En informática, el superusuario es una cuenta de usuario especial que se utiliza para la administración del sistema. Según el sistema operativo (SO), el nombre real de esta cuenta puede ser raíz , administrador , administrador o supervisor . En algunos casos, el nombre real de la cuenta no es el factor determinante; en sistemas similares a Unix, por ejemplo, el usuario con un identificador de usuario (UID) de cero es el superusuario, independientemente del nombre de esa cuenta; [1] y en los sistemas que implementan un modelo de seguridad basado en roles, cualquier usuario con el rol de superusuario (o sus sinónimos) puede realizar todas las acciones de la cuenta de superusuario. El principio del mínimo privilegiorecomienda que la mayoría de los usuarios y aplicaciones se ejecuten con una cuenta ordinaria para realizar su trabajo, ya que una cuenta de superusuario es capaz de realizar cambios en todo el sistema sin restricciones y potencialmente adversos.
En los sistemas operativos de computadora similares a Unix (como Linux ), root es el nombre convencional del usuario que tiene todos los derechos o permisos (para todos los archivos y programas) en todos los modos (usuario único o multiusuario). Los nombres alternativos incluyen baron en BeOS y avatar en algunas variantes de Unix. [2] BSD a menudo proporciona una cuenta toor ("raíz" escrita al revés) además de una cuenta raíz. [3] Independientemente del nombre, el superusuario siempre tiene una identificación de usuario de 0. El usuario raíz puede hacer muchas cosas que un usuario normal no puede hacer, como cambiar la propiedad de los archivos y enlazar a puertos de red. numerado debajo de 1024.
El nombre root puede haberse originado porque root es la única cuenta de usuario con permiso para modificar el directorio raíz de un sistema Unix. Este directorio se consideró originalmente como el directorio de inicio de la raíz , [4] pero el estándar de jerarquía del sistema de archivos UNIX ahora recomienda que la ubicación de la raíz esté en /root . [5] El primer proceso iniciado en un sistema similar a Unix , generalmente llamado init, se ejecuta con privilegios de root. Genera todos los demás procesos directa o indirectamente, que heredan los privilegios de sus padres. Solo un proceso que se ejecuta como raíz puede cambiar su ID de usuario por la de otro usuario; una vez que lo ha hecho, no hay vuelta atrás. Si lo hace, a veces se le llama eliminar los privilegios de root y, a menudo, se hace como una medida de seguridad para limitar el daño de una posible contaminación del proceso. Otro caso es el inicio de sesión y otros programas que solicitan credenciales a los usuarios y, en caso de autenticación exitosa , les permiten ejecutar programas con privilegios de sus cuentas.
A menudo se recomienda que root nunca se use como una cuenta de usuario normal, [6] [7] ya que simples errores tipográficos al ingresar comandos pueden causar daños importantes al sistema. En su lugar, se debe usar una cuenta de usuario normal y luego se usa el comando su (usuario sustituto) o sudo (usuario sustituto do). El enfoque su requiere que el usuario conozca la contraseña de root, mientras que el método sudo requiere que el usuario esté configurado con el poder de ejecutar "como root" dentro del archivo /etc/sudoers , generalmente indirectamente al convertirse en miembro de la rueda . , [8] anuncio , [9] admin o grupo sudo .
Por varias razones, ahora se prefiere generalmente el enfoque sudo ; por ejemplo, deja un rastro de auditoría de quién ha usado el comando y qué operaciones administrativas realizó. [10]
Algunos sistemas operativos, como macOS y algunas distribuciones de Linux (sobre todo Ubuntu [6] ), otorgan automáticamente al usuario inicial creado la capacidad de ejecutarse como root a través de sudo , pero configure esto para solicitarles su contraseña antes de realizar acciones administrativas. En algunos casos, la cuenta raíz real está deshabilitada de forma predeterminada, por lo que no se puede usar directamente. [6] En los sistemas operativos orientados a plataformas móviles, como Apple iOS y Android , el acceso de superusuario es inaccesible por diseño, pero generalmente se puede explotar el sistema de seguridad para obtenerlo. En algunos sistemas, como el Plan 9, no hay superusuario en absoluto. [11]