Superuživatel - Superuser

Web Otázky a odpovědi najdete v článku Super uživatel .

V oblasti výpočetní techniky je superuživatel speciální uživatelský účet používaný pro správu systému. V závislosti na operačním systému (OS) může být skutečný název tohoto účtu root , správce , správce nebo správce . V některých případech není skutečný název účtu určujícím faktorem; v unixových systémech je superuživatel například uživatel s nulovým identifikátorem uživatele (UID) bez ohledu na název účtu; a v systémech, které implementují bezpečnostní model založený na rolích, může každý uživatel s rolí superuživatele (nebo jeho synonym) provádět všechny akce účtu superuživatele. Princip nejméně výsady doporučuje, aby většina uživatelů a aplikací běžela pod běžným účtem, aby mohli vykonávat svou práci, protože účet superuživatele je schopen provádět neomezené, potenciálně nežádoucí, celosystémové změny.

Unix a podobné Unixu

V počítačových operačních systémech podobných Unixu (jako je Linux ) je root konvenční jméno uživatele, který má všechna práva nebo oprávnění (ke všem souborům a programům) ve všech režimech (jeden nebo více uživatelů). Alternativní názvy zahrnují baron v BeOS a avatar u některých unixových variant. BSD často kromě účtu root poskytuje také účet toor („root“ zapsaný zpětně). Bez ohledu na jméno má superuživatel vždy ID uživatele 0. Kořenový uživatel může dělat mnoho věcí, které běžný uživatel nemůže, například změnit vlastnictví souborů a vazbu na síťové porty číslované pod 1024.

Název root může mít původ, protože root je jediným uživatelským účtem s oprávněním upravovat kořenový adresář systému Unix. Tento adresář byl původně považován za domovský adresář root , ale UNIX Filesystem Hierarchy Standard nyní doporučuje, aby domovský kořen root byl v /root .První proces bootstrapped v unixovém systému, obvykle nazývaném init , běží s oprávněními root. Vytváří všechny ostatní procesy přímo nebo nepřímo, které dědí privilegia jejich rodičů. Pouze proces spuštěný jako root smí změnit své uživatelské ID na jiné uživatele; jakmile to udělá, není cesty zpět. Tomu se někdy říká zrušení oprávnění root a často se to provádí jako bezpečnostní opatření k omezení škod způsobených možnou kontaminací procesu. Dalším případem je přihlášení a další programy, které od uživatelů požadují přihlašovací údaje a v případě úspěšné autentizace jim umožní spouštět programy s oprávněními jejich účtů.

Často se doporučuje, aby root nebyl nikdy používán jako běžný uživatelský účet, protože jednoduché typografické chyby při zadávání příkazů mohou způsobit velké poškození systému. Místo toho by měl být použit běžný uživatelský účet a poté je použit buď příkaz su (náhradní uživatel) nebo sudo (náhradní uživatel do). Přístup su vyžaduje, aby uživatel znal kořenové heslo, zatímco metoda sudo vyžaduje, aby měl uživatel nastavenu možnost spouštět „jako root“ v souboru /etc /sudoers , obvykle nepřímo tím, že se stane členem kola , adm , admin nebo sudo group.

Z řady důvodů je nyní obecně preferován přístup sudo - například zanechává auditní stopu, kdo příkaz použil a jaké administrativní operace provedl.

Některé operační systémy, jako například macOS a některé distribuce Linuxu (nejvíce pozoruhodně Ubuntu ), dávají původnímu uživateli vytvořenému automaticky možnost spouštět jako root přes sudo - ale nakonfigurujte to tak, aby je před provedením administrativních akcí požádal o heslo. V některých případech je skutečný kořenový účet ve výchozím nastavení zakázán, takže jej nelze přímo použít. V operačních systémech orientovaných na mobilní platformy, jako jsou Apple iOS a Android , je přístup superuživatele již od návrhu nedostupný, ale obecně lze k jeho získání zneužít bezpečnostní systém . V několika systémech, jako je například Plán 9 , neexistuje žádný superuživatel.

Microsoft Windows

V systému Windows NT a novějších systémech z něj odvozených (například Windows 2000 , Windows XP , Windows Server 2003 a Windows Vista / 7 / 8 / 10 ) musí existovat alespoň jeden účet správce (Windows XP a starší) nebo jeden povýšit oprávnění na superuživatele (Windows Vista/7/8/10 pomocí Řízení uživatelských účtů ). V systému Windows XP a dřívějších systémech je vestavěný účet správce, který zůstává skrytý, pokud existuje účet ekvivalentní uživateli. Tento vestavěný účet správce je vytvořen s prázdným heslem. To představuje bezpečnostní rizika, protože místní uživatelé by měli přístup k počítači prostřednictvím vestavěného účtu správce, pokud je heslo ponecháno prázdné, takže účet je ve Windows Vista a novějších systémech ve výchozím nastavení zakázán kvůli zavedení funkce Řízení uživatelských účtů ( UAC). Vzdálení uživatelé nemají přístup k integrovanému účtu správce.

Účet správce systému Windows není přesným analogem kořenového účtu Unix -správce, vestavěný účet správce a účet správce uživatele mají stejnou úroveň oprávnění. Výchozí uživatelský účet vytvořený v systémech Windows je účet správce. Na rozdíl od administrátorských účtů macOS, Linux a Windows Vista/7/8/10, administrátorské účty v systémech Windows bez UAC neizolují systém od většiny nástrah plného rootovského přístupu. Jedním z těchto úskalí je snížená odolnost vůči malwarovým infekcím. Abyste tomu zabránili a zachovali optimální zabezpečení systému na systémech Windows před UAC, doporučujeme v případě potřeby jednoduše ověřit pomocí standardního uživatelského účtu, a to buď pomocí hesla nastaveného na integrovaném účtu správce, nebo na jiném účtu správce.

V účtech správce systému Windows Vista/7/8/10 se zobrazí výzva k ověření spuštění procesu se zvýšenými oprávněními. K ověření výzvy UAC v účtech správce obvykle nejsou vyžadována žádná pověření uživatele, ale ověření výzvy UAC vyžaduje zadání uživatelského jména a hesla správce ve standardních uživatelských účtech. V administrátorských účtech Windows XP (a starších systémů) není ke spuštění procesu se zvýšenými oprávněními vyžadováno ověření, což představuje další bezpečnostní riziko, které vedlo k vývoji UAC. Uživatelé mohou nastavit proces tak, aby běžel se zvýšenými oprávněními ze standardních účtů, nastavením procesu na „spustit jako správce“ nebo pomocí příkazu runas a ověřením výzvy pomocí přihlašovacích údajů (uživatelského jména a hesla) účtu správce. Velká část výhod ověřování ze standardního účtu je negována, pokud používané přihlašovací údaje účtu správce mají prázdné heslo (jako v integrovaném účtu správce v systému Windows XP a dřívějších systémech), a proto se doporučuje nastavit heslo pro vestavěný účet správce.

V systému Windows NT , 2000 a vyšším je uživatel root účet správce.

Novell NetWare

V Novell NetWare se superuživateli říkalo „supervizor“, později „admin“.

OpenVMS

V OpenVMS je „SYSTEM“ superuživatelský účet pro OS.

Starší osobní systémy

V mnoha starších operačních systémech na počítačích určených pro osobní a domácí použití měl každý, kdo systém používal, plná oprávnění. Mnoho takových systémů, jako například DOS , nemělo koncept více účtů, a přestože jiné, jako například Windows 95 , umožňovaly více účtů, bylo to jen proto, aby každý mohl mít svůj vlastní profil preferencí - všichni uživatelé měli stále plnou administrativní kontrolu nad stroj.

Viz také

Reference

externí odkazy