Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Для сайта вопросов и ответов см. Суперпользователь .

В вычислениях суперпользователь - это специальная учетная запись пользователя, используемая для системного администрирования. В зависимости от операционной системы (ОС) фактическое имя этой учетной записи может быть root , administrator , admin или supervisor . В некоторых случаях фактическое название учетной записи не является определяющим фактором; в Unix-подобных системах, например, пользователь с нулевым идентификатором пользователя (UID) является суперпользователем, независимо от имени этой учетной записи; [1] и в системах, реализующих модель безопасности на основе ролей, любой пользователь с ролью суперпользователя (или ее синонимами) может выполнять все действия с учетной записью суперпользователя. Принцип наименьших привилегий рекомендует, чтобы большинство пользователей и приложений выполняли свою работу под обычной учетной записью, поскольку учетная запись суперпользователя способна вносить неограниченные, потенциально неблагоприятные, общесистемные изменения.

Unix и Unix-подобные [ править ]

В Unix-подобных компьютерных ОС (таких как Linux ) root - это обычное имя пользователя, у которого есть все права или разрешения (ко всем файлам и программам) во всех режимах (однопользовательском или многопользовательском). Альтернативные имена включают baron в BeOS и аватар в некоторых вариантах Unix. [2] BSD часто предоставляет учетную запись toor ("root", записанную в обратном порядке) в дополнение к учетной записи root. [3] Независимо от имени, суперпользователь всегда имеет идентификатор пользователя 0. Пользователь root может делать многие вещи, недоступные обычному пользователю, например менять владельца файлов и связываться с сетевыми портами. пронумерованы ниже 1024.

Имя root могло появиться потому, что root - единственная учетная запись пользователя, имеющая разрешение на изменение корневого каталога системы Unix. Первоначально этот каталог считался домашним каталогом root , [4] но Стандарт иерархии файловой системы UNIX теперь рекомендует, чтобы домашний каталог root находился в / root . [5] Первый процесс, загружаемый в Unix-подобной системе, обычно называется init., работает с привилегиями root. Он прямо или косвенно порождает все другие процессы, которые наследуют привилегии своих родителей. Только процессу, запущенному с правами root, разрешено изменить свой идентификатор пользователя на идентификатор другого пользователя; как только это будет сделано, пути назад нет. Это иногда называется отказом от привилегий root и часто делается в качестве меры безопасности, чтобы ограничить ущерб от возможного заражения процесса. Другой случай - вход в систему и другие программы, которые запрашивают у пользователей учетные данные и в случае успешной аутентификации позволяют им запускать программы с привилегиями своих учетных записей.

Часто рекомендуется, чтобы никто не использовал root в качестве своей обычной учетной записи [6] [7], поскольку простые типографические ошибки при вводе команд могут нанести серьезный ущерб системе. Вместо этого следует использовать обычную учетную запись пользователя, а затем использовать команду su (замещающий пользователь) или sudo (замещающий пользователь do). Су подход требует, чтобы пользователь знать пароль администратора, в то время как Судо метод требует, чтобы пользователь настроить с силой , чтобы запустить «как корень» в / и т.д. / sudoers файла, как правило , косвенно сделавшись членом колеса , [8] адм ,[9] admin илигруппа sudo .

По ряду причин в настоящее время обычно предпочтительнее использовать подход sudo - например, он оставляет контрольный след того, кто использовал команду и какие административные операции они выполняли. [10]

Некоторые операционные системы, такие как macOS и некоторые дистрибутивы Linux (в первую очередь Ubuntu [6] ), автоматически дают созданному начальному пользователю возможность запускаться от имени root через sudo, но настройте это так, чтобы он запрашивал их пароль перед выполнением административных действий. В некоторых случаях фактическая учетная запись root отключена по умолчанию, поэтому ее нельзя использовать напрямую. [6] В операционных системах, ориентированных на мобильные платформы, таких как Apple iOS и Android , доступ суперпользователя недоступен по замыслу, но, как правило , для его получения можно использовать систему безопасности . В некоторых системах, таких как Plan 9 , суперпользователя вообще нет.[11]

Microsoft Windows [ править ]

В Windows NT и более поздних системах , полученных из него (например, Windows 2000 , Windows XP , Windows Server 2003 и Windows Vista / +7 / 8 / +10 ), должно быть , по крайней мере одной учетной записи администратора (Windows XP и выше) или Умеют для повышения привилегий до суперпользователя (Windows Vista / 7/8/10 через Контроль учетных записей ). [12] В Windows XP и более ранних системах есть встроенная учетная запись администратора, которая остается скрытой, если существует учетная запись пользователя, эквивалентная администратору. [13] Эта встроенная учетная запись администратора создается с пустым паролем. [13]Это создает риски для безопасности, поскольку локальные пользователи смогут получить доступ к компьютеру через встроенную учетную запись администратора, если оставить пароль пустым, поэтому учетная запись отключена по умолчанию в Windows Vista и более поздних версиях из-за введения контроля учетных записей пользователей ( ОАК). [13] Удаленные пользователи не могут получить доступ к встроенной учетной записи администратора.

Учетная запись администратора Windows не является точным аналогом учетной записи root Unix - администратор, встроенная учетная запись администратора и учетная запись администратора пользователя имеют одинаковый уровень привилегий. Учетная запись пользователя по умолчанию, созданная в системах Windows, является учетной записью администратора. В отличие от учетных записей администраторов macOS, Linux и Windows Vista / 7/8/10, учетные записи администраторов в системах Windows без UAC не изолируют систему от большинства ловушек полного корневого доступа. Одна из этих ловушек - снижение устойчивости к заражению вредоносным ПО. Чтобы избежать этого и поддерживать оптимальную безопасность системы в системах Windows до UAC, рекомендуется при необходимости просто пройти аутентификацию из стандартной учетной записи пользователя, либо с помощью пароля, установленного для встроенной учетной записи администратора, либо с помощью другой учетной записи администратора.

В учетных записях администратора Windows Vista / 7/8/10 появится запрос для проверки подлинности выполнения процесса с повышенными привилегиями. Обычно учетные данные пользователя не требуются для аутентификации приглашения UAC в учетных записях администратора, но для аутентификации приглашения UAC требуется ввести имя пользователя и пароль администратора в стандартных учетных записях пользователей. В учетных записях администратора Windows XP (и более ранних версий) аутентификация не требуется для запуска процесса с повышенными привилегиями, и это создает еще одну угрозу безопасности, которая привела к разработке UAC. Пользователи могут настроить процесс для запуска с повышенными привилегиями из стандартных учетных записей, установив для процесса «запуск от имени администратора» или используя команду «runas» и аутентифицируя приглашение с учетными данными (имя пользователя и пароль) учетной записи администратора.Большая часть преимуществ аутентификации из стандартной учетной записи сводится на нет, если используемые учетные данные администратора имеют пустой пароль (как во встроенной учетной записи администратора в Windows XP и более ранних системах), поэтому рекомендуется установить пароль для встроенная учетная запись администратора.

В Windows NT , 2000 и более поздних версиях пользователем root является учетная запись администратора. [14]

Novell NetWare [ править ]

В Novell NetWare суперпользователь назывался «супервизор» [15], позже - «администратор».

OpenVMS [ править ]

В OpenVMS «СИСТЕМА» - это учетная запись суперпользователя для ОС.

Старые персональные системы [ править ]

На многих старых ОС на компьютерах, предназначенных для личного и домашнего использования, любой, кто использовал систему, имел полные привилегии. Многие такие системы, такие как DOS , не имели концепции нескольких учетных записей, и хотя другие, такие как Windows 95 , допускали использование нескольких учетных записей, это было сделано только для того, чтобы каждая могла иметь свой собственный профиль предпочтений - все пользователи по-прежнему имели полный административный контроль над машина.

См. Также [ править ]

  • никто (имя пользователя)
  • пароль
  • Опытный пользователь
  • Принцип наименьших привилегий
  • Получение root-прав (ОС Android)
  • Руткит
  • Повышение привилегий
  • судо
  • Взломать (iOS)

Ссылки [ править ]

  1. ^ "getpwuid" . opengroup.org . Проверено 12 января 2019 .
  2. ^ Файл жаргона (версия 4.4.7) , catb.org
  3. ^ "Что это за аккаунт toor с UID 0?" , freebsd.org
  4. ^ «Что такое корень? - определение Linux Information Project» . LINFO . Проверено 7 августа 2012 .
  5. ^ "/ root: Домашний каталог для пользователя root (необязательно)" .
  6. ^ a b c "RootSudo" . ubuntu.com . Проверено 16 сентября 2015 года .
  7. ^ «4.4. Административный контроль» . redhat.com . Проверено 16 сентября 2015 года .
  8. ^ «2.3. Настройка доступа к sudo» . redhat.com . Проверено 16 сентября 2015 года .
  9. ^ "разница адм - корень" . Проверено 1 августа +2016 .
  10. ^ Брайан Вотринг (2005). Мониторинг целостности хоста с использованием Osiris и Samhain . Эльзевир. п. 32. ISBN 978-0-08-048894-3.
  11. ^ "Безопасность в Плане 9" , Bell Labs
  12. ^ «Корпорация Microsoft» . Microsoft.com . Проверено 7 августа 2012 .
  13. ^ a b c «Включение и отключение встроенной учетной записи администратора» . microsoft.com . Проверено 26 февраля 2014 .
  14. ^ «Учетная запись LocalSystem» . microsoft.com . Microsoft . Проверено 16 сентября 2015 года .
  15. ^ "Пользователь Supervisor (Bindery), созданный на каждом сервере NetWare 4" , 1 февраля 1996 г., novell.com

Внешние ссылки [ править ]

  • Определение root - Информационный проект Linux (LINFO)
  • Введение в безопасность Mac OS X