Root

Tato stránka je o root superuživatele účtu v Linuxu, o zakořenění telefony a další zařízení, a stručně vysvětluje, jak řídit přístup uživatele root a další privilegovaný přístup.

co je uživatel Root?

Root je superuživatelský účet v Unixu a Linuxu. Jedná se o uživatelský účet pro administrativní účely a obvykle má nejvyšší přístupová práva v systému.

obvykle se kořenový uživatelský účet nazývá root. V Unixu a Linuxu je však jakýkoli účet s uživatelským id 0 kořenovým účtem, bez ohledu na jméno. Je poměrně běžné, že určitý systémadministrátoři mají v systému vlastní kořenové účty s vlastními hesly.

Správa privilegovaného přístupu

Správa privilegovaného účtu označuje správu přístupu k privilegovaným účtům, včetně kořenových účtů. Nasazení nástrojů pro správu privilegovaného přístupu je pro organizace důležité, protože kořenové účty jsou tak silné. Většina počítačové kriminality je spáchána interními aktéry, jako jsou správci systému. Získání odpovědnosti za to, co dělají, je důležité pro odrazování zasvěcených zločinů a podvodů. Kromě toho mnoho předpisů o kybernetické bezpečnosti a osvědčených postupů vyžaduje nasazení nástrojů pro správu privilegovaného přístupu.

privilegované nástroje pro správu přístupu poskytují protokolování a monitorování přístupu. Typicky je zaznamenáno každé přihlášení uživatele root a každý příkaz provedený jako root.

hesla pro privilegované účty by nikdy neměla být sdílena. Sdílená hesla jsou mnohem častěji zneužita, jejich hesla mají tendenci zůstat po delší dobu nezměněna a často unikají, když zaměstnanci mění zaměstnání. Také, protože oni jsou nikdo osobní odpovědnost a třídit fo společné znalosti mezi vrstevníky, mají tendenci dostat stejné množství péče jako osobní účty, a jsou často e-mailem nebo písemně dolů do poznámek, souborů a heslo manažeři.

kořenový uživatelský účet je druh privilegovaného účtu. Mezi další privilegované účty patří servisní účty a systémové účty.

systém Windows má místo kořenových účtů účty místního správce a správce domény.

účet superuživatele je obecný termín pro kořenové účty, účty správce systému Windows a další podobné účty s obecně neomezenými oprávněními v systémech.

použití SUDO a dalších nástrojů k odstranění potřeby kořenových účtů

nástroje jako sudo lze použít k udělení vybraným uživatelům možnost spouštět vybrané příkazy jako root. Tuto schopnost poskytují také všechny nástroje pro správu privilegovaného přístupu. Všechny tyto nástroje mohou také zaznamenávat příkazy prováděné jako root, aby poskytly odpovědnost za to, co se děje jako root.

Root přístup

Root přístup znamená provedení něčeho pomocí oprávnění root. V systémech založených na Linuxu to znamená být schopen něco udělat pomocí uživatelského id 0, tj.

Mít root přístup obvykle znamená, že je schopen se přihlásit do účtu root na server, nebo je schopen spustit příkazy jako root na server, například pomocí nějaké eskalaci nástroj, jako je sudo.

oprávnění uživatele root

účet uživatele root má oprávnění uživatele root. To znamená, že může číst a zapisovat všechny soubory v systému, provádět operace, jako každý uživatel, změnit konfiguraci systému, instalovat a odebrat software, a aktualizace operačního systému a/nebo firmware. V podstatě může v systému dělat téměř cokoli.

obvykle je vhodnější používat vyhrazené servisní účty pro spouštění aplikací a pro správu různých subsystémů operačního systému. Přístup k účtu root by měl být omezen na absolutní minimální počet lidí a použití.

SELinux a další způsoby, jak omezit oprávnění Root

kořenové účty jsou velmi silné a mohou v počítači dělat téměř cokoli. Různé operační systémy mají mechanismy pro omezení toho, co mohou kořenové účty dělat. Tyto systémy se primárně používají v podnicích citlivých na bezpečnost se specializovanými bezpečnostními týmy a vněkteré vojenské a vládní organizace.

SELinux je populární nástroj pro omezení toho, co procesy běžící jako root mohou dělat. Je primárně zaměřen na omezení expozice zranitelnostem v serverových procesech(jako jsou webové servery). Shell administrátora je však pouze normální program a SELinux lze také použít k omezení toho, co lze z shellu udělat.

SELinux se také často používá k tomu, aby byl únik z kontejnerů obtížnější.

SELinux je ve výchozím nastavení zahrnut a povolen v Red Hat Enterprise Linux a CentOS Linux. V těchto systémech, pokud root nemůže přistupovat k souboru nebo provádět operaci, nejčastějším důvodem je, že zásada SELinux brání operaci.

Apparmor je další nástroj podobný SELinuxu.

systémy využívající víceúrovňové zabezpečení nemusí mít nutně kořenový účet nebo mohou být jeho přístupová práva značně omezena. Takové systémy se však zřídka používají mimo klasifikované vojenské prostředí.

operační systém FreeBSD má příznaky souborů, nastavené pomocí příkazu chflags , který lze použít k zabránění i root v provádění určitých operací se soubory.

Root uživatel na Mac

Apple Mac má také kořenový účet. Ve výchozím nastavení se používá pouze interně. Chcete-li povolit kořenový účet pro přihlášení, postupujte podle těchto pokynů.

SSH přístup ke kořenovému účtu

SSH (Secure Shell) se často používá pro přihlášení do vzdálených serverů jako root. Výchozí konfigurace v OpenSSH však zabraňuje přihlášení uživatele root pomocí hesel. Chcete-li povolit přihlášení uživatele root, změňte hodnotu možnosti konfigurace PermitRootLogin v /ssh/sshd_config.

Set-user-id Vlajky na Spustitelné Soubory

Jedna věc, správci systému a auditoři by měli vědět, je, že v Linuxu a Unixu, programy lze spustit pomocí konkrétního uživatele id změnou vlastníka spustitelný na uživateli a nastavení v setuid bit v souboru oprávnění. Například chown rootexecutable && chmod 4755 executable nastaví spustitelný soubor spustit jako root, bez ohledu na to, kdo ho provozuje. Je běžné, že (začínající) hackeři skrývají zadní vrátka do systémů vytvořením vhodného spustitelného souboru s bitovou sadou setuid. To je něco, co je často skenováno v základních bezpečnostních skenech.

režim pro jednoho uživatele a obnovení ztracených kořenových hesel

režim pro jednoho uživatele je speciální režim, do kterého lze zavést počítače Linux, Unix a Mac. Zavedení režimu jednoho uživatele obvykle vyžaduje fyzický přístup k počítači, a je obvykle používá pro obnovení heslo uživatele root, pokud byl ztracen nebo ustálení operačního systému nebo obnovení dat v případě některých catastropic selhání nebo poškození.

Dejte si pozor, že zranitelnost firmwaru Intel AMT mohou útočníci použít pro zavádění systémů do režimu jednoho uživatele. Proto je důležité se ujistit, že firmware systému BIOS byl upgradován na všech serverech Intel, které mají povolenou technologii Intel Active Management Technology (AMT).

některé operační systémy mohou být nakonfigurovány tak, aby vyžadovaly kořenové heslo, aby se zavedly do režimu jednoho uživatele. U těchto systémů je obzvláště důležité mít heslo pro kořenový účet bezpečně uloženo, například v trezoru.

tak dlouho, Jak šifrování disku není používán, je obvykle možné obnovit systém, kde root heslo bylo ztraceno po vyjmutí disku z počítače, připojení k jinému počítači jako druhý disk, montážní ho tam, a pak editace souboru s hesly na připojený disk vymazat heslo uživatele root (např. upravit /mnt/etc/shadow a zkopírovat zašifrované heslo pro uživatele root z jiného účtu, možná z jiného počítače se stejným operačním systémem).

Pokud disk šifrování se používá a disk šifrování heslo je známo, to může být stále možné připojit disk do jiného počítače (zadáním hesla pomocí vhodného nástroje, například cryptsetup).

Pokud byl ztracen šifrovací klíč disku, může být nemožné obnovit systém. Nejlepší možností v tomto případě je pravděpodobně přeinstalovat operační systém a obnovit jeho data ze zálohy.

zakořeněné zařízení

zakořenění může také odkazovat na únik oprávnění normálně povolených pro aplikace běžící na omezených zařízeních, jako jsou iPhony, iPady, telefony Android a tablety. Základní myšlenkou je poskytnout vám root přístup v telefonu, abyste mohli instalovat libovolné aplikace, změnit konfiguraci zařízení nebo nainstalovat vlastní operační systém.

Všimněte si, že zakořenění zařízení není podporován výrobcem, obvykle využívá nedokumentované zranitelnosti v operačních systémech, a neexistuje žádná záruka o kvalitě zakořenění nástroje nebo motivace lidí za nimi. POUŽÍVEJTE JE NA VLASTNÍ NEBEZPEČÍ! Mohou zrušit vaši záruku, učinit vaše zařízení nefunkčním nebo ohrozit vaše data.

prodejci často opravují chyby zabezpečení, které nástroje zakořenění využívají. Nástroje jsou tedy velmi specifické pro verzi. Když vyjde nová verze zařízení nebo jeho operačního systému, staré nástroje mohou přestat fungovat. V důsledku toho se stav techniky rychle mění a staré články o zakořenění mohou být zastaralé.

každá sada nástrojů pro zakořenění je jiná. Některé systémy zakořenění vyžadují připojení telefonu k počítači; jiné jsou aplikace spuštěné v zařízení. Někteří mohou dokonce pracovat bezdrátově a využívat zranitelnosti na telefonech. Zranitelnosti potřebné poslední metodou však mohou být také použity k zasazení malwaru a tyto zranitelnosti výrobci opravují co nejrychleji.

existuje také článek na Wikipedii o zakořenění, který vysvětluje, o co jde.

zakořenění může také pomoci uvolnit úložný prostor v zařízení. Podívejte se na šest nejlepších způsobů, jak uvolnit úložný prostor zařízení Android.

Malware může také používat stejné techniky jako software pro zakořenění. Viz 10 milionů telefonů Android infikovaných všemocnými aplikacemi pro automatické zakořenění.

zatímco zakořenění je ve většině zemí legální, v jiných by to mohlo být nezákonné. Americký zákon o autorských právech Digital Millenium (DMCA) má zjevně výjimku, která to umožňuje. Evropská směrnice o autorských právech zjevně umožňuje zakořenění za účelem instalace alternativního softwaru. Pokud je zákonnost ve vaší zemi problémem, měli byste vyhledat svého právního zástupce.

Jak Root iPhone / iPad?

ve světě Apple se zakořenění operačního systému IOS na iPhonech, iPadech a dalších zařízeních obvykle nazývá jailbreaking.

  • je útěk z vězení iPhone nebo iPad Bezpečný?

  • 5 Důvodů, aby Útěk z vězení Váš iPhone – a 5 Důvodů proč Ne,

  • Jak na útěk z vězení iPhone nebo iPad v iOS 10 a iOS 9,

  • Jak na Útěk z vězení Váš iPhone: Vždy Up-to-Date Průvodce

  • Útěk z vězení iPhone: Vše, co potřebujete vědět

  • Jailbreak Guide

  • Jailbreak v iPhone Wiki

  • iOS Jailbreaking ve Wikipedii

Jak Root Android?

Nástroje pro zakořenění Android zařízení patří:

  • Kingo Roo

  • CF-Auto-Root

  • Towelroot,

  • Framaroot

  • OneClickRoot

  • dr.fone toolkit

Tyto články mohou poskytnout informace o pozadí:

  • Vše, co potřebujete vědět o zakořenění Android

  • 15 nejlepší root aplikace pro Android

  • Jak Root Jakékoliv Zařízení,

  • Jak Vykořenit Svůj Android telefon,

několik výrobců, jako LG, HTC a Motorola zveřejnila oficiální zakořenění pokyny pro některé své modely. Telefony Google Nexus mají proces zakořenění dokumentu pomocí příkazu fastboot oem unlock.

kořenový uživatelský účet

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *