Instalé Ubuntu en mi PC. Para iniciar sesión, utilizo el nombre de usuario y la contraseña que creé durante la instalación. ¿Esto significa que soy un usuario root? En caso afirmativo, ¿cómo me convierto en no root? Parece que el usuario no root es más seguro que el usuario administrador.
sudo
root
users
privileges
administrator
Nombre Apellido
fuente
fuente
sudo
. En términos más generales, un administrador (o usuario autorizado) X puede ejecutarsecommand...
como Y consudo -u Y command...
. En Windows Vista y versiones posteriores, con UAC activado , los usuarios con poderes administrativos ejecutan programas sin ellos , excepto cuando autorizan explícitamente que un programa herede sus capacidades. Ejecutar como administrador aparece cuando UAC está activado (o para usuarios limitados).Respuestas:
Eres un administrador, pero no
root
. Elroot
usuario puede hacer cualquier cosa. Los administradores pueden realizar acciones comoroot
, pero normalmente lo que hacen los administradores no lo haceroot
. De esa manera, tiene control total sobre su propio sistema, pero solo cuando elige usarlo.Ubuntu te pide tu contraseña cuando intentas hacer cosas
root
para asegurarte de que realmente eres tú.Cuentas de usuario: humanas y de otro tipo
Los usuarios humanos reales tienen cuentas de usuario para representarlos. Creó una de esas cuentas cuando instaló Ubuntu. Pero no todas las cuentas de usuario representan usuarios humanos reales .
A los usuarios humanos reales se les otorgan (y niegan) habilidades a través de sus cuentas de usuario. Deben usar sus cuentas de usuario para usar el sistema; por lo tanto, las capacidades y limitaciones de sus cuentas de usuario se aplican a ellos.
Las cuentas de usuario también se utilizan para codificar conjuntos de habilidades y limitaciones. Algunas cuentas de usuario, la mayoría, en realidad, a menos que tenga muchos usuarios humanos de la máquina, existen para que ciertos programas o comandos se puedan ejecutar con su identidad, una identidad con las capacidades y limitaciones adecuadas para el trabajo.
Por ejemplo, el
www-data
usuario existe de modo que si ejecuta un servidor web, es el propietario de los datos que el servidor hace accesibles. Ningún usuario humano real tiene que estar facultado para realizar cambios no controlados en esos datos, y el servidor web no tiene que estar capacitado para realizar ninguna acción innecesaria para servir a la web. En consecuencia, tanto los datos web como el resto del sistema son más seguros contra roturas accidentales o intencionales, que si el servidor web fuera ejecutado por algún usuario humano que tuviera todos los poderes del servidor web (y cuyos poderes tendría el servidor web poseer).La cuenta de usuario no humano más importante
El superusuario , cuyo nombre de usuario es
root
, es una cuenta de usuario no humano con una combinación muy específica de habilidades y limitaciones: todas las habilidades y sin limitaciones .root
Se le permite hacer cualquier cosa. Todavía hay cosasroot
que no se pueden hacer porque el sistema en sí no puede funcionar o no tiene sentido. Porroot
lo tanto , no puede matar un proceso que está en un sueño ininterrumpido , o hacer que una roca sea demasiado pesada para moverla, luego muévala .Muchos procesos importantes del sistema, como
init
, se ejecutan comoroot
, yroot
se utilizan para realizar tareas administrativas.¿Puedo iniciar sesión como
root
?Es posible configurar la
root
cuenta para que sea posible iniciar sesión con una contraseña, pero esto no está habilitado de manera predeterminada en Ubuntu. En su lugar, se puede pensar enroot
como siendo comowww-data
,lp
,nobody
, y otras cuentas no humanos. (Correcat /etc/passwd
ogetent passwd
para verlos a todos).Los usuarios humanos inician sesión con sus propias cuentas de usuario, y luego, si alguna tarea se va a realizar con otra cuenta de usuario, hacen que esa tarea se realice con esa identidad , sin haber iniciado sesión como ese usuario.
Es posible configurar los otros usuarios no humanos, por ejemplo
www-data
, para que uno pueda iniciar sesión como ellos también. Sin embargo, eso es bastante raro, mientras que en algunos otros sistemas operativos tipo Unix es común iniciar sesión comoroot
en un terminal . Los riesgos de funcionamiento de una interfaz gráfica de conjunto comoroot
, en combinación con el número de programas gráficos no están diseñados para funcionar comoroot
y puede no funcionar correctamente, significa que nunca se debe intentar obtener unaroot
completa propiedad sesión de escritorio .Tenga en cuenta que mientras inicia sesión como
root
está deshabilitado de forma predeterminada en Ubuntu, hay formas de obtener unroot
shell sin autenticar comoroot
, lo que produce un efecto similar: los más comunes sonsudo -s
o-i
, modo de recuperación y técnicas similares . (No se preocupe si no sabe cuáles son esas cosas). En realidad, esto no es iniciar sesión: en el modo de recuperación, se convierteroot
antes de que ocurra cualquier inicio de sesión; con lossudo
métodos basados, solo estás ejecutando un shell como root.Administradores
En Ubuntu, los administradores son los usuarios que pueden hacer lo que quieran
root
, cuando elijan hacerlo .Configuración del sistema> Cuentas de usuario. "Eliah Kagan" es un administrador, por lo que puede hacer cosas como
root
, pero no lo esroot
.Soy administrador en mi sistema Ubuntu. Cuando ejecuto programas, normalmente se ejecutan como
ek
("Eliah Kagan" es el nombre completo que corresponde alek
nombre de usuario).Cuando ejecuto AbiWord o LibreOffice, se ejecuta como
ek
. Cuando ejecuto Firefox, Chromium, Empathy o Pidgin, se ejecuta comoek
. Los programas que se ejecutan para proporcionar la interfaz de escritorio se ejecutan comoek
.Sin embargo, soy administrador, así que si necesito realizar una tarea administrativa, puedo hacerlo.
sudo
En la línea de comando, normalmente lo usaría
sudo
para ejecutar un comando comoroot
:Esto me pedirá mi contraseña. (No
root
es la contraseña;root
no tiene una).root
. En la configuración predeterminada, debo ingresar mi contraseña para hacer esto.root
, incluso poniendo su contraseña.sudo
los comandos fallarán si el usuario que los ejecuta no es un administrador.Debido a que los administradores son usuarios perfectamente normales, excepto por la capacidad de realizar acciones como
root
, ejecutar un comando que requieraroot
privilegios seguirá fallando, excepto cuando el comando se ejecuta comoroot
.Captura de pantalla que ilustra la necesidad de usar
sudo
para realizar tareas administrativas. (Basado en "Sandwich" de Randall Munroe ).sudo, gráficamente
Los programas gráficos pueden ejecutarse a
root
través de interfaces gráficas parasudo
, comogksu
/gksudo
ykdesudo
. Por ejemplo, para ejecutar GParted comoroot
podría ejecutargksudo gparted
. Entonces se me solicitaría gráficamente mi contraseña.Como se me solicita gráficamente, no tiene que haber una terminal. Esta es una de las formas en que se ejecutan las herramientas administrativas
root
.Polkit
Polkit (una vez conocido como PolicyKit) es otra forma para que los administradores hagan las cosas como
root
. Un programa accede a un servicio que realiza la acción. A veces, la acción ejecuta un programa completo; a veces la acción es más limitada.En estos días, muchas utilidades de administración de sistemas gráficos están configuradas para usar polkit por defecto, en lugar de usar
sudo
.Un ejemplo de tal utilidad es el Centro de software. Aprovecha al máximo Polkit, ya que requiere que el usuario ingrese su contraseña solo cuando quiere hacer algo que requiera
root
privilegios. (Esto también es posible con lasudo
autenticación basada en, pero es más difícil y más feo de lograr).En el Centro de software, puedo encontrar y leer sobre una aplicación; entonces me piden mi contraseña cuando quiero instalarla.
Cómo es diferente el polkit
Cualquier programa gráfico se puede ejecutar como
root
congksudo
y otras interfaces gráficassudo
. (Es posible que el programa no funcione muy bien, dependiendo de si está diseñado o no para usarse como talroot
. Pero el comando para iniciar el programa se ejecutará comoroot
).Si bien polkit ahora es más común que las
sudo
interfaces de usuario GUI, ya que la forma en que las aplicaciones en Ubuntu realizan acciones comoroot
detrás de escena, polki solo ejecutará una aplicación gráfica comoroot
si hubiera un archivo de configuración que lo permita e indique qué acciones se pueden realizar .Polkit, no gráficamente
pkexec
es el comando utilizado para ejecutar un programa con polkit.Al igual que
sudo
,pkexec
puede ejecutar comandos no gráficos. (Y no requiere un archivo de configuración que defina las capacidades del comando, simplemente ejecuta el comando comoroot
).pkexec
solicita una contraseña gráficamente, incluso si se ejecuta desde una Terminal (esta es una de las formas en que su comportamiento es más similargksudo
a la ejecución directasudo
).(Si no hay GUI, por ejemplo, si ha iniciado sesión desde una consola virtual o una sesión SSH de solo texto , o la GUI no funciona correctamente, entonces
pkexec
se degradará con gracia y le pedirá su contraseña en la línea de comandos .)Una vez que la autenticación se realiza con éxito, el comando se ejecuta en la terminal.
Ejecución de comandos como otros usuarios además
root
root
es especial porque puede hacer cualquier cosa que se pueda hacer. Pero es una cuenta de usuario como cualquier cuenta, y las formas de ejecutar comandos comoroot
consudo
(directamente o con una interfaz gráfica) o polkit se pueden modificar ligeramente para ejecutar un comando como cualquier otro usuario:¿Qué? ¿Solo escribes
sudo
primero? ¿Cómo es esa seguridad?Ejecutar comandos con
sudo
es algo así como invocar la infalibilidad papal .Cuando ejecuta un comando con
sudo
[invocar la infalibilidad papal] , Ubuntu [gente católica] se esfuerza por asegurarse de que realmente sea usted [realmente el Papa].Sí, sé que la infalibilidad papal (incluso cuando es normativa) es declarativa; El paralelo no es perfecto.
Tratar de hacer algo como
root
consudo
(o polkit) es un gran problema: Ubuntu no solo dejará pasar eso como todas las otras veces que ejecutas un programa.Se le solicita su contraseña. (Entonces, lo que ha hecho se recuerda por un corto tiempo, por lo que no tiene que ingresar constantemente su contraseña mientras administra su sistema).
Además de recordarle que tenga cuidado , esto protege contra dos escenarios:
root
(que incluye todo lo instalado por el administrador de paquetes, como LibreOffice), o alterar el sistema a un nivel profundo.He oído hablar de
su
. ¿Que es eso? ¿Puedo usar eso?su
se autentica como otro usuario y ejecuta un comando (o inicia un shell interactivo). Es posible limitar a quién se le permite usarsu
, pero sesu
autentica con la contraseña de la cuenta de destino , no con la contraseña del usuario en ejecución.Por ejemplo, se ejecuta como nombre de usuario , al igual que .
su username -c 'command...'
command...
sudo -u username command...
Pero cuando ejecuta un comando como
username
consudo
, ingresa su contraseña . Cuando ejecuta un comando comousername
consu
, ingresausername
la contraseña .Dado que
su
realiza la autenticación para el usuario objetivo ,su
solo puede ejecutar comandos como usuarios cuyas cuentas están habilitadas .La
root
cuenta (me gustawww-data
ynobody
) está deshabilitada de manera predeterminada. No hay una contraseña que funcione para iniciar sesión comoroot
. Por lo tanto, no puede usarsu
para ejecutar comandos comoroot
.Usted puede utilizar
su
para ejecutar comandos como otro usuario que puede conectarse (que normalmente incluye todas las cuentas de usuario en el sistema que representan los seres humanos).Cuando inicias sesión como invitado, no puedes usarlo
su
en absoluto.Combinando
su
ysudo
Alguien que no es administrador puede incluso usar
su
para corrersudo
como administrador. (Esto está bien, sin embargo, ya que necesitan la contraseña del administrador para ejecutar comandos como administrador.) Es decir, un usuario limitado puede utilizarsu
para funcionarsudo
para ejecutar un comando comoroot
. Esto puede verse así:(Ejecutar programas gráficos de esta manera requiere un cuidado especial ).
¿No
su
sería una forma más segura de ejecutar comandos comoroot
?Probablemente no.
¿Qué pasa si no se debe permitir que un usuario actúe
root
?Conviértalos en un usuario limitado en lugar de un administrador.
¿Qué sucede si un programa que se ejecuta como administrador intenta
sudo
hacerloroot
?A menos que haya reconfigurado
sudo
para permitir que tenga éxito sin una contraseña, fallará.¿No puede un programa que no debería ejecutarse como
root
piggyback en unsudo
comando reciente , por lo que no se requiere contraseña?Es muy poco probable que esto tenga éxito. En la actualidad, la mayoría de los sistemas operativos (incluido Ubuntu) se han
sudo
configurado de manera predeterminada para que sus marcas de tiempo solo se apliquen en un contexto específico.Por ejemplo, si ejecuto
sudo ...
en una pestaña Terminal y me autentico con éxito,sudo
en otra pestaña (o ejecutada por un programa GUI no relacionado, o que ejecuto desde una consola virtual o sesión SSH) aún solicitará una contraseña. Incluso si se ejecuta inmediatamente después.¿Un programa que se ejecuta como usuario X no tiene acceso a la contraseña del usuario X?
No.
Si un programa malicioso puede ejecutarse como administrador, ¿no puede "escuchar" lo que se escribe cuando el administrador se autentica con
sudo
o polkit?Potencialmente sí. Pero luego podría "escuchar" una contraseña ingresada
su
.Si le digo a alguien mi contraseña
No le digas a la gente tu contraseña.
¿Qué sucede si alguien tiene que conocer mi contraseña para hacer algo en mi nombre, pero no quiero permitir que administre el sistema?
Idealmente, deberían tener una cuenta de usuario separada que les permita hacer lo que necesitan hacer. Por ejemplo, puede compartir archivos entre cuentas, lo que permite que varios usuarios escriban en ellos, al tiempo que niega el acceso a otros usuarios.
Sin embargo, en una situación en la que a una persona menos confiable se le permita compartir su cuenta, debe ser una cuenta de usuario limitada. Puede crear una cuenta separada para este propósito (lo cual tiene sentido; si es una cuenta para usted y para otra persona que desea que tenga diferentes capacidades, debería ser una cuenta diferente).
Por lo tanto, sería lo más seguro es no permitir tanto
sudo
ysu
Y la gente se inicie la sesión comoroot
, de forma manual?No, porque existen serias desventajas asociadas con permitir que las personas inicien sesión como
root
siempre. Siempre que sea posible, se debe realizar el menor número de acciones posibleroot
. Incluso la mayoría de los actos relacionados directamente con la administración de un sistema (por ejemplo, ver qué usuarios están configurados y leer registros) generalmente no requierenroot
privilegios.También, así como potencialmente un programa malicioso podría mirar lo que alguien escribe cuando se ejecutan
sudo
osu
, o crean una falsasudo
/su
contraseña del sistema, potencialmente un programa malicioso podría crear una pantalla de inicio de sesión falsa, también.¿Qué hace que un usuario sea administrador?
Membresía de grupo.
En Ubuntu 12.04 y posterior , los administradores son miembros del grupo llamado
sudo
.En Ubuntu 11.10 y versiones anteriores , los administradores son miembros del grupo llamado
admin
.Cuando un sistema Ubuntu anterior a 12.04 se actualiza a 12.04 o posterior, el
admin
grupo se mantiene por compatibilidad con versiones anteriores (y continúa otorgando poder administrativo a los usuarios), pero elsudo
grupo también se usa.Cuentas de usuario limitadas
¿Puedo usar una cuenta de usuario limitada en lugar de una cuenta de administrador?
Si te gusta, claro. Cree una cuenta de usuario limitada en Configuración del sistema > Cuentas de usuario e inicie sesión como ese usuario.
¿Puedo hacer que mi cuenta de administrador sea una cuenta de usuario limitada?
Sí, simplemente elimínelo de los grupos
sudo
yadmin
(ver arriba).Pero debe asegurarse de que haya al menos otra cuenta de administrador, para poder administrar su sistema. Si no lo hay, entonces tendría que iniciar el modo de recuperación o un CD en vivo y volver a hacer que algún usuario sea administrador . (Esto es similar a restablecer una contraseña de administrador perdida ).
Las herramientas gráficas para administrar usuarios y grupos generalmente le impedirán crear un sistema sin administradores, o al menos lo advertirán. Las herramientas de línea de comando generalmente no lo harán (confiando en que sabes lo que estás haciendo).
fuente
root
cualquier cosa" consudo
y PolicyKit. Un administrador podría incluso habilitar laroot
cuenta e iniciar sesión. Si abstrae una cuenta de usuario como una combinación de acciones mecanicistas y conscientes, los usuarios humanos tienen usuarios tanto humanos como no humanos, incluida laroot
acción puramente mecanicista. Si entiendes cómo funciona todo, entonces si tu analogía refuerza eso, ¡genial! Pero no creo que realmente capture la relación raíz-administrador.root
Batman. La diferencia es completamente una cuestión de identidad construida. Bruce Wayne puede convertirse en Batman cuando quiera y hacer casi cualquier cosa, pero siempre será Bruce Wayne bajo la máscara. Aún así, Batman es más quien realmente es: el personaje de Bruce Wayne es una invención que lo protege de las consecuencias de ser Batman. Al presentarse como Wayne en la vida cotidiana, a menudo puede protegerse a sí mismo y a sus seres queridos de sus propios errores, fallas en el sistema y el malware de Gotham City.No hay tal cosa como una pregunta tonta;)
Espero que esto aclare un poco las cosas:
En Ubuntu, se pueden crear dos tipos diferentes de cuentas de usuario: cuentas estándar y cuentas de administrador . La diferencia entre los dos: una cuenta estándar no puede realizar cambios importantes en su sistema al obtener acceso de root, mientras que una cuenta de administrador puede usar su contraseña para realizar cambios como usuario root. El usuario raíz es uno de los muchos usuarios que el sistema ha creado y que normalmente no ve ni nota, y no puede iniciar sesión como tal (de forma predeterminada, de todos modos). Si ha iniciado sesión en una cuenta de tipo administrador, puede convertirse en este usuario raíz con el
sudo
en un terminal, y puede escribir su contraseña para instalar el software, realizar cambios en el sistema, etc. Si ha iniciado sesión como usuario estándar, no puede hacer nada de eso.fuente
sudo
En todos los sistemas Linux Para realizar cualquier cambio en el sistema, debemos estar autenticados como usuario root y, además de aplicar todos los cambios, debemos ser usuarios root.
Los usuarios normales no pueden aplicar los cambios en todo el sistema. Esta es la ventaja con Linux en comparación con las ventanas.
Si se realiza algún ataque, eso solo se originará en esa área en el sistema Linux / Unix porque ataca o modifica las áreas restantes. Necesita permisos de root, pero en Windows si un lugar fue atacado significa que todo el sistema se verá afectado.
Es por eso que solo en muchas preguntas, si algún usuario no solicita una contraseña de root, lo advertiremos, ya que esto no se recomienda en circunstancias de seguridad y dejaremos la elección a ellos.
Si desea convertirse en un usuario root, sudo puede ayudarlo.
Si desea iniciar la aplicación como usuario root, puede sudo.
Siempre es mejor ejecutar el sistema como usuario no root.
fuente
La cuenta creada durante la instalación es una cuenta de administrador .
En Ubuntu, la cuenta raíz no tiene contraseña y, como consecuencia, no puede iniciar sesión como
root
usuario. Hay formas de evitar esto, pero esta es la configuración predeterminada.Una cuenta de administrador en Ubuntu significa que el usuario se agrega al grupo
sudo
, lo que hace que la cuenta sea elegible para obtener previlegios temporalmente usando elsudo
comando. PolicyKit puede solicitar la escalada de privilegios solicitando la contraseña de 'Administrador'. (Debe seleccionar un usuario administrador y proporcionar la contraseña de esa cuenta).Para confirmar que estos son ciertos:
Abra una terminal e intente actualizar el índice del paquete de software.
apt-get update
es el comando utilizado para hacerlo y esto requiere que se ejecute como root. Funciona solo cuando inicia sesión como root o lo ejecuta como root utilizando escalamientos de privilegios. Un administrador puede ejecutarsudo apt-get update
autenticándose en elsudo
mecanismo que permite que los comandos se ejecuten como cualquier usuario. Un usuario estándar no podrá hacer esto.Abra cuentas de usuario desde la configuración del sistema e intente agregar un nuevo usuario. El mecanismo de protección utilizado allí es el PolicyKit. Los administradores podrán autenticar y escalar privilegios, pero los usuarios estándar serán bloqueados. Se requiere una contraseña de 'administrador' para continuar.
Así es como verifica si su cuenta es administrador o no:
Administrator
debajo del nombre de la cuenta en ambos paneles para cuentas de administrador yStandard
para usuarios normales.fuente
No.
el usuario con el que inicia sesión en Ubuntu no es el usuario administrador (el usuario administrador en la terminología de Linux se llama root)
fuente
root
consudo
PolicyKit).sudo
el acceso puede estar limitado por el programa que está intentando ejecutar como root, lo que lo hace mucho más confuso.root
consudo
, eso es irrelevante. Los administradores pueden ejecutar cualquier comando comoroot
consudo
. Por defecto, ningún otro puede ejecutar ningún comando comoroot
(o cualquier otro usuario) consudo
. Además,sudo
es solo un mecanismo para realizar acciones como root: en la actualidad, lo que la gente tiende a pensarsudo
es en realidad PolicyKit.