Tämä sivu kertoo root pääkäyttäjätilistä Linuxissa, puhelimien ja muiden laitteiden tonkimisesta ja kertoo lyhyesti, miten pääkäyttäjän käyttöoikeuksia ja muita etuoikeutettuja käyttöoikeuksia voi hallita.
mikä on Juurenkäyttäjä?
Root on superuser-tili Unixissa ja Linuxissa. Se on käyttäjätili hallinnollisiin tarkoituksiin, ja sillä on tyypillisesti korkeimmat käyttöoikeudet järjestelmässä.
yleensä root-käyttäjätiliä kutsutaan nimellä root. Unixissa ja Linuxissa mikä tahansa käyttäjätunnuksella 0 varustettu tili on kuitenkin root-tili nimestä riippumatta. On melko yleistä, että tietyt järjestelmän ylläpitäjät ovat omia root tilejä järjestelmään, omat salasanat.
etuoikeutettujen Tilien hallinta
etuoikeutettujen tilien hallinta tarkoittaa etuoikeutettujen tilien, myös juuritilien, käyttöoikeuksien hallintaa. Etuoikeutettujen käyttöoikeuksien hallintatyökalujen käyttöönotto on tärkeää organisaatioille, koska juuritilit ovat niin tehokkaita. Suurin osa verkkorikollisuudesta on sisäisten toimijoiden, kuten järjestelmän ylläpitäjien, tekemiä. Vastuuvelvollisuuden saaminen tekemisiinsä on tärkeää sisäpiiririkosten ja petosten estämiseksi. Lisäksi monet kyberturvallisuusmääräykset ja parhaat käytännöt edellyttävät etuoikeutettujen käyttöoikeuksien hallintatyökalujen käyttöönottoa.
etuoikeutettujen käyttöoikeuksien hallintatyökalut mahdollistavat kirjaamisen ja käytön seurannan. Tyypillisesti jokainen root login ja jokainen komento suoritetaan root on kirjautunut.
etuoikeutettujen tilien salasanoja ei saa koskaan jakaa. Jaettuja salasanoja käytetään paljon todennäköisemmin väärin, niiden salasanat pysyvät yleensä muuttumattomina pitkiä aikoja ja vuotavat usein, kun työntekijät vaihtavat työpaikkaa. Myös, koska ne eivät ole kenenkään henkilökohtainen vastuu ja lajitella fo yleistä tietoa keskuudessa ikäisensä, ne eivät yleensä saa yhtä paljon huolellisuutta kuin henkilökohtaisia tilejä, ja ne usein sähköpostitse tai kirjoitettu muistiinpanoja, tiedostoja ja salasanojen hallinta.
root-käyttäjätili on eräänlainen etuoikeutettu tili. Muita etuoikeutettuja tilejä ovat palvelutilit ja järjestelmätilit.
Windowsissa on pääkäyttäjätilien sijaan paikalliset Järjestelmänvalvoja-ja toimialueen järjestelmänvalvoja-tilit.
pääkäyttäjätili on yleisnimitys pääkäyttäjätileille, Windowsin järjestelmänvalvojatileille ja muille vastaaville tileille, joilla on yleensä rajattomat oikeudet järjestelmissä.
käyttämällä SUDO-ja muita työkaluja Juuritilien tarpeen poistamiseen
– työkaluja, kuten sudo, voidaan antaa valituille käyttäjille mahdollisuus suorittaa valittuja komentoja pääkäyttäjinä. Kaikki etuoikeutettujen käyttöoikeuksien hallintatyökalut tarjoavat myös tämän kyvyn. Kaikki nämä työkalut voivat myös kirjautua komennot suoritetaan root antaa tilivelvollisuutta osaksi mitä tehdään root.
Root Access
Root access tarkoittaa jonkin suorittamista root-oikeuksien avulla. Linux-pohjaisissa järjestelmissä tämä tarkoittaa sitä, että voi tehdä jotain käyttäjätunnuksella 0 eli root.
pääkäyttäjän käyttö tarkoittaa yleensä sitä, että pystyy kirjautumaan jollekin pääkäyttäjän tilille palvelimella tai pystyy suorittamaan komentoja pääkäyttäjänä palvelimella, esimerkiksi käyttämällä jotain etuoikeuksien laajennustyökalua, kuten sudo.
Juurioikeudet
juuritilillä on juurioikeudet. Tämä tarkoittaa, että se voi lukea ja kirjoittaa mitä tahansa tiedostoja järjestelmässä, suorittaa toimintoja kuin kuka tahansa käyttäjä, muuttaa järjestelmän kokoonpanoa, asentaa ja poistaa ohjelmistoja sekä päivittää käyttöjärjestelmää ja/tai firmwarea. Pohjimmiltaan, se voi tehdä melko paljon mitä tahansa järjestelmän.
on yleensä suotavaa käyttää erityisiä palvelutilejä sovellusten ajamiseen ja erilaisten käyttöjärjestelmien alijärjestelmien hallintaan. Root-tilin käyttö olisi rajoitettava ehdottomaan vähimmäismäärään ihmisiä ja käyttötarkoituksia.
SELinux ja muut tavat rajoittaa Juurioikeuksia
Juuritilit ovat hyvin tehokkaita, ja ne voivat tehdä tietokoneella melkein mitä tahansa. Eri käyttöjärjestelmissä on mekanismeja, joilla voidaan rajoittaa sitä, mitä juuritilit voivat tehdä. Tällaisia järjestelmiä käytetään pääasiassa turvallisuusherkissä yrityksissä, joilla on omat turvallisuusryhmät sekä tietyt sotilaalliset ja valtiolliset organisaatiot.
SELinux on suosittu työkalu rajoittamaan sitä, mitä root-nimellä kulkevat prosessit voivat tehdä. Se on ensisijaisesti suunnattu rajoittamaan altistumista haavoittuvuuksille palvelinprosesseissa (kuten www-palvelimissa). Ylläpitäjän komentotulkki on kuitenkin vain normaali ohjelma, ja SELinuxia voi käyttää myös rajoittamaan sitä, mitä komentotulkilta voi tehdä.
SELinuxia käytetään myös usein hankaloittamaan pakenemista konteista.
SELinux on oletusarvoisesti mukana ja käytössä Red Hat Enterprise Linuxissa ja CentOS Linuxissa. Näissä järjestelmissä, jos root ei voi käyttää tiedostoa tai suorittaa toimintoa, yleisin syy on se, että SELinux-käytäntö estää toiminnon.
Apparmor on toinen SELinuxin kaltainen työkalu.
monitasoista tietoturvaa hyödyntävissä järjestelmissä ei välttämättä ole juuritiliä tai sen käyttöoikeuksia voidaan rajoittaa ankarasti. Tällaisia järjestelmiä käytetään kuitenkin harvoin luokiteltujen sotilasympäristöjen ulkopuolella.
FreeBSD-käyttöjärjestelmässä on tiedostolippuja, jotka on asetettu käyttäen chflags – komentoa, jolla voidaan estää jopa root suorittamasta tiettyjä toimintoja tiedostoissa.
Root-käyttäjä Macilla
Apple Macilla on myös root-tili. Oletuksena sitä käytetään vain sisäisesti. Jos haluat ottaa pääkäyttäjän tilin käyttöön kirjautumisessa, noudata näitä ohjeita.
SSH: n käyttöoikeutta Root-tiliin
SSH: ta (Secure Shell) käytetään usein kirjautumiseen etäpalvelimille root-nimellä. OpenSSH: n oletusasetukset kuitenkin estävät root-kirjautumisen salasanoilla. Jos haluat ottaa pääkäyttäjän kirjautumisen käyttöön, muuta permitrootlogin-asetusvaihtoehdon arvoa kohdassa /ssh / sshd_config.
Set-user-id-Liput suoritettavissa tiedostoissa
yksi asia, jonka järjestelmän ylläpitäjien ja tarkastajien tulisi tietää on, että Linuxissa ja Unixissa ohjelmia voidaan ajaa tietyn käyttäjätunnuksen avulla vaihtamalla suoritustiedoston omistaja kyseiselle käyttäjälle ja asettamalla setuid bitti tiedoston käyttöoikeuksissa. Esimerkiksi chown rootexecutable && chmod 4755 executable asettaa suoritustiedoston suoritettavaksi pääkäyttäjänä riippumatta siitä, kuka sen suorittaa. On tavallista, että (noviisi) hakkerit piilottavat takaovia järjestelmiin luomalla sopivan suoritustiedoston setuid bittijoukko. Tätä skannataan usein perusturvaskannauksissa.
yhden käyttäjän tila ja kadonneiden pääkäyttäjän salasanojen palauttaminen
yhden käyttäjän tila on erikoistila, johon Linux -, Unix-ja Mac-tietokoneet voidaan käynnistää. Yhden käyttäjän tilaan käynnistäminen vaatii yleensä fyysisen pääsyn tietokoneeseen, ja sitä käytetään tyypillisesti juurisalasanan palauttamiseen, jos se on kadonnut tai käyttöjärjestelmän korjaamiseen tai tietojen palauttamiseen joidenkin katastrofaalisten vikojen tai korruption sattuessa.
Varo, että hyökkääjät voivat käyttää Intel AMT firmware-haavoittuvuutta käynnistääkseen järjestelmät yhden käyttäjän tilaan. Siksi on tärkeää varmistaa, että BIOS-firmware on päivitetty kaikilla Intel-palvelimilla, joissa on Intel Active Management Technology (Amt) käytössä.
jotkin käyttöjärjestelmät voidaan konfiguroida vaatimaan pääkäyttäjän salasanaa käynnistyäkseen yhden käyttäjän tilassa. Näissä järjestelmissä on erityisen tärkeää, että root-tilin salasana tallennetaan turvallisesti esimerkiksi kassakaappiin.
niin kauan kuin levyn salausta ei käytetä, on yleensä mahdollista palauttaa järjestelmä, jossa pääkäyttäjän salasana on kadonnut poistamalla levy tietokoneelta, liittämällä se toiseen tietokoneeseen toisena levynä, asentamalla se sinne ja muokkaamalla sitten asennetun levyn salasanatiedosto pääkäyttäjän salasanan tyhjentämiseksi (esim.muokkaa /mnt/etc/shadow ja kopioi pääkäyttäjän salattu salasana joltain toiselta tililtä, mahdollisesti toiselta tietokoneelta, jolla on sama käyttöjärjestelmä).
Jos käytetään levyn salausta ja levyn salaussalasana on tiedossa, saattaa levy silti olla mahdollista asentaa toiseen tietokoneeseen (antamalla salasana sopivilla työkaluilla, kuten cryptsetup).
Jos levyn salausavain on kadonnut, voi Järjestelmän palauttaminen olla mahdotonta. Paras vaihtoehto tässä tapauksessa on todennäköisesti asentaa käyttöjärjestelmä uudelleen ja palauttaa sen tiedot varmuuskopiosta.
juurtuneet laitteet
juurtuminen voi viitata myös rajoitetuilla laitteilla, kuten iPhoneilla, iPadeilla, Android-puhelimilla ja tableteilla, toimiville sovelluksille normaalisti sallittujen oikeuksien karkaamiseen. Perusidea on antaa puhelimeen pääkäyttäjän käyttöoikeus, jolloin voi asentaa mielivaltaisia sovelluksia, muuttaa laitteen asetuksia tai asentaa oman käyttöjärjestelmän.
huomaa, että Tonkia laite ei tue valmistaja, yleensä hyödyntää paperittomia haavoittuvuuksia käyttöjärjestelmissä, ja ei ole takeita laadusta Tonkia työkaluja tai motivaatioita ihmisiä niiden takana. KÄYTÄ NIITÄ OMALLA VASTUULLASI! Ne voivat mitätöidä takuusi, tehdä laitteesi käyttökelvottomaksi tai vaarantaa tietosi.
myyjät paikkaavat usein tietoturva-aukkoja, joita juurtuvat työkalut hyödyntävät. Siten, työkalut ovat hyvin versiokohtaisia. Kun laitteesta tai sen käyttöjärjestelmästä ilmestyy uusi versio, Vanhat työkalut saattavat lakata toimimasta. Tämän vuoksi nykytilanne muuttuu nopeasti, ja vanhat artikkelit juurruttamisesta saattavat olla vanhentuneita.
jokainen juurtuvat työkalupakki on erilainen. Jotkut juurtuvat järjestelmät vaativat puhelimen liitettäväksi tietokoneisiin; toiset ovat sovelluksia suoritetaan laitteessa. Jotkut saattavat jopa toimia langattomasti hyödyntäen puhelimien haavoittuvuuksia. Viimeisen menetelmän tarvitsemia haavoittuvuuksia voidaan kuitenkin käyttää myös haittaohjelmien istuttamiseen, ja manufactures paikaa tällaiset haavoittuvuudet mahdollisimman nopeasti.
on olemassa myös Wikipedian artikkeli juurruttamisesta, jossa kerrotaan, mistä on kyse.
juurtuminen voi myös auttaa vapauttamaan tallennustilaa laitteessa. Katso Top kuusi tapaa vapauttaa tallennustilaa Android-laitteen.
haittaohjelma saattaa myös käyttää samoja tekniikoita kuin juurtumisohjelmisto. Katso 10 miljoonaa Android-puhelimet tartunnan tehokas automaattinen juurtuvat Sovellukset.
vaikka juurtuminen on laillista useimmissa maissa, se voi olla laitonta toisissa maissa. Yhdysvaltain Digital Millenium Copyright Act (DMCA) – laissa on ilmeisesti sen salliva poikkeuslupa. Euroopan tekijänoikeusdirektiivi sallii ilmeisesti juurruttamisen vaihtoehtoisten ohjelmistojen asentamista varten. Jos laillisuus on ongelma omassa maassasi, kannattaa hakea oma lakimies.
kuinka juurruttaa iPhone / iPad?
Applen maailmassa iPhone -, iPad-ja muiden laitteiden iOS-käyttöjärjestelmän tonkimista kutsutaan yleensä jailbreakingiksi.
-
onko iPhonen tai iPadin murtaminen turvallista?
-
miten karkaaminen iPhonella tai iPadilla iOS 10: ssä tai iOS 9: ssä
5 syytä karkaamiseen iPhonella – ja 5 syytä ei
miten karkaaminen iPhonella: aina ajan tasalla oleva opas
Jailbreak iPhone: Kaikki mitä sinun tarvitsee tietää
Jailbreak Guide
Jailbreak iPhone Wiki
iOS Jailbreaking Wikipedia
miten Android juurrutetaan?
Android-laitteen juurtumiseen tarkoitettuja työkaluja ovat:
Kingo Roo
CF-Auto-Root
Towelroot
Framaroot
Oneclickroot
dr.fone toolkit
näistä artikkeleista voi saada taustatietoa:
kaikki mitä sinun tarvitsee tietää Androidisi juurruttamisesta
15 parasta juurisovellusta Androidille
miten juurruttaa mikä tahansa laite
miten juurruttaa Android-puhelin
muutamat valmistajat, kuten LG, HTC ja Motorola, ovat julkaisseet viralliset juurtumisohjeet joillekin malleilleen. Googlen Nexus-puhelimissa on dokumentin juurtumisprosessi käyttäen fastboot oem unlock – komentoa.