stringtranslate.com

Суперпользователь

В вычислительной технике суперпользователь это специальная учетная запись пользователя, используемая для администрирования системы . В зависимости от операционной системы (ОС) фактическое имя этой учетной записи может быть root , администратор , администратор или супервизор . В некоторых случаях фактическое имя учетной записи не является определяющим фактором; например, в Unix-подобных системах пользователь с нулевым идентификатором пользователя (UID) является суперпользователем, независимо от имени этой учетной записи; [1] а в системах, реализующих ролевую модель безопасности, любой пользователь с ролью суперпользователя (или ее синонимов) может выполнять все действия учетной записи суперпользователя. Принцип минимальных привилегий рекомендует, чтобы большинство пользователей и приложений выполняли свою работу под обычной учетной записью, поскольку учетная запись суперпользователя способна вносить неограниченные, потенциально неблагоприятные, общесистемные изменения.

Unix и Unix-подобные

В Unix-подобных компьютерных операционных системах (таких как Linux ) root — это условное имя пользователя, который имеет все права или разрешения (для всех файлов и программ) во всех режимах (одно- или многопользовательском). Альтернативные имена включают барон в BeOS и аватар в некоторых вариантах Unix. [2] BSD часто предоставляет учетную запись toor («root», написанную задом наперед) в дополнение к учетной записи root. [3] Независимо от имени, суперпользователь всегда имеет идентификатор пользователя , равный 0. Пользователь root может делать многие вещи, которые обычный пользователь не может, например, менять владельца файлов и привязываться к сетевым портам с номерами ниже 1024.

Имя root могло возникнуть потому, что root — единственная учетная запись пользователя, имеющая разрешение на изменение корневого каталога системы Unix. Первоначально этот каталог считался домашним каталогом root [4] , но стандарт иерархии файловой системы UNIX теперь рекомендует, чтобы домашний каталог root находился в /root . [5] Первый процесс , загружаемый в Unix-подобной системе, обычно называемый init , запускается с привилегиями root. Он прямо или косвенно порождает все остальные процессы, которые наследуют привилегии своих родителей. Только процесс, запущенный от имени пользователя root, может изменить свой идентификатор пользователя на идентификатор другого пользователя; как только это произойдет, пути назад уже не будет. Это иногда называют потерей root-привилегий и часто делается в качестве меры безопасности, чтобы ограничить ущерб от возможного заражения процесса. Другой случай — вход в систему и другие программы, которые запрашивают у пользователей учетные данные и в случае успешной аутентификации позволяют им запускать программы с привилегиями их учетных записей.

Часто рекомендуется никогда не использовать root в качестве обычной учетной записи пользователя, [6] [7] , поскольку простые опечатки при вводе команд могут нанести серьезный ущерб системе. Вместо этого следует использовать обычную учетную запись пользователя, а затем использовать команду su (замещающий пользователь) или sudo (замещающий пользователь do). Подход su требует, чтобы пользователь знал пароль root, в то время как метод sudo требует, чтобы пользователю были предоставлены права запускать «от имени пользователя root» в файле /etc/sudoers , обычно косвенно, будучи сделанным членом колеса . , [8] adm , [9] admin или группа sudo .

По ряду причин сейчас предпочтение отдается подходу sudo — например, он оставляет контрольный след того, кто использовал команду и какие административные операции они выполняли. [10]

Некоторые операционные системы, такие как macOS и некоторые дистрибутивы Linux (в первую очередь Ubuntu [6] ), автоматически предоставляют первоначальному пользователю возможность запуска с правами root через sudo , но это настроено на запрос пароля перед выполнением административных действий. В некоторых случаях фактическая учетная запись root отключена по умолчанию, поэтому ее нельзя использовать напрямую. [6] В операционных системах, ориентированных на мобильные платформы, таких как Apple iOS и Android , доступ суперпользователя изначально недоступен, но обычно для его получения можно использовать систему безопасности. [ нужна цитата ] В некоторых системах, таких как Plan 9 , суперпользователя вообще нет. [11]

Майкрософт Виндоус

В Windows NT и более поздних системах, производных от нее (таких как Windows 2000 , Windows XP , Windows Server 2003 и Windows Vista / 7 / 8 / 10 / 11 ), должна быть хотя бы одна учетная запись администратора (Windows XP и более ранние версии) или один может повысить привилегии до суперпользователя (Windows Vista/7/8/10/11 через контроль учетных записей пользователей ). [12] В Windows XP и более ранних системах имеется встроенная учетная запись администратора, которая остается скрытой, если существует учетная запись, эквивалентная администратору. [13] Эта встроенная учетная запись администратора создается с пустым паролем. [13] Это создает угрозу безопасности, поскольку локальные пользователи смогут получить доступ к компьютеру через встроенную учетную запись администратора, если пароль оставлен пустым, поэтому учетная запись отключена по умолчанию в Windows Vista и более поздних системах из-за введения пользователя. Контроль учетных записей (UAC). [13] Удаленные пользователи не могут получить доступ к встроенной учетной записи администратора.

Учетная запись администратора Windows не является точным аналогом корневой учетной записи Unix : администратор, встроенная учетная запись администратора и учетная запись администратора пользователя имеют одинаковый уровень привилегий. Учетная запись пользователя по умолчанию, созданная в системах Windows, является учетной записью администратора. В отличие от учетных записей администратора macOS, Linux и Windows Vista/7/8/10, учетные записи администратора в системах Windows без UAC не изолируют систему от большинства ошибок полного корневого доступа. Одна из этих ловушек включает снижение устойчивости к заражению вредоносным ПО. Чтобы избежать этого и обеспечить оптимальную безопасность системы в системах Windows до UAC, рекомендуется при необходимости просто пройти аутентификацию со стандартной учетной записью пользователя либо с помощью пароля, установленного для встроенной учетной записи администратора, либо с помощью другой учетной записи администратора.

В учетных записях администратора Windows Vista/7/8/10/11 появится запрос на аутентификацию при запуске процесса с повышенными привилегиями. Обычно для аутентификации приглашения UAC в учетных записях администратора не требуются учетные данные пользователя, но для аутентификации приглашения UAC требуется ввести имя пользователя и пароль администратора в обычных учетных записях пользователей. В учетных записях администратора Windows XP (и более ранних систем) аутентификация не требуется для запуска процесса с повышенными привилегиями. Это создает угрозу безопасности, которая привела к разработке UAC. Пользователи могут настроить запуск процесса с повышенными привилегиями из стандартных учетных записей, настроив процесс «запуск от имени администратора» или используя команду runas и аутентифицируя приглашение с учетными данными (имя пользователя и пароль) учетной записи администратора. Большая часть преимуществ аутентификации со стандартной учетной записью сводится на нет, если используемые учетные данные учетной записи администратора имеют пустой пароль (как во встроенной учетной записи администратора в Windows XP и более ранних системах), поэтому рекомендуется устанавливать пароль для встроенная учетная запись администратора.

В Windows NT , 2000 и более поздних версиях пользователем root является учетная запись администратора. [14]

Novell NetWare

В Novell NetWare суперпользователя называли «супервизор», [15] позже «администратор».

OpenVMS

В OpenVMS «СИСТЕМА» — это учетная запись суперпользователя ОС.

Старые персональные системы

Во многих старых ОС на компьютерах, предназначенных для личного и домашнего использования, любой, кто использовал систему, имел полные привилегии. Многие такие системы, такие как DOS , не имели концепции нескольких учетных записей, и хотя другие, такие как Windows 95, допускали несколько учетных записей, это было сделано только для того, чтобы каждая могла иметь свой собственный профиль предпочтений — все пользователи по-прежнему имели полный административный контроль над машина.

Смотрите также

Рекомендации

  1. ^ "getpwuid". opengroup.org . Проверено 12 января 2019 г.
  2. ^ Файл жаргона (версия 4.4.7), catb.org
  3. ^ «Что это за учетная запись с UID 0?», freebsd.org
  4. ^ «Что такое root? - определение The Linux Information Project» . ЛИНФО . Проверено 7 августа 2012 г.
  5. ^ «/root: Домашний каталог для пользователя root (необязательно)».
  6. ^ abc "RootSudo". Ubuntu.com . Проверено 16 сентября 2015 г.
  7. ^ «4.4. Административный контроль» . redhat.com . Проверено 16 сентября 2015 г.
  8. ^ «2.3. Настройка sudo Access». redhat.com . Архивировано из оригинала 22 декабря 2019 г. Проверено 16 сентября 2015 г.
  9. ^ "разница адм - корень" . Проверено 1 августа 2016 г.
  10. ^ Брайан Вотринг (2005). Мониторинг целостности хоста с использованием Osiris и Samhain. Эльзевир. п. 32. ISBN 978-0-08-048894-3.
  11. ^ Кокс, Расс; Гросс, Эрик; Пайк, Роб ; Пресотто, Дэйв; Куинлан, Шон, Безопасность в Плане 9, Bell Labs , заархивировано из оригинала 11 июля 2018 г.
  12. ^ «Корпорация Microsoft». Microsoft.com . Проверено 7 августа 2012 г.
  13. ^ abc «Включение и отключение встроенной учетной записи администратора». microsoft.com . Проверено 26 февраля 2014 г.
  14. ^ «Учетная запись LocalSystem». microsoft.com . Майкрософт . Проверено 16 сентября 2015 г.
  15. ^ «Пользователь-супервизор (Bindery), созданный на каждом сервере NetWare 4», 1 февраля 1996 г., Novell.com

Внешние ссылки

Найдите суперпользователя в Викисловаре, бесплатном словаре.