această pagină este despreroot
contul superuser în Linux, despre înrădăcinarea telefoanelor și a altor dispozitive și explică pe scurt modul de gestionare a accesului root și a altor acces privilegiat.
ce este un utilizator Root?
Root este contul superuser în Unix și Linux. Este un cont de utilizator în scopuri administrative și are de obicei cele mai mari drepturi de acces pe sistem.
De obicei, contul de utilizator rădăcină se numeșteroot
. Cu toate acestea, în Unix și Linux, orice cont cu user id 0 este un cont root, indiferent de nume. Este destul de comun pentru anumite sistemeadministratorii să aibă propriile conturi root pe un sistem, cu propriile parole.
Privileged Access Management
Privileged account management se referă la gestionarea accesului la conturi privilegiate, inclusiv conturi root. Implementarea instrumentelor de gestionare a accesului privilegiat este importantă pentru organizații, deoarece conturile root sunt atât de puternice. Majoritatea criminalității informatice sunt comise de actori interni, cum ar fi administratorii de sistem. Obținerea responsabilității în ceea ce fac este importantă pentru descurajarea criminalității și a fraudei din interior. În plus, multe reglementări privind securitatea cibernetică și cele mai bune practici necesită implementarea unor instrumente de gestionare a accesului privilegiat.
instrumentele de gestionare a accesului privilegiat asigură înregistrarea și monitorizarea accesului. De obicei, fiecare autentificare root și fiecare comandă executată ca root este înregistrată.
parolele pentru conturile privilegiate nu ar trebui niciodată partajate. Parolele partajate sunt mult mai susceptibile de a fi utilizate în mod abuziv, parolele lor tind să rămână neschimbate pentru perioade lungi de timp și adesea se scurg atunci când angajații își schimbă locul de muncă. De asemenea, deoarece nu sunt responsabilitatea personală a nimănui și sortează cunoștințele comune între colegi, tind să nu obțină aceeași cantitate de diligență ca și conturile personale și sunt adesea trimise prin e-mail sau scrise în note, fișiere și manageri de parole.
un cont de utilizator root este un fel de cont privilegiat. Alte conturi privilegiate includ conturile de servicii și conturile de sistem.
Windows are conturi de Administrator Local și de administrator de domeniu în loc de conturi root.
un cont superuser este un termen generic pentru conturile root, conturile de administrator Windows și alte conturi similare cu privilegii în general nelimitate pe sisteme.
utilizarea SUDO și a altor instrumente pentru a elimina nevoia de conturi Root
instrumente precum sudo pot fi utilizate pentru a acorda utilizatorilor selectați posibilitatea de a rula comenzile selectate ca root. Toate instrumentele de gestionare a accesului privilegiat oferă, de asemenea, această capacitate. Toate aceste instrumente pot, de asemenea, să înregistreze comenzile efectuate ca root pentru a da responsabilitate în ceea ce se face ca root.
acces Root
acces Root înseamnă a efectua ceva folosind privilegii root. În sistemele bazate pe Linux, aceasta înseamnă să poți face ceva folosind ID-ul de utilizator 0, adică ca root.
a avea acces root înseamnă, în general, să te poți conecta la un cont root pe server sau să poți rula comenzi ca root pe server, de exemplu folosind un instrument de escaladare a privilegiilor, cum ar fisudo
.
privilegii Root
contul root are privilegii root. Aceasta înseamnă că poate citi și scrie orice fișiere din sistem, poate efectua operațiuni ca orice utilizator, poate schimba configurația sistemului, poate instala și elimina software-ul și poate actualiza sistemul de operare și/sau firmware-ul. În esență, poate face aproape orice în sistem.
este de obicei preferabil să se utilizeze conturi de servicii dedicate pentru rularea aplicațiilor și pentru gestionarea diferitelor subsisteme ale sistemului de operare. Accesul la contul root ar trebui să fie limitat la numărul minim absolut de persoane și utilizări.
SELinux și alte modalități de a limita privilegiile Root
conturile Root sunt foarte puternice și pot face aproape orice pe un computer. Diferite sisteme de operare au mecanisme pentru a limita ceea ce pot face conturile root. Astfel de sisteme sunt utilizate în principal în întreprinderile sensibile la securitate, cu echipe de securitate dedicate și cu anumite organizații militare și guvernamentale.SELinux este un instrument popular pentru limitarea proceselor care rulează ca root poate face. Este destinat în primul rând limitării expunerii la vulnerabilități în procesele serverului (cum ar fi serverele web). Cu toate acestea, shell-ul administratorului este doar un program normal, iar SELinux poate fi folosit și pentru a limita ceea ce se poate face din shell.
SELinux este, de asemenea, frecvent utilizat pentru a face evadarea din containere mai dificilă.SELinux este inclus și activat implicit în Red Hat Enterprise Linux și CentOS Linux. Pe aceste sisteme, dacă root nu poate accesa un fișier sau nu poate efectua o operație, cel mai frecvent motiv este că Politica SELinux împiedică operația.Apparmor este un alt instrument similar cu SELinux.
sistemele care utilizează securitatea pe mai multe niveluri nu au neapărat un cont root sau drepturile sale de acces pot fi sever limitate. Cu toate acestea, astfel de sisteme sunt rareori utilizate în afara mediilor militare clasificate.
sistemul de operare FreeBSD are steaguri de fișiere, setate folosind comandachflags
, care poate fi utilizată pentru a împiedica chiar root să efectueze anumite operații pe fișiere.
utilizator Root pe Mac
Apple Mac are, de asemenea, un cont root. În mod implicit, este utilizat numai intern. Pentru a activa contul rădăcină pentru conectări, urmați aceste instrucțiuni.
accesul SSH la contul Root
SSH (Secure Shell) este adesea folosit pentru conectarea la servere la distanță ca root. Cu toate acestea, configurația implicită din OpenSSH împiedică autentificarea root folosind parole. Pentru a activa autentificarea root, modificați valoarea opțiunii de configurare PermitRootLogin în/ssh / sshd_config.
Set-user-ID steaguri pe fișiere executabile
un lucru administratorii de sistem și auditorii ar trebui să știe este că în Linux și Unix, programele pot fi rulate folosind un anumit ID de utilizator prin schimbarea proprietarului executabil pentru acel utilizator, și setareasetuid
bit în permisiunile de fișiere. De exemplu,chown rootexecutable && chmod 4755 executable
setează executabilul să execute ca root, indiferent de cine îl execută. Este obișnuit ca hackerii (începători) să ascundă ușile din spate în sisteme prin crearea unui executabil adecvat cu setul de biți setuid
. Acest lucru este adesea scanat în scanările de securitate de bază.
modul utilizator unic și recuperarea parolelor rădăcină pierdute
modul utilizator unic este un mod special în care computerele Linux, Unix și Mac pot fi pornite. Pornirea în modul utilizator unic necesită în mod normal acces fizic la computer și este de obicei utilizată pentru recuperarea parolei rădăcină dacă a fost pierdută sau fixarea sistemului de operare sau restaurarea datelor în caz de eșec sau corupție catastropică.
aveți grijă că vulnerabilitatea firmware-ului Intel AMT poate fi utilizată de atacatori pentru pornirea sistemelor în modul utilizator unic. Prin urmare, este important să vă asigurați că firmware-ul BIOS a fost actualizat pe orice servere Intel care au Intel Active Management Technology (Amt) activat.
unele sisteme de operare pot fi configurate pentru a solicita parola de root pentru a porni în modul utilizator unic. Cu aceste sisteme, este deosebit de important să aveți parola pentru contul rădăcină stocată în siguranță, de exemplu într-un seif.
atâta timp cât criptarea discului nu este utilizată, este în general posibil să recuperați un sistem în care parola rădăcină a fost pierdută prin scoaterea discului de pe computer, conectarea acestuia la un alt computer ca al doilea disc, montarea acestuia acolo și apoi editarea fișierului de parolă de pe discul montat pentru a șterge parola rădăcină (de exemplu, editați /mnt/etc/shadow
și copiați parola criptată pentru root dintr-un alt cont, posibil de pe un alt computer cu același sistem de operare).
Dacă se utilizează criptarea discului și se cunoaște parola de criptare a discului, este posibil să fie posibilă montarea discului într-un alt computer (prin furnizarea parolei utilizând instrumente adecvate, cum ar ficryptsetup
).
dacă cheia de criptare a discului a fost pierdută, poate fi imposibil să recuperați sistemul. Cea mai bună opțiune în acest caz este probabil să reinstalați sistemul de operare și să restaurați datele sale dintr-o copie de rezervă.
dispozitive înrădăcinate
înrădăcinarea se poate referi și la scăparea privilegiilor permise în mod normal pentru aplicațiile care rulează pe dispozitive restricționate, cum ar fi iPhone, iPad, telefoane Android și tablete. Ideea de bază este să vă oferim acces root pe telefon, astfel încât să puteți instala aplicații arbitrare, să modificați configurația dispozitivului sau să instalați propriul sistem de operare.
rețineți că înrădăcinarea dispozitivului dvs. nu este acceptată de producător, exploatează de obicei vulnerabilități nedocumentate în sistemele de operare și nu există nicio garanție cu privire la calitatea instrumentelor de înrădăcinare sau a motivațiilor persoanelor din spatele lor. FOLOSIȚI-LE PE PROPRIUL RISC! Acestea vă pot anula garanția, pot face dispozitivul inoperabil sau vă pot pune datele în pericol.
vânzătorii de multe ori patch vulnerabilități de securitate care instrumentele de înrădăcinare exploata. Astfel, instrumentele sunt foarte specifice versiunii. Când apare o nouă versiune a dispozitivului sau a sistemului său de operare, este posibil ca instrumentele vechi să nu mai funcționeze. În consecință, starea de artă se schimbă rapid, iar articolele vechi despre înrădăcinare pot fi depășite.
fiecare set de instrumente de înrădăcinare este diferit. Unele sisteme de înrădăcinare necesită un telefon pentru a fi conectat la un Calculatoare; altele sunt aplicații rula pe dispozitiv. Unele pot chiar să funcționeze fără fir, exploatând vulnerabilitățile de pe telefoane. Cu toate acestea, vulnerabilitățile necesare ultimei metode pot fi, de asemenea, utilizate pentru a planta malware, iar astfel de vulnerabilități sunt patch-uri de către producători cât mai repede posibil.
există, de asemenea, un articol Wikipedia despre înrădăcinare care explică despre ce este vorba.
înrădăcinarea poate ajuta, de asemenea, la eliberarea spațiului de stocare pe dispozitiv. A se vedea top șase moduri de a elibera spațiu de stocare de dispozitiv Android.
Malware-ul poate utiliza, de asemenea, aceleași tehnici ca software-ul de înrădăcinare. A se vedea 10 milioane de telefoane Android infectate cu toate-puternic auto-înrădăcinare aplicații.în timp ce înrădăcinarea este legală în majoritatea țărilor, ar putea fi ilegală în altele. Legea privind drepturile de autor Digital Millenium din SUA (DMCA) are aparent o scutire care o permite. Directiva Europeană privind drepturile de autor permite aparent înrădăcinarea în scopul instalării de software alternativ. În cazul în care legalitatea este o problemă în țara dvs., ar trebui să solicitați propriul dvs. consilier juridic.
cum să rădăcină iPhone / iPad?
în lumea Apple, înrădăcinarea sistemului de operare IOS pe iPhone, iPad și alte dispozitive se numește de obicei jailbreaking.
-
este jailbreaking un iPhone sau iPad în condiții de siguranță?
-
5 motive pentru a Jailbreak iPhone-ul – și 5 motive nu
-
cum să jailbreak un iPhone sau iPad în iOS 10 sau iOS 9
-
cum să Jailbreak iPhone: Ghidul mereu Up-to-data
-
jailbreak iPhone: Tot ce trebuie să știți
-
ghid Jailbreak
-
Jailbreak în iPhone Wiki
-
iOS Jailbreaking în Wikipedia
cum să rădăcină Android?
instrumente pentru înrădăcinare un dispozitiv Android includ:
-
Kingo Roo
- CF-Auto-Root
-
Towelroot
-
Framaroot
-
OneClickRoot
-
dr.Fone toolkit
aceste articole pot furniza informații generale:
-
tot ce trebuie să știți despre înrădăcinarea Android
-
15 cele mai bune aplicații root pentru Android
-
cum să rădăcină orice dispozitiv
-
cum să rădăcină telefonul Android
câțiva producători, cum ar LG, HTC și Motorola au publicat instrucțiuni oficiale de înrădăcinare pentru unele dintre modelele lor. Telefoanele Google Nexus au un proces de înrădăcinare a documentelor folosind comanda fastboot oem unlock
.