Адміністративні засоби
Керуючи домашнім комп'ютером, користувач повинен виконувати деякі дії під ім'ям root або отримати привілеї root, за допомогоюsetuid, наприклад sudo або su. Програми setuid — це програми, що працюють з кодом користувача (UID ) власника програми, а не користувача, що їх запускає. У докладному списку файлів ці програми виділяються маленькою літерою s у розділі власника, як показано нижче:
-rwsr-xr-x 1 root root 47324 May 1 08:09 /bin/su
Однак, системні адміністратори організації повинні визначити, які адміністративні права повинні мати користувачі на своїх комп'ютерах. За допомогою PAM-модуля pam_console.so деякі дії, зазвичай дозволені тільки користувачеві root, наприклад, перезавантаження і вилучення знімних пристроїв, можна дозволити першому користувачу, який увійшов на фізичну консоль (зверніться до розділуПідключаються модулі автентифікації (PAM)<2Довідкового посібника Red Hat Enterprise Linux за додатковими відомостями про модуль pam_console.so ). Однак виконання інших важливих адміністративних завдань, таких як зміна параметрів мережі, налаштування нової миші або підключення мережних пристроїв, неможливе без прав адміністратора. Внаслідок цього системні адміністратори повинні вирішити, які адміністративні повноваження мають отримати користувачі їхньої мережі.
Якщо користувачі організації довіряють один одному і розуміються на комп'ютерах, можливо, можна призначити їм права root. Надсилання їх правами root означатиме, що прості операції, такі як додавання пристроїв або налаштування мережевих інтерфейсів, виконуватимуть самі користувачі, звільняючи адміністраторів для вирішення важливих проблем, наприклад мережної безпеки.
З іншого боку, призначення окремимКористувачам прав root може створити, наприклад, такі проблеми:
Неправильне налаштування комп'ютера — Користувачі з правами root можуть неправильно налаштувати свої комп'ютери, після чого їм буде потрібна допомога, або, що ще гірше, можуть створити діри в безпеці, не здогадуючись про це.
Запуск небезпечних служб — Користувачі з правами root можуть запускати на своїх комп'ютерах небезпечні служби, наприклад FTP або Telnet, що ставить під загрозу їхні імена та паролі, які передаються по мережі відкритим текстом.
Запуск поштових вкладень під ім'ям root - Хоча віруси для Linux - рідкість, але все ж таки вони є. І вони є загрозою, тільки якщо їх запускає користувач root.
Якщо з цих чи інших причин адміністратору не хочеться, щоб користувачі мали права root, пароль root слід зберігати в секреті та заборонити доступ до першого рівня виконання або монопольного режиму, захистивши завантажувач паролем (докладніше ця тема розглядається в розділі 4.2.2Паролі завантажувача системи).