Суперпользователь
В вычислительной технике суперпользователь — это специальная учетная запись пользователя, используемая для администрирования системы . В зависимости от операционной системы (ОС) фактическое имя этой учетной записи может быть root , администратор , администратор или супервизор . В некоторых случаях фактическое название учетной записи не является определяющим фактором; например, в Unix-подобных системах пользователь с нулевым идентификатором пользователя (UID) является суперпользователем, независимо от имени этой учетной записи; [1] а в системах, реализующих ролевую модель безопасности, любой пользователь с ролью суперпользователя (или ее синонимов) может выполнять все действия учетной записи суперпользователя. Принцип минимальных привилегий рекомендует, чтобы большинство пользователей и приложений выполняли свою работу под обычной учетной записью, поскольку учетная запись суперпользователя способна вносить неограниченные, потенциально неблагоприятные, общесистемные изменения.
Unix и Unix-подобные
[ редактировать ]В Unix-подобных компьютерных операционных системах (таких как Linux ) root — это условное имя пользователя, который имеет все права или разрешения (для всех файлов и программ) во всех режимах (одно- или многопользовательском). Альтернативные имена включают барон в BeOS и аватар в некоторых вариантах Unix. [2] BSD часто предоставляет учетную запись toor («root», записанную задом наперед) в дополнение к учетной записи root. [3] Независимо от имени, суперпользователь всегда имеет идентификатор пользователя , равный 0. Пользователь root может делать многие вещи, которые обычный пользователь не может, например, менять владельца файлов и привязываться к сетевым портам с номерами ниже 1024.
Имя root могло возникнуть потому, что root — единственная учетная запись пользователя, имеющая разрешение на изменение корневого каталога системы Unix. Первоначально этот каталог считался домашним каталогом пользователя root . [4] UNIX но стандарт иерархии файловой системы теперь рекомендует, чтобы корневой дом находился по адресу /корень . [5] Первый процесс, запущенный в Unix-подобной системе, обычно называемый init , запускается с правами root. Он прямо или косвенно порождает все остальные процессы, которые наследуют привилегии своих родителей. Только процесс, запущенный от имени пользователя root, может изменить свой идентификатор пользователя на идентификатор другого пользователя; как только это произойдет, пути назад уже не будет. Это иногда называют потерей root-прав и часто делается в качестве меры безопасности, чтобы ограничить ущерб от возможного заражения процесса. Другой случай login и другие программы, которые запрашивают у пользователей учетные данные и в случае успешной аутентификации позволяют им запускать программы с привилегиями своих учетных записей.
Часто рекомендуется никогда не использовать root в качестве обычной учетной записи пользователя. [6] [7] поскольку простые опечатки при вводе команд могут нанести серьезный ущерб системе. Вместо этого следует использовать обычную учетную запись пользователя, а затем либо su (замещающий пользователь) или sudo используется команда (заменить пользователя do). Подход su требует, чтобы пользователь знал пароль root, в то время как подход Метод sudo требует, чтобы пользователю были предоставлены права запуска «от имени пользователя root» внутри /etc/sudoers , обычно косвенно, будучи членом колеса , [8] адм , [9] admin или sudo группа .
По ряду причин, Сейчас обычно предпочтительнее использовать подход sudo — например, он оставляет контрольный след того, кто использовал команду и какие административные операции они выполняли. [10]
Некоторые операционные системы, такие как macOS и некоторые дистрибутивы Linux (особенно Ubuntu [6] ), автоматически предоставляет первоначальному пользователю возможность запуска с правами root через sudo – но он настроен на запрос пароля перед выполнением административных действий. В некоторых случаях фактическая учетная запись root отключена по умолчанию, поэтому ее нельзя использовать напрямую. [6] В операционных системах, ориентированных на мобильные платформы, таких как Apple iOS и Android , доступ суперпользователя изначально недоступен, но, как правило, можно использовать систему безопасности. для его получения [ нужна ссылка ] В некоторых системах, таких как Plan 9 , суперпользователя вообще нет. [11]
Microsoft Windows
[ редактировать ]В Windows NT и более поздних системах, производных от нее (таких как Windows 2000 , Windows XP , Windows Server 2003 и Windows Vista / 7 / 8 / 10 / 11 ), должна быть хотя бы одна учетная запись администратора (Windows XP и более ранние версии) или один может повысить привилегии до суперпользователя (Windows Vista/7/8/10/11 через контроль учетных записей пользователей ). [12] В Windows XP и более ранних системах имеется встроенная учетная запись администратора, которая остается скрытой, если существует учетная запись, эквивалентная администратору. [13] Эта встроенная учетная запись администратора создается с пустым паролем. [13] Это создает угрозу безопасности, поскольку локальные пользователи смогут получить доступ к компьютеру через встроенную учетную запись администратора, если пароль оставлен пустым, поэтому учетная запись отключена по умолчанию в Windows Vista и более поздних системах из-за введения контроля учетных записей пользователей ( ОАК). [13] Удаленные пользователи не могут получить доступ к встроенной учетной записи администратора.
Учетная запись администратора Windows не является точным аналогом корневой учетной записи Unix : администратор, встроенная учетная запись администратора и учетная запись администратора пользователя имеют одинаковый уровень привилегий. Учетная запись пользователя по умолчанию, созданная в системах Windows, является учетной записью администратора. В отличие от учетных записей администратора macOS, Linux и Windows Vista/7/8/10, учетные записи администратора в системах Windows без UAC не изолируют систему от большинства ошибок полного корневого доступа. Одна из этих ловушек включает снижение устойчивости к заражению вредоносным ПО. Чтобы избежать этого и обеспечить оптимальную безопасность системы в системах Windows до UAC, рекомендуется при необходимости просто проходить аутентификацию со стандартной учетной записью пользователя либо с помощью пароля, установленного для встроенной учетной записи администратора, либо с помощью другой учетной записи администратора.
В учетных записях администратора Windows Vista/7/8/10/11 появится запрос на аутентификацию при запуске процесса с повышенными привилегиями. Обычно для аутентификации запроса UAC в учетных записях администратора не требуются учетные данные пользователя, но для аутентификации запроса UAC требуется ввести имя пользователя и пароль администратора в стандартных учетных записях пользователей. В учетных записях администратора Windows XP (и более ранних систем) аутентификация не требуется для запуска процесса с повышенными привилегиями. Это создает угрозу безопасности, которая привела к разработке UAC. Пользователи могут настроить запуск процесса с повышенными привилегиями из стандартных учетных записей, настроив процесс «запуск от имени администратора» или используя команду runas и аутентификацию приглашения с учетными данными (имя пользователя и пароль) учетной записи администратора. Большая часть преимуществ аутентификации со стандартной учетной записью сводится на нет, если используемые учетные данные учетной записи администратора имеют пустой пароль (как во встроенной учетной записи администратора в Windows XP и более ранних системах), поэтому рекомендуется устанавливать пароль для встроенная учетная запись администратора.
В Windows NT , 2000 и более поздних версиях пользователем root является учетная запись администратора. [14]
Novell NetWare
[ редактировать ]В Novell NetWare суперпользователя называли «супервизор». [15] позже «админ».
OpenVMS
[ редактировать ]В OpenVMS «СИСТЕМА» — это учетная запись суперпользователя ОС.
Старые персональные системы
[ редактировать ]Во многих старых ОС на компьютерах, предназначенных для личного и домашнего использования, любой, кто использовал систему, имел полные привилегии. Многие такие системы, такие как DOS , не имели концепции нескольких учетных записей, и хотя другие, такие как Windows 95 , допускали несколько учетных записей, это было сделано только для того, чтобы каждая могла иметь свой собственный профиль предпочтений — все пользователи по-прежнему имели полный административный контроль над машина.
См. также
[ редактировать ]- Гипервизор
- Взлом джейлбрейка (iOS)
- никто (имя пользователя)
- пароль
- Опытный пользователь
- Повышение привилегий
- Рутирование (ОС Android)
- Руткит
- судо
- Колесо (вычислительное)
Ссылки
[ редактировать ]- ^ "getpwuid" . opengroup.org . Архивировано из оригинала 22 августа 2015 года . Проверено 12 января 2019 г.
- ^ Файл жаргона (версия 4.4.7). Архивировано 18 апреля 2021 г. на Wayback Machine , catb.org.
- ^ "Что это за учетная запись с UID 0?" Архивировано 22 декабря 2020 г. на Wayback Machine , freebsd.org.
- ^ «Что такое root? — определение The Linux Information Project» . ЛИНФО. Архивировано из оригинала 08 мая 2021 г. Проверено 7 августа 2012 г.
- ^ «/root: Домашний каталог для пользователя root (необязательно)» . Архивировано из оригинала 25 мая 2005 г. Проверено 11 мая 2015 г.
- ^ Перейти обратно: а б с «РутСудо» . Ubuntu.com . Архивировано из оригинала 5 ноября 2011 года . Проверено 16 сентября 2015 г.
- ^ «4.4. Административный контроль» . redhat.com . Архивировано из оригинала 5 июня 2015 года . Проверено 16 сентября 2015 г.
- ^ «2.3. Настройка sudo Access» . redhat.com . Архивировано из оригинала 22 декабря 2019 г. Проверено 16 сентября 2015 г.
- ^ "разница адм - корень" . Архивировано из оригинала 5 ноября 2016 года . Проверено 1 августа 2016 г.
- ^ Брайан Вотринг (2005). Мониторинг целостности хоста с использованием Osiris и Samhain . Эльзевир. п. 32. ISBN 978-0-08-048894-3 . Архивировано из оригинала 24 мая 2024 г. Проверено 17 декабря 2018 г.
- ^ Кокс, Расс; Гросс, Эрик; Пайк, Роб ; Пресотто, Дэйв; Куинлан, Шон, Безопасность в Плане 9 , Bell Labs , заархивировано из оригинала 11 июля 2018 г.
- ^ «Корпорация Майкрософт» . Microsoft.com. Архивировано из оригинала 11 июля 2012 г. Проверено 7 августа 2012 г.
- ^ Перейти обратно: а б с «Включение и отключение встроенной учетной записи администратора» . microsoft.com. 25 июля 2008 г. Архивировано из оригинала 27 ноября 2013 г. Проверено 26 февраля 2014 г.
- ^ «Учетная запись LocalSystem» . microsoft.com . Майкрософт. Архивировано из оригинала 13 марта 2016 года . Проверено 16 сентября 2015 г.
- ^ «Пользователь-супервизор (Bindery), созданный на каждом сервере NetWare 4». Архивировано 7 ноября 2017 г. на Wayback Machine , 1 февраля 1996 г., Novell.com.
Внешние ссылки
[ редактировать ]- Определение корня - Информационный проект Linux (LINFO)
- Введение в безопасность Mac OS X