stringtranslate.com

Superusuario

En informática, el superusuario es una cuenta de usuario especial que se utiliza para la administración del sistema . Dependiendo del sistema operativo (SO), el nombre real de esta cuenta puede ser root , administrador , admin o supervisor . En algunos casos, el nombre real de la cuenta no es el factor determinante; en sistemas tipo Unix, por ejemplo, el usuario con un identificador de usuario (UID) de cero es el superusuario, independientemente del nombre de esa cuenta; [1] y en sistemas que implementan un modelo de seguridad basado en roles , cualquier usuario con el rol de superusuario (o sus sinónimos) puede realizar todas las acciones de la cuenta de superusuario. El principio de privilegio mínimo recomienda que la mayoría de los usuarios y aplicaciones se ejecuten con una cuenta normal para realizar su trabajo, ya que una cuenta de superusuario es capaz de realizar cambios sin restricciones y potencialmente adversos en todo el sistema.

Unix y similares a Unix

En los sistemas operativos tipo Unix (como Linux ), root es el nombre convencional del usuario que tiene todos los derechos o permisos (para todos los archivos y programas) en todos los modos (usuario único o multiusuario). Los nombres alternativos incluyen baron en BeOS y avatar en algunas variantes de Unix. [2] BSD a menudo proporciona una cuenta toor ("raíz" escrita al revés) además de una cuenta raíz. [3] Independientemente del nombre, el superusuario siempre tiene un ID de usuario de 0. El usuario raíz puede hacer muchas cosas que un usuario normal no puede, como cambiar la propiedad de los archivos y vincularse a puertos de red numerados por debajo de 1024.

Es posible que el nombre raíz se haya originado porque raíz es la única cuenta de usuario con permiso para modificar el directorio raíz de un sistema Unix. Originalmente, este directorio se consideraba el directorio de inicio del root , [4] pero el estándar de jerarquía del sistema de archivos UNIX ahora recomienda que el directorio de inicio del root esté en /root . [5] El primer proceso arrancado en un sistema tipo Unix , generalmente llamado init , se ejecuta con privilegios de root. Genera todos los demás procesos directa o indirectamente, que heredan los privilegios de sus padres. Sólo un proceso que se ejecuta como root puede cambiar su ID de usuario por el de otro usuario; una vez que lo ha hecho, no hay vuelta atrás. A esto a veces se le llama eliminar los privilegios de root y, a menudo, se hace como medida de seguridad para limitar el daño causado por una posible contaminación del proceso. Otro caso es el inicio de sesión y otros programas que solicitan credenciales a los usuarios y, en caso de autenticación exitosa , les permiten ejecutar programas con privilegios de sus cuentas.

A menudo se recomienda que root nunca se use como una cuenta de usuario normal, [6] [7] ya que simples errores tipográficos al ingresar comandos pueden causar daños importantes al sistema. En su lugar, se debe utilizar una cuenta de usuario normal y luego se utiliza el comando su (usuario sustituto) o sudo (usuario sustituto). El enfoque su requiere que el usuario conozca la contraseña de root, mientras que el método sudo requiere que el usuario esté configurado con el poder de ejecutar "como root" dentro del archivo /etc/sudoers , normalmente de forma indirecta al convertirse en miembro de la rueda. , [8] adm , [9] admin o grupo sudo .

Por varias razones, ahora generalmente se prefiere el enfoque sudo ; por ejemplo, deja un rastro de auditoría de quién ha utilizado el comando y qué operaciones administrativas realizó. [10]

Algunos sistemas operativos, como macOS y algunas distribuciones de Linux (en especial Ubuntu [6] ), brindan automáticamente al usuario inicial creado la capacidad de ejecutarse como root a través de sudo , pero esto está configurado para solicitarle su contraseña antes de realizar acciones administrativas. En algunos casos, la cuenta raíz real está deshabilitada de forma predeterminada, por lo que no se puede usar directamente. [6] En los sistemas operativos orientados a plataformas móviles como Apple iOS y Android , el acceso de superusuario es inaccesible por diseño, pero generalmente el sistema de seguridad puede explotarse para obtenerlo. [ cita necesaria ] En algunos sistemas, como Plan 9 , no hay ningún superusuario. [11]

Microsoft Windows

En Windows NT y sistemas posteriores derivados de él (como Windows 2000 , Windows XP , Windows Server 2003 y Windows Vista / 7 / 8 / 10 / 11 ), debe existir al menos una cuenta de administrador (Windows XP y anteriores) o uno capaz de elevar privilegios a superusuario (Windows Vista/7/8/10/11 a través del Control de cuentas de usuario ). [12] En Windows XP y sistemas anteriores, hay una cuenta de administrador integrada que permanece oculta cuando existe una cuenta de usuario equivalente a administrador. [13] Esta cuenta de administrador integrada se crea con una contraseña en blanco. [13] Esto plantea riesgos de seguridad ya que los usuarios locales podrían acceder a la computadora a través de la cuenta de administrador integrada si la contraseña se deja en blanco, por lo que la cuenta está deshabilitada de forma predeterminada en Windows Vista y sistemas posteriores debido a la introducción de Usuario. Control de Cuentas (UAC). [13] Los usuarios remotos no pueden acceder a la cuenta de administrador integrada.

Una cuenta de administrador de Windows no es un análogo exacto de la cuenta raíz de Unix : el administrador, la cuenta de administrador integrada y la cuenta de administrador de usuario tienen el mismo nivel de privilegios. La cuenta de usuario predeterminada creada en los sistemas Windows es una cuenta de administrador. A diferencia de las cuentas de administrador de macOS, Linux y Windows Vista/7/8/10, las cuentas de administrador en sistemas Windows sin UAC no aíslan al sistema de la mayoría de los peligros del acceso root completo. Uno de estos obstáculos incluye una menor resistencia a las infecciones de malware. Para evitar esto y mantener una seguridad óptima del sistema en sistemas Windows anteriores a UAC, se recomienda simplemente autenticarse cuando sea necesario desde una cuenta de usuario estándar, ya sea mediante una contraseña establecida en la cuenta de administrador integrada u otra cuenta de administrador.

En las cuentas de administrador de Windows Vista/7/8/10/11, aparecerá un mensaje para autenticar la ejecución de un proceso con privilegios elevados. Por lo general, no se requieren credenciales de usuario para autenticar el mensaje de UAC en cuentas de administrador, pero para autenticar el mensaje de UAC es necesario ingresar el nombre de usuario y la contraseña de un administrador en cuentas de usuario estándar. En las cuentas de administrador de Windows XP (y sistemas anteriores), no se requiere autenticación para ejecutar un proceso con privilegios elevados. Esto plantea un riesgo de seguridad que llevó al desarrollo de la UAC. Los usuarios pueden configurar un proceso para que se ejecute con privilegios elevados desde cuentas estándar configurando el proceso para "ejecutarlo como administrador" o usando el comando runas y autenticando el mensaje con las credenciales (nombre de usuario y contraseña) de una cuenta de administrador. Gran parte del beneficio de autenticarse desde una cuenta estándar se anula si las credenciales de la cuenta de administrador que se utilizan tienen una contraseña en blanco (como en la cuenta de administrador integrada en Windows XP y sistemas anteriores), por lo que se recomienda establecer una contraseña para la cuenta de administrador integrada.

En Windows NT , 2000 y superiores, el usuario root es la cuenta de Administrador. [14]

Novell NetWare

En Novell NetWare , el superusuario se llamaba "supervisor", [15] más tarde "admin".

AbiertoVMS

En OpenVMS, "SYSTEM" es la cuenta de superusuario del sistema operativo.

Sistemas personales más antiguos

En muchos sistemas operativos antiguos en computadoras destinadas a uso personal y doméstico, cualquiera que usara el sistema tenía todos los privilegios. Muchos de estos sistemas, como DOS , no tenían el concepto de cuentas múltiples, y aunque otros como Windows 95 sí permitían cuentas múltiples, esto era sólo para que cada una pudiera tener su propio perfil de preferencias: todos los usuarios aún tenían control administrativo total sobre la máquina.

Ver también

Referencias

  1. ^ "obtener pwuid". opengroup.org . Consultado el 12 de enero de 2019 .
  2. ^ El archivo Jergon (versión 4.4.7), catb.org
  3. ^ "¿Qué es este UID 0 para cuenta?", freebsd.org
  4. ^ "¿Qué es root? - Definición de The Linux Information Project". LINFO . Consultado el 7 de agosto de 2012 .
  5. ^ "/root: directorio de inicio del usuario root (opcional)".
  6. ^ a b C "RootSudo". ubuntu.com . Consultado el 16 de septiembre de 2015 .
  7. ^ "4.4. Controles administrativos". redhat.com . Consultado el 16 de septiembre de 2015 .
  8. ^ "2.3. Configuración de Sudo Access". redhat.com . Archivado desde el original el 22 de diciembre de 2019 . Consultado el 16 de septiembre de 2015 .
  9. ^ "diferencia adm - raíz" . Consultado el 1 de agosto de 2016 .
  10. ^ Brian Wotring (2005). Monitoreo de la integridad del host mediante Osiris y Samhain. Elsevier. pag. 32.ISBN 978-0-08-048894-3.
  11. ^ Cox, Russ; Grosse, Eric; Pike, Rob ; Presotto, Dave; Quinlan, Sean, Seguridad en el Plan 9, Bell Labs , archivado desde el original el 11 de julio de 2018
  12. ^ "Corporación Microsoft". Microsoft.com . Consultado el 7 de agosto de 2012 .
  13. ^ abc "Habilitar y deshabilitar la cuenta de administrador integrada". microsoft.com. 25 de julio de 2008 . Consultado el 26 de febrero de 2014 .
  14. ^ "La cuenta del sistema local". microsoft.com . Microsoft . Consultado el 16 de septiembre de 2015 .
  15. ^ "Usuario supervisor (Bindery) creado en cada servidor NetWare 4", 1 de febrero de 1996, novell.com

enlaces externos

Busque superusuario en Wikcionario, el diccionario gratuito.