stringtranslate.com

Superuser

In computing, the superuser is a special user account used for system administration. Depending on the operating system (OS), the actual name of this account might be root, administrator, admin or supervisor. In some cases, the actual name of the account is not the determining factor; on Unix-like systems, for example, the user with a user identifier (UID) of zero is the superuser, regardless of the name of that account;[1] and in systems which implement a role-based security model, any user with the role of superuser (or its synonyms) can carry out all actions of the superuser account. The principle of least privilege recommends that most users and applications run under an ordinary account to perform their work, as a superuser account is capable of making unrestricted, potentially adverse, system-wide changes.

Unix and Unix-like

In Unix-like computer OSes (such as Linux), root is the conventional name of the user who has all rights or permissions (to all files and programs) in all modes (single- or multi-user). Alternative names include baron in BeOS and avatar on some Unix variants.[2] BSD often provides a toor ("root" written backward) account in addition to a root account.[3] Regardless of the name, the superuser always has a user ID of 0. The root user can do many things an ordinary user cannot, such as changing the ownership of files and binding to network ports numbered below 1024.

Es posible que el nombre raíz se haya originado porque raíz es la única cuenta de usuario con permiso para modificar el directorio raíz de un sistema Unix. Originalmente, este directorio se consideraba el directorio de inicio del root , [4] pero el estándar de jerarquía del sistema de archivos UNIX ahora recomienda que el directorio de inicio del root esté en /root . [5] El primer proceso arrancado en un sistema tipo Unix , generalmente llamado init , se ejecuta con privilegios de root. Genera todos los demás procesos, directa o indirectamente, que heredan los privilegios de sus padres. Sólo un proceso que se ejecuta como root puede cambiar su ID de usuario por el de otro usuario; una vez que lo ha hecho, no hay vuelta atrás. A esto se le llama a veces eliminar los privilegios de root y, a menudo, se hace como medida de seguridad para limitar el daño causado por una posible contaminación del proceso. Otro caso es el inicio de sesión y otros programas que solicitan credenciales a los usuarios y, en caso de autenticación exitosa , les permiten ejecutar programas con privilegios de sus cuentas.

A menudo se recomienda que root nunca se use como una cuenta de usuario normal, [6] [7] ya que simples errores tipográficos al ingresar comandos pueden causar daños importantes al sistema. En su lugar, se debe utilizar una cuenta de usuario normal y luego se utiliza el comando su (usuario sustituto) o sudo (usuario sustituto). El enfoque su requiere que el usuario conozca la contraseña de root, mientras que el método sudo requiere que el usuario esté configurado con el poder de ejecutar "como root" dentro del archivo /etc/sudoers , normalmente de forma indirecta al convertirse en miembro de la rueda. , [8] adm , [9] admin o grupo sudo .

Por varias razones, ahora generalmente se prefiere el enfoque sudo ; por ejemplo, deja un rastro de auditoría de quién ha utilizado el comando y qué operaciones administrativas realizó. [10]

Algunos sistemas operativos, como macOS y algunas distribuciones de Linux (en especial Ubuntu [6] ), brindan automáticamente al usuario inicial creado la capacidad de ejecutarse como root a través de sudo , pero esto está configurado para solicitarle su contraseña antes de realizar acciones administrativas. En algunos casos, la cuenta raíz real está deshabilitada de forma predeterminada, por lo que no se puede usar directamente. [6] En los sistemas operativos orientados a plataformas móviles como Apple iOS y Android , el acceso de superusuario es inaccesible por diseño, pero generalmente el sistema de seguridad puede explotarse para obtenerlo. [ cita necesaria ] En algunos sistemas, como Plan 9 , no hay ningún superusuario. [11]

Microsoft Windows

En Windows NT y sistemas posteriores derivados de él (como Windows 2000 , Windows XP , Windows Server 2003 y Windows Vista / 7 / 8 / 10 / 11 ), debe existir al menos una cuenta de administrador (Windows XP y anteriores) o uno capaz de elevar privilegios a superusuario (Windows Vista/7/8/10/11 a través del Control de cuentas de usuario ). [12] En Windows XP y sistemas anteriores, hay una cuenta de administrador integrada que permanece oculta cuando existe una cuenta de usuario equivalente a administrador. [13] Esta cuenta de administrador integrada se crea con una contraseña en blanco. [13] Esto plantea riesgos de seguridad ya que los usuarios locales podrían acceder a la computadora a través de la cuenta de administrador integrada si la contraseña se deja en blanco, por lo que la cuenta está deshabilitada de forma predeterminada en Windows Vista y sistemas posteriores debido a la introducción de Usuario. Control de Cuentas (UAC). [13] Los usuarios remotos no pueden acceder a la cuenta de administrador integrada.

Una cuenta de administrador de Windows no es un análogo exacto de la cuenta raíz de Unix : el administrador, la cuenta de administrador integrada y la cuenta de administrador de usuario tienen el mismo nivel de privilegios. La cuenta de usuario predeterminada creada en los sistemas Windows es una cuenta de administrador. A diferencia de las cuentas de administrador de macOS, Linux y Windows Vista/7/8/10, las cuentas de administrador en sistemas Windows sin UAC no aíslan al sistema de la mayoría de los peligros del acceso root completo. Uno de estos obstáculos incluye una menor resistencia a las infecciones de malware. Para evitar esto y mantener una seguridad óptima del sistema en sistemas Windows anteriores a UAC, se recomienda simplemente autenticarse cuando sea necesario desde una cuenta de usuario estándar, ya sea mediante una contraseña establecida en la cuenta de administrador integrada u otra cuenta de administrador.

En las cuentas de administrador de Windows Vista/7/8/10/11, aparecerá un mensaje para autenticar la ejecución de un proceso con privilegios elevados. Por lo general, no se requieren credenciales de usuario para autenticar el mensaje de UAC en cuentas de administrador, pero para autenticar el mensaje de UAC es necesario ingresar el nombre de usuario y la contraseña de un administrador en cuentas de usuario estándar. En las cuentas de administrador de Windows XP (y sistemas anteriores), no se requiere autenticación para ejecutar un proceso con privilegios elevados. Esto plantea un riesgo de seguridad que llevó al desarrollo de la UAC. Los usuarios pueden configurar un proceso para que se ejecute con privilegios elevados desde cuentas estándar configurando el proceso para "ejecutarlo como administrador" o usando el comando runas y autenticando el mensaje con las credenciales (nombre de usuario y contraseña) de una cuenta de administrador. Gran parte del beneficio de autenticarse desde una cuenta estándar se anula si las credenciales de la cuenta de administrador que se utilizan tienen una contraseña en blanco (como en la cuenta de administrador integrada en Windows XP y sistemas anteriores), por lo que se recomienda establecer una contraseña para la cuenta de administrador integrada.

En Windows NT , 2000 y superiores, el usuario root es la cuenta de Administrador. [14]

Novell NetWare

En Novell NetWare , el superusuario se llamaba "supervisor", [15] más tarde "admin".

AbiertoVMS

En OpenVMS, "SYSTEM" es la cuenta de superusuario del sistema operativo.

Sistemas personales más antiguos

En muchos sistemas operativos antiguos en computadoras destinadas a uso personal y doméstico, cualquiera que usara el sistema tenía todos los privilegios. Muchos de estos sistemas, como DOS , no tenían el concepto de cuentas múltiples, y aunque otros como Windows 95 sí permitían cuentas múltiples, esto era sólo para que cada una pudiera tener su propio perfil de preferencias: todos los usuarios aún tenían control administrativo total sobre la máquina.

Ver también

Referencias

  1. ^ "obtener pwuid". opengroup.org . Consultado el 12 de enero de 2019 .
  2. ^ El archivo Jergon (versión 4.4.7), catb.org
  3. ^ "¿Qué es este UID 0 para cuenta?", freebsd.org
  4. ^ "¿Qué es root? - Definición de The Linux Information Project". LINFO . Consultado el 7 de agosto de 2012 .
  5. ^ "/root: directorio de inicio del usuario root (opcional)".
  6. ^ a b "RootSudo". ubuntu.com . Consultado el 16 de septiembre de 2015 .
  7. ^ "4.4. Controles administrativos". redhat.com . Consultado el 16 de septiembre de 2015 .
  8. ^ "2.3. Configuración de Sudo Access". redhat.com . Archivado desde el original el 22 de diciembre de 2019 . Consultado el 16 de septiembre de 2015 .
  9. ^ "diferencia adm - raíz" . Consultado el 1 de agosto de 2016 .
  10. ^ Brian Wotring (2005). Monitoreo de la integridad del host mediante Osiris y Samhain. Elsevier. pag. 32.ISBN 978-0-08-048894-3.
  11. ^ Cox, Russ; Grosse, Eric; Pike, Rob ; Presotto, Dave; Quinlan, Sean, Seguridad en el Plan 9, Bell Labs , archivado desde el original el 11 de julio de 2018
  12. ^ "Corporación Microsoft". Microsoft.com . Consultado el 7 de agosto de 2012 .
  13. ^ abc "Habilitar y deshabilitar la cuenta de administrador integrada". microsoft.com. 25 de julio de 2008 . Consultado el 26 de febrero de 2014 .
  14. ^ "La cuenta del sistema local". microsoft.com . Microsoft . Consultado el 16 de septiembre de 2015 .
  15. ^ "Usuario supervisor (Bindery) creado en cada servidor NetWare 4", 1 de febrero de 1996, novell.com

enlaces externos

Busque superusuario en Wikcionario, el diccionario gratuito.