Суперпользователь - Superuser

Для сайта вопросов и ответов см. Суперпользователь.

В вычислениях суперпользователь это особенный учетная запись пользователя используется для системного администрирования. В зависимости от Операционная система (ОС) фактическое имя этой учетной записи может быть корень, администратор, админ или же руководитель. В некоторых случаях фактическое название учетной записи не является определяющим фактором; на Unix-подобный системы, например, пользователь с идентификатор пользователя (UID) равный нулю - это суперпользователь, независимо от имени этой учетной записи;[1] и в системах, реализующих безопасность на основе ролей В модели любой пользователь с ролью суперпользователя (или ее синонимов) может выполнять все действия учетной записи суперпользователя. принцип наименьших привилегий рекомендует, чтобы большинство пользователей и приложений выполняли свою работу под обычной учетной записью, поскольку учетная запись суперпользователя может вносить неограниченные, потенциально неблагоприятные, общесистемные изменения.

Unix и Unix-подобные

В Unix-подобный компьютерные операционные системы (например, Linux ), корень - условное имя пользователя, у которого есть все права или разрешения (ко всем файлам и программам) во всех режимах (однопользовательском или многопользовательском). Альтернативные названия включают барон в BeOS и аватар на некоторых вариантах Unix.[2] BSD часто предоставляет тоор ("root" записано в обратном порядке) в дополнение к учетной записи root.[3] Независимо от имени у суперпользователя всегда есть ID пользователя из 0. Пользователь root может делать многое, чего не может обычный пользователь, например, менять владельца файлов и связываться с сетью. порты пронумерованы ниже 1024.

Название корень возможно возник из-за корень - единственная учетная запись пользователя с разрешением на изменение корневая директория системы Unix. Этот каталог изначально считался корневым домашний каталог,[4] но UNIX Стандарт иерархии файловой системы теперь рекомендует, чтобы дом root находился по адресу /корень.[5] Первый процесс загруженный в Unix-подобный система, обычно называемая в этом, работает с привилегиями root. Он прямо или косвенно порождает все другие процессы, которые наследуют привилегии своих родителей. Только процессу, запущенному с правами root, разрешено изменять свой идентификатор пользователя на идентификатор другого пользователя; как только это будет сделано, пути назад нет. Иногда это называют отказ от привилегий root и часто делается в качестве меры безопасности, чтобы ограничить ущерб от возможного загрязнения процесса. Другой случай авторизоваться и другие программы, которые запрашивают учетные данные у пользователей и в случае успеха аутентификация разрешить им запускать программы с привилегиями своих учетных записей.

Часто рекомендуется, чтобы никто не использовал корень как их обычная учетная запись пользователя,[6][7] так просто опечатки ввод команд может нанести серьезный ущерб системе. Вместо этого следует использовать обычную учетную запись пользователя, а затем либо вс (заменить пользователя) или судо (заменить пользователя do) используется команда. В вс подход требует, чтобы пользователь знал пароль root, а судо требует, чтобы пользователь был настроен на запуск "от имени пользователя root" в пределах / и т. д. / sudoers файл, как правило, косвенно, будучи членом колесо,[8] адм,[9] админ, или же судо группа.

По ряду причин судо сейчас обычно предпочтительнее - например, он оставляет контрольный журнал кто использовал команду и какие административные операции выполнял.[10]

Некоторые ОС, например macOS и немного Linux дистрибутивы (особенно Ubuntu[6]), автоматически дает первоначальному пользователю возможность запускаться от имени root через судо - но настройте это так, чтобы они запрашивали их пароль перед выполнением административных действий. В некоторых случаях фактическая учетная запись root отключена по умолчанию, поэтому ее нельзя использовать напрямую.[6] В операционных системах, ориентированных на мобильные платформы, таких как Apple iOS и Android, доступ суперпользователя недоступен по дизайну, но обычно система безопасности может быть эксплуатируемый чтобы получить его. В некоторых системах, например План 9, суперпользователя нет вообще.[11]

Майкрософт Виндоус

В Windows NT и более поздние системы, производные от него (например, Windows 2000, Windows XP, Windows Server 2003, и Виндоус виста /7 /8 /10 ) должен быть хотя бы один администратор учетная запись (Windows XP и более ранние версии) или учетная запись, способная повысить привилегии до суперпользователя (Windows Vista / 7/8/10 через Контроль учетных записей пользователей ).[12] В Windows XP и более ранних версиях существует встроенная учетная запись администратора, которая остается скрытой, если существует учетная запись пользователя, эквивалентная администратору.[13] Эта встроенная учетная запись администратора создается с пустым паролем.[13] Это создает риски для безопасности, поскольку локальные пользователи смогут получить доступ к компьютеру через встроенную учетную запись администратора, если оставить пароль пустым, поэтому учетная запись по умолчанию отключена в Windows Vista и более поздних версиях из-за введения контроля учетных записей пользователей ( ОАК).[13] Удаленные пользователи не могут получить доступ к встроенной учетной записи администратора.

Учетная запись администратора Windows не является точным аналогом Unix Учетная запись root - администратор, встроенная учетная запись администратора и учетная запись администратора пользователя имеют одинаковый уровень привилегий. Учетная запись пользователя по умолчанию, созданная в системах Windows, является учетной записью администратора. В отличие от учетных записей администраторов macOS, Linux и Windows Vista / 7/8/10, учетные записи администраторов в системах Windows без UAC не защищают систему от большинства ловушек полного корневого доступа. Одна из этих ловушек - снижение устойчивости к заражению вредоносным ПО. Чтобы избежать этого и поддерживать оптимальную безопасность системы в системах Windows до UAC, рекомендуется при необходимости просто пройти аутентификацию из стандартной учетной записи пользователя, либо с помощью пароля, установленного для встроенной учетной записи администратора, либо другой учетной записи администратора.

В учетных записях администратора Windows Vista / 7/8/10 появится запрос для аутентификации при запуске процесса с повышенными привилегиями. Обычно для аутентификации приглашения UAC в учетных записях администратора учетные данные пользователя не требуются, но для аутентификации приглашения UAC требуется ввести имя пользователя и пароль администратора в стандартных учетных записях пользователей. В учетных записях администраторов Windows XP (и более ранних версий) аутентификация не требуется для запуска процесса с повышенными привилегиями, и это создает еще одну угрозу безопасности, которая привела к разработке UAC. Пользователи могут настроить процесс для запуска с повышенными привилегиями из стандартных учетных записей, установив для процесса режим «запуск от имени администратора» или используя команду «runas» и аутентифицируя приглашение с учетными данными (имя пользователя и пароль) учетной записи администратора. Большая часть преимуществ аутентификации со стандартной учетной записью сводится на нет, если учетные данные используемой учетной записи администратора имеют пустой пароль (как во встроенной учетной записи администратора в Windows XP и более ранних системах), поэтому рекомендуется установить пароль для встроенная учетная запись администратора.

В Windows NT, 2000 и выше, пользователь root - это учетная запись администратора.[14]

Novell NetWare

В Novell NetWare, суперпользователь был назван "супервизором",[15] позже "админ".

OpenVMS

В OpenVMS «СИСТЕМА» - это учетная запись суперпользователя для ОС.

Старые персональные системы

На многих старых ОС на компьютерах, предназначенных для личного и домашнего использования, любой, кто использовал систему, имел полные привилегии. Многие такие системы, например ДОС, не было концепции нескольких учетных записей, и хотя другие, такие как Windows 95 действительно позволял несколько учетных записей, это было только для того, чтобы каждая могла иметь свой собственный профиль предпочтений - все пользователи по-прежнему имели полный административный контроль над машиной.

Смотрите также

Рекомендации

  1. ^ "getpwuid". opengroup.org. Получено 12 января 2019.
  2. ^ Файл жаргона (версия 4.4.7), catb.org
  3. ^ "Что это за аккаунт toor с UID 0?", freebsd.org
  4. ^ «Что такое корень? - определение Linux Information Project». LINFO. Получено 2012-08-07.
  5. ^ "/ root: домашний каталог для пользователя root (необязательно)".
  6. ^ а б c "РутСудо". ubuntu.com. Получено 16 сентября 2015.
  7. ^ «4.4. Административный контроль». redhat.com. Получено 16 сентября 2015.
  8. ^ «2.3. Настройка доступа к sudo». redhat.com. Получено 16 сентября 2015.
  9. ^ "разница адм - корень". Получено 1 августа 2016.
  10. ^ Брайан Вотринг (2005). Мониторинг целостности хоста с использованием Osiris и Samhain. Эльзевир. п. 32. ISBN  978-0-08-048894-3.
  11. ^ «Безопасность в плане 9» , Bell Labs
  12. ^ "Корпорация Майкрософт". Microsoft.com. Получено 2012-08-07.
  13. ^ а б c «Включение и отключение встроенной учетной записи администратора». microsoft.com. Получено 2014-02-26.
  14. ^ "Учетная запись LocalSystem". microsoft.com. Microsoft. Получено 16 сентября 2015.
  15. ^ «Пользователь-супервизор (Bindery), созданный на каждом сервере NetWare 4», 1 февраля 1996 г., novell.com

внешняя ссылка