`toor` (Юникс)

Toor , слово «root», написанное задом наперед, представляет собой альтернативную учетную запись суперпользователя в Unix-подобных операционных системах, особенно BSD и ее вариантах. ^[1]

Цель

В Unix традиционно принято сохранять корневую файловую систему настолько маленькой, насколько это возможно, перемещая более крупные программы и быстро меняя данные в другие, необязательные части системы. Это увеличивает вероятность того, что систему удастся привести в полуработоспособное состояние в случае частичного отказа системы. Это также означает, что учетная запись суперпользователя , необходимая для восстановления сломанной системы, не должна зависеть ни от каких программ за пределами этого небольшого ядра. С этой целью учетная запись root часто настраивается с помощью оболочки небольшой, эффективной и надежной , но неудобной для повседневного использования.

Учетная запись toor призвана решить эту проблему. Он идентичен root, но настроен на использование другой, более функциональной оболочки.

В качестве альтернативы toor может быть настроен с помощью аварийной оболочки, что дает root-пользователям свободу использования функциональной оболочки.

Выполнение

В Unix-подобной системе у каждого пользователя есть идентификационный номер пользователя , который ядро использует для различения пользователей и управления разрешениями пользователей . Идентификатор пользователя № 0 зарезервирован как учетная запись суперпользователя, и ему даются разрешения на любые действия в системе.

Пользователи входят в систему по имени пользователя, а не по идентификационному номеру, и выбор пользователем оболочки входа также осуществляется по имени. Такое разделение имени и номера позволяет связать данный идентификатор пользователя с более чем одним именем пользователя, каждое из которых имеет свою собственную оболочку.

Соображения безопасности

Наличие учетной записи toor (или наличие более одной учетной записи с идентификатором пользователя 0) вызывает предупреждение во многих системах аудита безопасности. Это ценно, поскольку если системный администратор не предусмотрел вторую учетную запись суперпользователя, это может означать, что система скомпрометирована.

Можно возразить, что даже преднамеренная учетная запись «toor» представляет собой угрозу безопасности, поскольку она предоставляет вторую точку атаки для тех, кто пытается незаконно получить привилегии суперпользователя в системе. Однако если пароли выбираются и тщательно охраняются, увеличение риска минимально.

Например, NetBSD поставляется с отключенной учетной записью «toor», что означает отсутствие пароля, с помощью которого можно войти в систему как «toor». Само по себе это не является угрозой безопасности, хотя может вызывать предупреждения системы безопасности, как описано ранее. Однако, если система взломана, администратор с меньшей вероятностью заметит включение отключенной учетной записи, чем создание новой, особенно если он привык игнорировать предупреждения о «toor» в своей (возможно, неправильно настроенной) системе безопасности. программа.

Ссылки

^ Корф, Янек; Надеюсь, Пако; Поттер, Брюс; Надежда, Брайан (2005). Освоение безопасности FreeBSD и OpenBSD: создание, защита и обслуживание систем BSD (1-е изд.). Пекин Кельн: О'Рейли. ISBN 978-0-596-00626-6 .

[1] Корф, Янек; Надеюсь, Пако; Поттер, Брюс; Надежда, Брайан (2005). Освоение безопасности FreeBSD и OpenBSD: создание, защита и обслуживание систем BSD (1-е изд.). Пекин Кельн: О'Рейли. ISBN 978-0-596-00626-6 .

[1]