Articulo de referencia

Superusuario

Lista de grupos de usuarios tal como se muestra en Arch Linux . Aquí, el superusuario es "root". En informática , el superusuario es una cuenta de usuario especial utilizada par...

Lista de grupos de usuarios tal como se muestra en Arch Linux . Aquí, el superusuario es "root".

En informática , el superusuario es una cuenta de usuario especial utilizada para la administración del sistema . Dependiendo del sistema operativo (SO), el nombre de esta cuenta puede ser root , administrator , admin o supervisor . El principio de mínimo privilegio recomienda que la mayoría de los usuarios y aplicaciones se ejecuten con una cuenta normal para realizar su trabajo, ya que una cuenta de superusuario puede realizar cambios en todo el sistema sin restricciones y potencialmente perjudiciales.

En algunos casos, el nombre real de la cuenta determina si el usuario es un superusuario. En otros, el nombre de la cuenta no es el factor determinante; en sistemas tipo Unix, por ejemplo, el usuario con un identificador de usuario (UID) de cero es el superusuario [es decir, uid=0], independientemente del nombre de esa cuenta; [ 1 ] y en sistemas que implementan un modelo de seguridad basado en roles , cualquier usuario con el rol de superusuario puede realizar todas las acciones de la cuenta de superusuario.

Unix y sistemas similares a Unix

En los sistemas operativos de computadora tipo Unix (como Linux ), root es el nombre convencional del usuario que tiene todos los derechos o permisos (sobre todos los archivos y programas) en todos los modos (monousuario o multiusuario). Los nombres alternativos incluyen baron en BeOS y avatar en algunas variantes de Unix. [ 2 ] BSD a menudo proporciona una cuenta toor ("root" escrito al revés) además de una cuenta root. [ 3 ] Independientemente del nombre, el superusuario siempre tiene un ID de usuario de 0. El usuario root puede hacer muchas cosas que un usuario normal no puede, como cambiar la propiedad de los archivos y vincularse a puertos de red numerados por debajo de 1024.

El nombre root puede haberse originado porque root es la única cuenta de usuario con permiso para modificar el directorio raíz de un sistema Unix. Este directorio se consideraba originalmente el directorio personal de root , [ 4 ] pero el estándar de jerarquía del sistema de archivos UNIX ahora recomienda que el directorio personal de root esté en /root . [ 5 ] El primer proceso que se inicia en un sistema tipo Unix , generalmente llamado init , se ejecuta con privilegios de root. Genera todos los demás procesos directa o indirectamente, los cuales heredan los privilegios de sus padres. Solo un proceso que se ejecuta como root puede cambiar su ID de usuario al de otro usuario; una vez que lo ha hecho, no hay vuelta atrás. Hacer esto a veces se llama renunciar a los privilegios de root y a menudo se hace como una medida de seguridad para limitar el daño de una posible contaminación del proceso. Otro caso es login y otros programas que solicitan credenciales a los usuarios y, en caso de autenticación exitosa , les permiten ejecutar programas con los privilegios de sus cuentas.

A menudo se recomienda no usar nunca la cuenta de root como una cuenta de usuario normal, [ 6 ] [ 7 ] ya que simples errores tipográficos al introducir comandos pueden causar daños importantes al sistema. En su lugar, se debe usar una cuenta de usuario normal y, a continuación, se utiliza el comando su (usuario sustituto) o sudo (usuario sustituto hacer). El método su requiere que el usuario conozca la contraseña de root, mientras que el método sudo requiere que el usuario tenga permisos para ejecutar "como root" en el archivo /etc/sudoers , normalmente de forma indirecta al ser miembro del grupo wheel , [ 8 ] adm , [ 9 ] admin o sudo .

Por varias razones, el enfoque sudo ahora es generalmente preferido; por ejemplo, deja un registro de auditoría de quién ha usado el comando y qué operaciones administrativas realizó. [ 10 ]

Algunos sistemas operativos, como macOS y algunas distribuciones de Linux (en particular Ubuntu [ 6 ] ), otorgan automáticamente al usuario inicial creado la capacidad de ejecutar como root mediante sudo , pero esto está configurado para solicitarle su contraseña antes de realizar acciones administrativas. En algunos casos, la cuenta de root real está deshabilitada por defecto, por lo que no se puede usar directamente. [ 6 ] En sistemas operativos orientados a plataformas móviles como Apple iOS y Android , el acceso de superusuario es inaccesible por diseño, pero generalmente el sistema de seguridad puede ser explotado para obtenerlo. En algunos sistemas, como Plan 9 , no existe ningún superusuario. [ 11 ]

Windows

En Windows NT y sistemas posteriores derivados de él (como Windows 2000 , Windows XP , Windows Server 2003 y Windows Vista / 7 / 8 / 10 / 11 ), debe haber al menos una cuenta de administrador (Windows XP y anteriores) o una que pueda elevar privilegios a superusuario (Windows Vista/7/8/10/11 a través del Control de cuentas de usuario ). [ 12 ] En Windows XP y sistemas anteriores, hay una cuenta de administrador integrada que permanece oculta cuando existe una cuenta de administrador de usuario equivalente. [ 13 ] Esta cuenta de administrador integrada se crea con una contraseña en blanco. [ 13 ] Esto plantea riesgos de seguridad, ya que los usuarios locales podrían acceder al equipo a través de la cuenta de administrador integrada si la contraseña se deja en blanco, por lo que la cuenta está deshabilitada de forma predeterminada en Windows Vista y sistemas posteriores debido a la introducción del Control de cuentas de usuario (UAC). [ 13 ] Los usuarios remotos no pueden acceder a la cuenta de administrador integrada.

Una cuenta de administrador de Windows no es un análogo exacto de la cuenta de root de Unix : Administrador, la cuenta de administrador integrada y una cuenta de administrador de usuario tienen el mismo nivel de privilegios. La cuenta de usuario predeterminada en los sistemas Windows es una cuenta de administrador. A diferencia de las cuentas de administrador de macOS, Linux y Windows Vista/7/8/10, las cuentas de administrador en sistemas Windows sin UAC no protegen el sistema de la mayoría de los riesgos del acceso root completo. Uno de estos riesgos es la menor resistencia a las infecciones de malware. Para evitar esto y mantener una seguridad óptima del sistema en sistemas Windows anteriores a UAC, se recomienda autenticarse cuando sea necesario desde una cuenta de usuario estándar, ya sea mediante una contraseña configurada para la cuenta de administrador integrada u otra cuenta de administrador.

En las cuentas de administrador de Windows Vista/7/8/10/11, aparecerá una solicitud de autenticación para ejecutar un proceso con privilegios elevados. Normalmente, no se requieren credenciales de usuario para autenticar la solicitud de UAC en las cuentas de administrador, pero en las cuentas de usuario estándar, la autenticación de la solicitud de UAC requiere ingresar el nombre de usuario y la contraseña de un administrador. En las cuentas de administrador de Windows XP (y sistemas anteriores), no se requiere autenticación para ejecutar un proceso con privilegios elevados. Esto representa un riesgo de seguridad que motivó el desarrollo de UAC. Los usuarios pueden configurar un proceso para que se ejecute con privilegios elevados desde cuentas estándar, estableciendo el proceso como "ejecutar como administrador" o utilizando el comando `runas` y autenticando la solicitud con las credenciales (nombre de usuario y contraseña) de una cuenta de administrador. Gran parte de la ventaja de autenticarse desde una cuenta estándar se anula si la cuenta de administrador utilizada tiene una contraseña en blanco (como en la cuenta de administrador integrada en Windows XP y sistemas anteriores), por lo que se recomienda establecer una contraseña para la cuenta de administrador integrada. Incluso con acceso de administrador, algunos archivos del sistema están protegidos por cuentas de sistema con privilegios aún mayores, concretamente SYSTEM y NT Service/TrustedInstaller, que son análogas al usuario root de Linux.

En Windows NT , 2000 y versiones posteriores, el usuario raíz es la cuenta de administrador. [ 14 ]

Novell NetWare

En Novell NetWare , el superusuario se llamaba "supervisor", [ 15 ] más tarde "admin".

OpenVMS

En OpenVMS, "SYSTEM" es la cuenta de superusuario del sistema operativo.

Sistemas personales más antiguos

En la mayoría de los ordenadores personales de las décadas de 1970 y 1980, cualquier usuario del sistema tenía privilegios completos y no existía el concepto de cuentas de usuario. Windows 95 permite múltiples cuentas, de modo que cada una puede tener su propio perfil de preferencias; cada usuario conserva el control administrativo total del equipo.

Véase también

Referencias

  1. "getpwid" . opengroup.org . Archivado del original el 22 de agosto de 2015. Consultado el 12 de enero de 2019 .
  2. El archivo de jerga (versión 4.4.7) archivado el 18 de abril de 2021 en Wayback Machine , catb.org
  3. "¿Qué es esta cuenta UID 0 toor?" Archivado el 22/12/2020 en Wayback Machine , freebsd.org
  4. "¿Qué es root? - definición de The Linux Information Project" . LINFO. Archivado del original el 8 de mayo de 2021. Consultado el 7 de agosto de 2012 .
  5. "/root : Directorio de inicio para el usuario root (opcional)" . Archivado del original el 25/05/2005 . Recuperado el 11/05/2015 . 
  6. 1 2 3 "Rootsudo" . ubuntu.com . Archivado del original el 5 de noviembre de 2011. Consultado el 16 de septiembre de 2015 .
  7. "4.4. Controles administrativos" . redhat.com . Archivado del original el 5 de junio de 2015. Consultado el 16 de septiembre de 2015 .
  8. "2.3. Configuración del acceso sudo" . redhat.com . Archivado del original el 22 de diciembre de 2019. Consultado el 16 de septiembre de 2015 .
  9. "difference adm - root" . Archivado del original el 5 de noviembre de 2016. Consultado el 1 de agosto de 2016 .
  10. Brian Wotring (2005). Host Integrity Monitoring Using Osiris and Samhain . Elsevier. p. 32. ISBN  978-0-08-048894-3Archivado del original el 24 de mayo de 2024. Consultado el 17 de diciembre de 2018 .
  11. Cox, Russ; Grosse2, Eric; Pike, Rob ; Presotto, Dave; Quinlan, Sean, Seguridad en el Plan 9 , Bell Labs , archivado del original el 11 de julio de 2018{{citation}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
  12. "Microsoft Corporation" . Microsoft.com. Archivado del original el 11 de julio de 2012. Consultado el 7 de agosto de 2012 .
  13. 1 2 3 "Habilitar y deshabilitar la cuenta de administrador integrada" . microsoft.com. 25 de julio de 2008. Archivado del original el 27 de noviembre de 2013. Consultado el 26 de febrero de 2014 .
  14. "La cuenta del sistema local" . microsoft.com . Microsoft. Archivado del original el 13 de marzo de 2016. Consultado el 16 de septiembre de 2015 .
  15. "Usuario Supervisor (Bindery) Creado en Cada Servidor NetWare 4" Archivado el 07/11/2017 en Wayback Machine , 01 de febrero de 1996, novell.com
  • Definición de raíz – por el Proyecto de Información de Linux (LINFO)
  • Introducción a la seguridad de Mac OS X