drwxr-sr-x 2 adrian user 1024 May 2 09:04 .
drwxrwsr-x 4 root staff 1024 Apr 17 21:08 ..
-rw------- 1 adrian user 2541 May 2 22:04 .bash_history
-rw-r--r-- 1 adrian user 164 Apr 23 14:57 .bash_profile
-rw-r--r-- 1 adrian user 55 Apr 23 14:44 .bashrc
-rwxrwxr-x 1 adrian user 0 Apr 14 19:29 a.out
-rwxrwxr-x 1 adrian user 40 Apr 30 12:14 hello.pl
-r-------- 1 adrian user 64 Apr 29 14:04 hola
-rwxrw-r-- 1 adrian user 337 Apr 29 13:57 lista
-rw-rw-r-- 1 adrian user 40 Apr 30 12:31 listador
-rw-rw-r-- 1 adrian user 0 May 2 09:04 null
-rwxrwxr-x 1 adrian user 175 Apr 30 12:30 prue.pl
-rwxrwxr-x 1 adrian user 56 Apr 23 15:08 que.sh
|
Como se puede apreciar en este listado, también están el directorio actual, representado por un punto . y el directorio padre representado por dos puntos .. . Ellos también poseen permisos y atributos que son mostrados. Para ir entendiendo un poco más vamos a explicar que significan los primeros 10 dígitos. Tomemos como ejemplo el siguiente archivo
-rw-r--r-- 1 adrian user 337 Apr 29 13:57 lista
|
Para esclarecer un poco mas que significa cada uno de estos caracteres al inicio, utilizaremos unas tablas. Primero veamos aquellos caracteres que podrían aparecer en el primer lugar, que en el ejemplo anterior es un solo guión. Esto nos indica que es un archivo común. La tabla siguiente explica el significado del primer símbolo de acuerdo al tipo de archivo.
Tabla 1. Tipos de archivo
|
Contenido
|
Significado
|
|
-
|
Archivo común
|
|
d
|
Directorio
|
|
c
|
Dispositivo de caracteres (tty o impresora)
|
|
b
|
Dispositivo de Bloque (usualmente disco rígido o CD-ROM)
|
|
l
|
Enlace simbólico
|
|
s
|
Socket
|
|
p
|
Pipe
|
Los siguientes 9 símbolos se toman en grupos de tres y cada grupo pertenece a una clase de permisos, y se muestran a continuación
Tabla 2. Tipos de permisos
|
Permiso
|
Significado
|
|
r
|
Permiso de lectura
|
|
w
|
Permiso de escritura
|
|
x
|
Permiso de ejecución
|
Tabla 3. Grupos de permisos
|
Columnas
|
Se aplica a
|
Significado
|
|
2,3,4
|
owner
|
Establece los permisos para el dueño del archivo
|
|
5,6,7
|
group
|
Establece los permisos para el grupo del archivo
|
|
8,9,10
|
other
|
Establece los permisos para los usuarios que no entran en las categorías anteriores
|
De esta forma podremos interpretar el listado generado a partir de ls -la de mejor manera. Como ya dijimos, el primer símbolo nos esta indicando que el archivo es un archivo común. El primer grupo de tres símbolos representa los permisos para el dueño del archivo (owner) que en este caso posee permisos de lectura, escritura y ejecución. El segundo grupo de tres símbolos representa los permisos para el grupo al cual pertenece el archivo (group), que en este caso tienen permisos de lectura y escritura. El tercer grupo de tres símbolos representa los permisos para todo el resto de los usuarios (other) en este caso es solo de lectura.
El número que sigue (1) representa el número de nombres que el archivo posee. Esto indica la cantidad de enlaces que existen a este archivo.
A continuación esta el nombre del dueño del archivo y del grupo al cual pertenece el archivo.
El "337" representa el tamaño del archivo expresado en bytes.
Lo siguiente es la fecha y hora de modificación del archivo e inmediatamente después esta el nombre del mismo.
Dependencias
Los permisos de los archivos también dependen del directorio donde estén guardados. En un ejemplo común podríamos dar el caso de un archivo que posea todos los permisos, tanto para el usuario, grupo y otros pero no se podrá acceder a él si no se cuenta con permisos de lectura y ejecución en el directorio que los contiene.
Esto funciona en el caso que se quiera restringir el acceso a un directorio determinado y a todos los archivos que este contiene. En lugar de cambiar los permisos uno por uno solo tenemos que sacarle los permisos necesarios para que se prohíba el acceso mismo al directorio y con esto no podrán ingresar para usarlos. Esto también esta dado para toda la ruta del archivo. Es decir que no solo el último directorio, el cual lo contiene, tiene que tener los permisos necesarios, sino que todos los directorios que lo preceden también.
Cambiando permisos
En este tramo veremos chmod, y su forma de utilizacion. Además trataremos el tema de otro forma de representar los permisos posibles, la representación octal, que es extremadamente útil a la hora de establecer nuevos permisos.
El comando chmod se emplea utilizando símbolos como a,u,g,o que representan a todos (a "all"), al usuario (u), al grupo (g) y a todos los demás (o). Existen símbolos para agregar (+) quitar (-) o dejar invariantes los permisos (=). Además tendrán que usarse los símbolos característicos para cada tipo de permiso. Para el permiso de lectura (r), para el permiso de escritura (w) y para el permiso de ejecución (x). Solo el dueño del archivo puede cambiarlo con él; excepción del root que también lo puede hacer. Para ejemplificar un cambio de permisos usaremos el archivo lista.
Adrian@adrian:~$ ls -l lista
total 1
-rwxrw-r-- 1 adrian user 337 Apr 29 13:57 lista
Adrian@adrian:~$ chmod a-r lista
Adrian@adrian:~$ ls -l lista
total 1
--wx-w---- 1 adrian user 337 Apr 29 13:57 lista
De esta forma se le ha sacado a todos los grupos y usuarios los permisos de lectura. Algunos ejemplos más
Adrian@adrian:~$ chmod u+r lista
Adrian@adrian:~$ ls -l lista
total 1
-rwx-w---- 1 adrian user 337 Apr 29 13:57
lista Adrian@adrian:~$ chmod o+w lista
Adrian@adrian:~$ ls -l lista
total 1
-rwx-w-w-- 1 adrian user 337 Apr 29 13:57 lista
Adrian@adrian:~$ chmod og-w lista
Adrian@adrian:~$ ls -l lista
total 1
-rwx------ 1 adrian user 337 Apr 29 13:57 lista
Ahora bien, esta es la forma simbólica. Pero existe una forma un poco más sistemática que es la forma de representación octal. El comando chmod permite establecer los permisos de un archivo por medio de un número octal. Comúnmente nosotros usamos para contar una representación decimal (0,1,2,3,4,5,6,7,8,9) pero en una representación octal solo se usan 8 números (0,1,2,3,4,5,6,7). Para establecer el permiso habrá que sumar los dígitos octales de acuerdo a una tabla que se dará a continuación. Dado que no se realiza acarreo, la suma será trivial.
Tabla 4. Permisos en notación octal
|
Número octal
|
Permiso
|
|
4000
|
Establece el número de identificación de usuario al ejecutarse SUID
|
2000
|
Establece el número de identificación de grupo al ejecutarse SGID
|
|
1000
|
Establece el bit adhesivo
|
|
0400
|
Lectura por parte del dueño
|
|
0200
|
Escritura por parte del dueño
|
|
0100
|
Ejecución por parte del dueño
|
|
0040
|
Lectura por parte del grupo
|
|
0020
|
Escritura por parte del grupo
|
|
0010
|
Ejecución por parte del grupo
|
|
0004
|
Lectura por parte de los otros
|
|
0002
|
Escritura por parte de los otros
|
|
0001
|
Ejecución por parte de los otros
|
|
Notas:
|
Para dar un ejemplo de la suma que se tendrá que realizar, tomemos un archivo con los permisos expresados en forma simbólica y realicemos la conversión. Para representar -rwxr-x---
0400 Lectura por parte del dueño
+ 0200 Escritura por parte del dueño
+ 0100 Ejecución por parte del dueño
+ 0040 Lectura por parte del grupo
+ 0010 Ejecución por parte del grupo
-----------------------------------------
0750 Resultado
De esta forma si lo que quisiéramos es cambiar los permisos de un archivo, solo se tendría que efectuar la suma necesaria y establecerlo con el comando chmod. Si quisiéramos cambiar los permisos para que el dueño tenga permisos de lectura y escritura y que el grupo y otros solo tengan permisos de lectura, la sintaxis es
adrian@adrian:~$ chmod 0644 lista
adrian@adrian:~$ ls -l lista
total 1
-rw-r--r-- 1 adrian user 337 Apr 29 13:57 lista
|
Con la práctica se sabrán cuales son las sumas mas utilizadas y podrán ver que es mucho más sencillo el establecer de esta forma los permisos de archivos.
Cambiando grupos y usuarios
Lo que nos queda por ver es el caso en que se quisiera cambiar el usuario o el grupo del archivo. Para esto se usa el comando chown y su sintaxis es similar a la de chmod pero con la variante que se dan los nombres del usuario y del grupo. Si quisiéramos cambiar el nombre de usuario del archivo lista tendremos
root@adrian:/home/adrian# ls -l lista
total 1
-rw-r--r-- 1 adrian user 337 Apr 29 13:57 lista
root@adrian:/home/adrian# chown adrian lista
root@adrian:/home/adrian# ls -l lista
total 1
-rw-r--r-- 1 adrian user 337 Apr 29 13:57 lista
|
Si se quisiera cambiar también el nombre del grupo, se tendría que poner un punto entre el nombre de usuario y el grupo
root@adrian# ls -l lista
total 1
-rw-r--r-- 1 adrian user 337 Apr 29 13:57 lista
root@adrian# chown adrian.ventas lista
root@adrian# ls -l lista
total 1
-rw-r--r-- 1 adrian ventas 337 Apr 29 13:57 lista
Por supuesto que tanto el usuario como el grupo al que se hacen referencia tendrán que existir en el sistema, sino se producirá un error. En el caso que solo se quiera cambiar el grupo y no el usuario, se tendrá que poner un punto delante del nombre del grupo, omitiendo poner el nombre del algún usuario. O si se quiere, se podrá poner el nombre de usuario que estaba anteriormente.
[root@adrian]# ls -l lista
total 1
-rw-r--r-- 1 adrian user 337 Apr 29 13:57 lista
root@adrian# chown .ventas lista
root@adrian# ls -l lista
total 1
-rw-r--r-- 1 adrian ventas 337 Apr 29 13:57 lista
|
Administración básica del sistema
En este capítulo trataremos de ver los aspectos generales sobre la administración de nuestro sistema contemplando algunas configuraciones que se tendrán que hacer, tomando como base un sistema pequeño como el de nuestro hogar o de una empresa con pocas máquinas interconectadas.
Empezaremos reforzando el concepto de la cuenta root para comprender su alcance y que restricciones y libertades podremos dar a los demás usuarios.
La cuenta root y sus implicaciones
|
Si no eres root no eres nadie
|
En este punto sabemos que la cuenta raíz, que tiene el nombre de usuario root, es el más importante del sistema y además es quien tiene los privilegios más altos para interactuar con él. También sabemos, y esto a fuerza de malas experiencias en muchas ocasiones, que el ser root requiere responsabilidades y el estar consiente de lo que se hace con este tipo de cuentas ya que muchas veces un error cometido será irreparable.
Los usuarios del sistema están bastante restringidos en lo que pueden realizar, ya sea con los archivos de otros usuario o archivos de sistema, ya que no tienen los permisos necesarios para poder modificarlos o borrarlos e incluso en muchos casos leerlos. Todas estas limitaciones se terminan con la cuenta root ya que posee acceso a cada área del sistema pudiendo borrar, crear, modificar archivos de cualquier parte del sistema así como cambiar permisos y dueños de estos. Puede ejecutar cualquier programa y hasta incluso si se le ocurriese podría literalmente matar al sistema por completo. Esto es así ya que es necesario que exista por lo menos una persona que pueda intervenir al sistema si es necesario y que tenga los privilegios adecuados para poder forzar al sistema a realizar algo. La idea es que esta cuenta se utilice sobriamente, únicamente cuando es necesario y no en cualquier momento. Para ejemplificar un hecho que seria peligroso si fuera root, si un usuario normal se le ocurriese borrar los archivos que se encuentran en el directorio /boot el sistema no lo dejaría, en cambio si es el root quien lo pide, lo que este en /boot desaparecerá muchas veces, de acuerdo a la configuración de GNU/Linux que se posea, cargándose al kernel completo con ellos.
Para evitar cualquier accidente al utilizar la cuenta root es recomendable los siguientes pasos a seguir
-
Pensarlo dos veces antes de apretar la tecla Enter en un comando que pueda causar algún daño. Por ejemplo si se esta borrando algún archivo de configuración releer la línea del comando completo.
-
No acostumbrarse a usar root. Cuando más confortable se encuentre uno trabajando con el usuario root, más seguro que se confundirán los privilegios con los de un usuario normal.
-
Usar siempre un marcador distinto para un usuario normal y el root. Esto ya viene por defecto en la mayoría de las distribuciones pero siempre esta bien repetirlo. Un signo $ o % representara al usuario normal y un # representara al root.
-
Conectarse como usuario root solo cuando sea absolutamente necesario. Y desconectarse tan pronto como se haya terminado el trabajo. Cuando menos se use la cuenta root, menos posibilidades de cometer un error habrá.
Existen personas que son verdaderos hackers de Linux que utilizan la cuenta root para todo, pero hay que recordar dos cosas con respecto a esto. Lo primero que no estamos a esa altura de conocimiento sobre Linux y segundo que estas personas en algún momento han hecho algo que les a hecho perder su información.
La cuenta root es poderosa en el sistema, y ese poder es peligroso muchas veces para el resto de los usuarios del sistema. La tendencia a la destrucción de un usuario con el poder de root es perjudicial para el resto del sistema ya que en sucesivas oportunidades se a sabido de casos en los que los administradores del sistema leen correo de otro usuarios o borran archivos sin avisar a nadie jugando con el sistema informático como si fuesen niños y no como verdaderos administradores. Por ello se requiere cierto grado de madurez y responsabilidad además del conocimiento necesario para poder llegar a ser administrador de un sistema y es en nuestros sistemas que tendremos en el hogar o en la oficina con GNU/Linux donde tendremos que aprender a serlo.
Gestión de usuarios
El sistema mantiene una cierta cantidad de información acerca de cada usuario. Dicha información se resume a continuación.
- nombre de usuario
- El nombre de usuario es el identificador único dado a cada usuario del sistema. Ejemplos de nombres de usuario son: adrian, pepe y pepito. Se pueden utilizar letras y dígitos junto a los caracteres "_" (subrayado) y el punto. Los nombres de usuario se limitan normalmente a 8 caracteres de longitud.
- clave
- El sistema también almacena la clave encriptada del usuario. El comando passwd se utiliza para poner y cambiar las claves de los usuarios.
- user ID
- El user ID, o UID, es un número único dado a cada usuario del sistema. El sistema normalmente mantiene la pista de la información por UID, no por nombre de usuario.
- group ID
- El group ID, o GID, es la identificación del grupo del usuario por defecto.
- nombre completo
- El nombre real o nombre completo del usuario se almacena junto con el nombre de usuario. Por ejemplo, el usuario adrian puede tener el nombre "Adrian Rodriguez" en la vida real.
- directorio inicial
- El directorio inicial es el directorio en el que se coloca inicialmente al usuario en tiempo de conexión. Cada usuario debe tener su propio directorio inicial, normalmente situado bajo /home.
- intérprete de comando
- El intérprete de comando del usuario es el intérprete de comandos que es arrancado para el usuario en tiempo de conexión. Ejemplos pueden ser /bin/bash y /bin/tcsh.
El archivo /etc/passwd contiene la información anterior acerca de los usuarios. Cada línea del fichero contiene información acerca de un único usuario. El formato de cada línea es
nombre:clave_encriptada:UID:GID:nombre completo:dir_inicio:intérprete
|
Un ejemplo puede ser
Adrian:Xv8Q981g71oKK:102:100:Adrian Rodriguez:/home/Adrian:/bin/bash
|
El primer campo , "Adrian", es el nombre de usuario. El siguiente campo, "Xv8Q981g71oKK", es la clave encriptada. Las claves no se almacenan en el sistema en ningún formato legible por el hombre. Las claves se encriptan utilizándose a sí mismas como clave secreta. En otras palabras, sólo si se conoce la clave, ésta puede ser desencriptada. Esta forma de encriptación es bastante segura.
Algunos sistemas utilizan "claves en sombra" (shadow) en la que la información de las claves se relega al fichero /etc/shadow. Puesto que /etc/passwd es legible por todo el mundo, /etc/shadow suministra un grado extra de seguridad, puesto que éste no lo es. Las claves en sombra suministran algunas otras funciones como puede ser la expiración de claves; no entraremos a detallar estas funciones aquí.
El tercer campo, "102", es el UID. Este debe ser único para cada usuario. El cuarto campo,"100", es el GID. Este usuario pertenece al grupo numerado 100. La información de grupos, como la información de usuarios, se almacena en el fichero /etc/group. El quinto campo es el nombre completo del usuario, "Adrian Rodriguez". Los dos últimos campos son el directorio inicial del usuario, /home/Adrian y el intérprete de conexión /bin/bash, respectivamente. No es necesario que el directorio inicial de un usuario tenga el mismo nombre que el del nombre de usuario. Sin embargo, ayuda a identificar el directorio.
Creando Usuarios
Esto es básico, pero importante. Ya nos ha de haber pasado de que no podemos entrar a un perfil porque esta dañado el entorno gráfico o simplemente es una necesidad el crear un nuevo usuario. Bueno, la forma de crear un usuario en Ubuntu en la terminal o consola, seria de la siguiente manera:
Primero se deberá de abrir la consola (para los que no saben, tenemos cuanto menos 6 consolas. Solo debes de presionar Ctrl+Alt+Fx, donde Fx es F1, F2, F3, etc.)
Luego digitamos:
sudo adduser nombre-usuario
Donde nombre-usuario puede ser cualquier usuario.
De ahí, solo contestas unas preguntas (Nombre real, contraseña, etc.) y finalmente se crea.
Borrando usuarios
Anteriormente vimos como podemos crear un usuario para empezar a utilizar el sistema, y este método puede emplearse para la creación de cualquier otro usuario. De forma parecida, borrar usuarios puede hacerse con los comandos userdel o deluser dependiendo del software instalado en el sistema.
Si se desea "deshabilitar" temporalmente un usuario para que no se conecte al sistema (sin borrar la cuenta del usuario), se puede prefijar con un asterisco ("*") el campo de la clave en /etc/passwd. Por ejemplo, cambiando la línea a
Adrian:*Xv8Q981g71oKK:102:100:Adrian Rodriguez:/home/Adrian:/bin/bash
|
evitará que Adrian se conecte.
Después de que haya creado un usuario, puede necesitar cambiar algún atributo de dicho usuario, como puede ser el directorio inicial o la clave. La forma más simple de hacer esto es cambiar los valores directamente en /etc/passwd. Para poner clave a un usuario, utilice el comando passwd. Por ejemplo
[root@adrian:~]# passwd adrian
|
cambiará la clave de adrian. Sólo root puede cambiar la clave de otro usuario de ésta forma.
Los usuarios pueden cambiar su propia clave con passwd también.
En algunos sistemas, los comandos chfn y chsh están disponibles, permitiendo a los usuarios el cambiar sus atributos de nombre completo e intérprete de conexión. Si no, deben pedir al administrador de sistemas que los cambie por ellos.
Grupos
Como hemos citado anteriormente, cada usuario pertenece a uno o más grupos. La única importancia real de las relaciones de grupo es la perteneciente a los permisos de ficheros, como dijimos anteriormente cada fichero tiene un "grupo propietario" y un conjunto de permisos de grupo que define de qué forma pueden acceder al fichero los usuarios del grupo. Hay varios grupos definidos en el sistema, como pueden ser bin, mail, y sys. Los usuarios no deben pertenecer a ninguno de estos grupos; se utilizan para permisos de ficheros del sistema. En su lugar, los usuarios deben pertenecer a un grupo individual, como users. Si se quiere ser detallista, se pueden mantener varios grupos de usuarios como por ejemplo estudiantes, soporte y facultad.
El fichero /etc/group contiene información acerca de los grupos. El formato de cada línea es
nombre de grupo:clave:GID:otros miembros
|
Algunos ejemplos de grupos pueden ser:
root:*:0: users:*:100:adrian,arrt,unc invitados:*:200: otros:*:250:adrian
|
El primer grupo, root, es un grupo especial del sistema reservado para la cuenta root. El siguiente grupo, users, es para usuarios normales. Tiene un GID de 100. Los usuarios arrt y pedro tienen acceso a este grupo. Recuérdese que en /etc/passwd cada usuario tiene un GID por defecto. Sin embargo, los usuarios pueden pertenecer a mas de un grupo, añadiendo sus nombres de usuario a otras líneas de grupo en /etc/group. El comando groups lista a qué grupos se tiene acceso.
El tercer grupo, invitados, es para usuarios invitados, y otros es para "otros" usuarios. El usuario adrian tiene acceso a éste grupo.
Como se puede ver, el campo "clave" de /etc/group raramente se utiliza. A veces se utiliza para dar una clave para acceder a un grupo. Esto es raras veces necesario. Para evitar el que los usuarios cambien a grupos privilegiados (con el comando newgroup), se pone el campo de la clave a "*".
Se pueden usar los comandos addgroup o groupadd para añadir grupos a su sistema. Normalmente es más sencillo añadir líneas a /etc/group uno mismo, puesto que no se necesitan más configuraciones para añadir un grupo. Para borrar un grupo, sólo hay que borrar su entrada de /etc/group.
Poniendo reglas al sistema
El SO Linux no fue diseñado desde sus principios pensando en la seguridad entre los usarios del sistema. El pensar que usarios académicos irrumpieran en áreas que no les pertenecían no se tomaba en como algo posible para los primeros tiempos en que UNIX estaba desarrollándose. El tener una actitud mano dura con los usarios no ayudará a que estos traten de saltarse las limitaciones que le podamos haber impuesto. Puede ser que en un ambiente militar esto funcione pero no será igual en un sistema universitario o en una empresa. Lo que si tiene sentido es el escribir una serie sencillas de reglas que el usuario pueda seguir y que tienen que ir de acuerdo a las políticas del área donde se esta implementando el sistema informativo. Puede darse el caso de que existan reglas que estén en contra de las políticas o que no estén bien explicadas por lo que será difícil de cumplir.
También esta el caso de que si las reglas son por demás de restrictivas con el usuario éste tratará de saltarlas. Otro caso son los usarios que por desconocimiento de estas reglas realizan acciones prohibidas. Por ejemplo, envían mails de 20 MB por la red saturando la conexión dado que no se especifica claramente que no pueden mandarse mails con adjuntos tan grandes. Si nadie se lo informa al usuario no podemos pedirle que obedezca. Los motivos por los cuales las reglas se implementan deberán estar claros, ya que los usuarios se sentirán tentados a hacer cosas que están prohibidas por naturaleza, sin ninguna otra explicación.
