Kaj je root uporabnik v Linuxu in kako ga varno uporabljati?

Če Linux uporabljate že kratek čas, boste prej ali slej naleteli na slavni root uporabnik, superuporabnik, ki lahko v sistemu počne in razveljavlja stvari praktično brez omejitevTo je tisti skrivnostni račun, ki se pojavlja v vadnicah, tisti, ki vam omogoča namestitev paketov, prilagajanje občutljivih nastavitev ali popravljanje sistema, ki se ne zažene ... lahko pa tudi uniči vaš računalnik z enim samim napačno vtipkanim ukazom.

V večini sodobnih distribucij, zlasti v Ubuntuju in njegovih izpeljankah, ni več običajno, da se prijavite neposredno kot root. Namesto tega je prednostna metoda uporaba drugega uporabnika. Ukaze, kot sta sudo in su, uporabite za pridobitev skrbniških pravic le, kadar je to potrebno.To zmanjša tveganja in pusti sled v sistemskih dnevnikih. Kljub temu je dobro razumevanje, kaj je root, kako se razlikuje od sudo in su, kdaj ju uporabiti, kako deaktivirati račun in kako obnoviti geslo, bistvenega pomena, če želite enostavno krmariti po Linuxu.

Kaj je root uporabnik v Linuxu in zakaj je tako poseben?

V katerem koli Unixu podobnem sistemu (Linux, BSD, macOS itd.) obstaja en sam superuporabnik z zelo jasno vlogo: root je račun z UID 0 in absolutno avtorizacijo nad vsemi datotekami, procesi in sistemskimi viriNi običajnih omejitev dovoljenj; če želi root nekaj prebrati, spremeniti ali izbrisati, bo to storil.

Iz tega računa lahko Namestitev in odstranitev programov, posodabljanje sistema, urejanje konfiguracijskih datotek v /etc, upravljanje storitev, ustvarjanje in brisanje uporabnikov, formatiranje diskov ali spreminjanje kritičnih dovoljenjJe enakovreden uporabniku »Administrator« v sistemu Windows, vendar s še večjo možnostjo dostopa do notranjega delovanja sistema brez omejitev.

Zaradi tega se številne distribucije, kot je Ubuntu, odločijo za Ne dovoli neposredne prijave root-a po namestitviNamesto tega se ustvari običajen račun (ki pripada skupini administratorjev) in sudo se uporablja za izvajanje določenih administratorskih nalog, kar zmanjšuje izpostavljenost tveganju.

V drugih distribucijah, kot je Debian v svoji klasični konfiguraciji, je običajno, da se med namestitvijo določi geslo za root, tako da Superuporabnika lahko uporabljate neposredno v konzoli ali za nekatere zelo specifične naloge.čeprav sistem sam spodbuja tudi uporabo ukaza sudo.

Poleg uporabnikov root in "človeških" uporabnikov Linux uporablja tudi sistemski uporabniki storitvenega tipa (daemon) z zelo omejenimi dovoljenjiTi posebni uporabniki izvajajo procese, kot so spletni strežniki, baze podatkov ali sistemski demoni, tako da varnostna napaka v storitvi ne daje samodejno absolutnega nadzora nad sistemom, kot bi se zgodilo, če bi vse delovalo pod root dostopom.

Vrste uporabnikov v Linuxu in kako ugotoviti, kdo ste

Čeprav se v praksi morda zdi, da obstaja veliko vrst računov, je delitev na ravni dovoljenj zelo jasna: korenina na eni strani in "ostalo" na drugiVsak uporabnik, ki nima UID 0, je tehnično gledano neprivilegiran uporabnik, čeprav ima lahko zaradi sudo določena dodatna dovoljenja.

Običajni delovni računi so običajni uporabniki z omejenimi dovoljenji za datotečni sistemLahko upravljajo svoje osebne datoteke, zaganjajo aplikacije, uporabljajo omrežje in, če so v ustrezni skupini, pokličejo sudo, da pridobijo dodatne privilegije za določena opravila.

Korenski superuporabnik je globalni administratorski računNi namenjen vsakodnevni uporabi, temveč vzdrževanju, napredni konfiguraciji ali obnovitvenim operacijam. Zato številne distribucije nekoliko otežujejo neposreden dostop do tega računa, da bi se izognile presenečenjem za začetnike in omejile vpliv človeških napak.

Če kdaj dvomite, pod katerim uporabnikom delate v terminalu, si lahko ogledate Ukazna lupina: ko se konča z $, uporabljate običajen račun, ko pa se konča z #, ste pod root-om.Ukaz lahko zaženete tudi Kdosem ali preverite numerični identifikator z id -uČe dobite »root« ali »0«, ste v načinu superuporabnika.

Poleg tega se običajno prikaže poziv uporabniško ime, ime računalnika, trenutni imenik in simbol $ ali #Na primer, nekaj takega alumno@equipo:/home/alumno$ označuje običajnega uporabnika, medtem ko root@equipo:/root# Odraža sejo neposredne administracije.

root, sudo in su: kaj počne vsak od njih in kdaj jih uporabiti

Pri vsakodnevni uporabi običajno ne vtipkamo ves čas gesla root. Namesto tega se večina sodobnih distribucij odloči za začasno povečajte privilegije običajnega računa z orodji, kot sta sudo in suČeprav se v pogovorih včasih uporabljajo kot sopomenke, izpolnjujejo različne vloge in pomembno jih je jasno razlikovati.

Ukaz sudo (storitev super uporabnika) omogoča pooblaščenemu uporabniku izvajanje določen ukaz z dovoljenji drugega uporabnika, običajno rootS tem beleži, kaj je bilo izvedeno, kdo je to zagnal in kdaj, ter pusti zapis v varnostnih dnevnikih sistema.

Na svoji strani vaš (nadomestni uporabnik) je namenjen za spremenite uporabniško identiteto znotraj iste terminalske sejeČe ga pokličete brez parametrov, bo običajno poskušal preklopiti na root (in zahteval geslo). Če vnesete uporabniško ime, boste preklopili na ta račun z njegovimi dovoljenji in okoljem.

Kako deluje sudo in zakaj je tako pomemben

V sistemih, kot je Ubuntu, ki pripadajo skupini sudo (ali »admin« v starejših različicah) pomeni, da lahko ta račun izvajajte ukaze kot root z vnosom lastnega uporabniškega geslabrez potrebe po poznavanju gesla superuporabnika. Pravila, ki nadzorujejo, kaj lahko vsaka oseba počne, so definirana v datoteki / etc / sudoers, ki ga je mogoče varno urejati z ukazom visudo.

Če ga želite uporabiti, preprosto postavite besedo prednj. sudo pred ukazom, ki zahteva povišane privilegijeNa primer, namestitev paketa se običajno izvede takole:

sudo apt install vlc

V tem primeru se apt zažene kot root, zapisuje v sistemske imenike, kot sta /usr ali /var, in beleži spremembe v podatkovno bazo paketov, čeprav ste še vedno prijavljeni z običajnim uporabnikom. Ko je naročilo zaključeno, se boste samodejno vrnili k svojim običajnim dovoljenjem..

Poleg tega sudo izvaja majhen "čas milosti"Ko vnesete geslo, lahko za nekaj minut znova zaženete ukaz `sudo`, ne da bi vas sistem pozval k vnosu. To pospeši upravljanje, vendar hkrati povzroči manjšo ranljivost, če nekdo v tem času dostopa do vašega računalnika. Če želite ta pravilnik poostriti, lahko obdobje mirovanja nastavite na nič tako, da uredite ukaz `sudoers` z:

Defaults:ALL timestamp_timeout=0

Tako Vsakič, ko uporabite sudo, se boste morali znova overiti., nekoliko bolj dolgočasno, vendar varnejše v občutljivih ali večuporabniških okoljih.

Ukaz `su` in popoln preklop na drug račun

Ukaz "su" pa na drugi strani Ne izvede niti enega ukaza, ampak odpre novo lupino pod identiteto drugega uporabnika.Če se uporabi "brez sile":

su

Sistem predvideva, da želite preklopiti na root dostop, zato Vprašal vas bo za geslo superuporabnika.Če je prijava uspešna, se bo simbol poziva spremenil v # in od tega trenutka naprej se bodo vsi ukazi, ki jih izvedete, izvajali s korenskimi pravicami, dokler se ne odjavite. izhod.

Določite lahko tudi določenega uporabnika:

su nombreusuario

To pride zelo prav, ko upravljaš storitve, ki se izvajajo s svojimi lastnimi računi (npr. postgres, www-data itd.) in morate delovati kot te, ne da bi zaprli glavno sejoKo končate, vas uporaba ukaza exit vrne k prejšnjemu uporabniku.

V sistemih, kjer je root račun zaklenjen ali nima gesla (kot je to v mnogih namestitvah Ubuntuja), ne boste mogli neposredno preklopiti na ta račun z ukazom `su`. V teh primerih je običajni pristop verižni znoj in njegov, na primer:

sudo su o sudo -i

S temi ukazi vnesete svoje uporabniško geslo (ne gesla root) in dobite skrbniško lupino z okoljem, podobnim neposredni prijavi root. To je zelo priročno, če boste izvajali več dejanj zaporedoma, vendar je tudi bolj nevarno, zato je priporočljivo, da se takoj po končanem odjavite iz seje root.

Kdaj je smiselno uporabiti root, sudo ali su?

Teorija je v redu, ampak v vsakdanjem življenju je pomembno le to, katero orodje uporabiti v vsaki konkretni situaciji za hitro delo, ne da bi tvegali sistemPraviloma, kadar koli je mogoče, uporabite sudo za določene ukaze in se izogibajte trajnim root lupinam; če se želite poglobiti v Kdaj in zakaj se je treba izogibati potenju, poglejte si ta priročnik.

Na primer za namestite ali posodobite programsko opremo V distribucijah, ki temeljijo na Debianu ali Ubuntuju, je običajna praksa:

sudo apt update
sudo apt upgrade
sudo apt install gparted

V teh primerih trajna prijava kot root ne doda veliko. Pridobite si nekaj udobja, vendar pomnožite tveganje brisanja ali spreminjanja nečesa, česar ne bi smeli..

Sudo boste uporabili tudi, ko urejanje konfiguracijskih datotek sistema, na primer:

sudo nano /etc/hosts
sudo nano /etc/ssh/sshd_config

Na ta način se samo urejevalnik izvaja s pravicami super uporabnika, ko ga zaprete, pa se vrnete na svojo običajno raven privilegijev.

V nasprotju s tem je lahko `su` (ali `sudo -i`) uporaben, kadar Združili boste veliko administrativnih operacij Dodajanje ukaza `sudo` pred vsak ukaz bi bilo moteče. Na primer pri izvajanju kompleksnih vzdrževalnih nalog, upravljanju več računov, delu s particijami itd. Kljub temu je dobra praksa, da omejite čas, ki ga preživite v tem načinu, in ga zapustite takoj, ko končate.

Zelo praktična operativna podrobnost je, da lahko, če niste prepričani, ali imate root ali ne, zaženete Kdosem o id -uČe dobite "root" ali "0", je čas, da ste izjemno previdni, preden vtipkate kaj uničujočega.

Prikaži zvezdice pri vnašanju gesla s sudo

Privzeto veliko distribucij (vključno z Ubuntu) Ko v konzolo vnesete geslo, ne prikažejo nobenih znakov.Brez pik ali zvezdic. To se naredi, da se izognemo razkritju dolžine tipke, čeprav se v praksi mnogim uporabnikom to zdi neprijetno, ker nimajo vizualne potrditve, da tipkajo.

Sudo že nekaj časa ponuja možnost, imenovano pwfeedback To omogoča prikaz zvezdic na zaslonu ob vnosu gesla. Nekatere novejše izdaje Ubuntuja so to omogočile, vendar lahko to funkcijo aktivirate sami v katerem koli sistemu s spreminjanjem konfiguracije sudo:

1. Odprite urejevalnik varne konfiguracije z:

sudo visudo

2. V datoteko, ki se odpre (običajno /etc/sudoers), dodajte vrstico, kot je ta:

Defaults pwfeedback

3. Shrani in zapri. Od tistega trenutka naprej, Vsak znak, ki ga vnesete pri vnosu gesla sudo, bo predstavljen z zvezdico.Če se kasneje raje vrnete k klasičnemu delovanju (brez vizualnega odmeva), preprosto odstranite to vrstico in datoteko znova shranite z Visudo.

Ta prilagoditev ne vpliva na kriptografsko varnost ukaza sudo, vendar vpliva To lahko izboljša uporabnost za tiste, ki imajo raje vizualno potrditev tega, kar vtipkajo.še posebej na tipkovnicah brez osvetlitve ozadja ali pri tipkanju z oddaljenih terminalov.

Resnična tveganja neprevidne uporabe roota

Korenski račun je prav tako močan kot nevaren. Linux je zasnovan s plastmi zaščite, da bi navadnemu uporabniku otežil nenamerno vdor v sistem, vendar Ko povečate privilegije, te ovire izginejo in vsaka napaka se lahko spremeni v katastrofo..

Prvo resno tveganje je nenamerno brisanje pomembnih datotek ali mapUkazi, kot so rm -rf / o rm -rf /* Znani so prav zato, ker lahko, če jih zaženete kot root, v nekaj sekundah izbrišejo praktično vso vsebino datotečnega sistema. Vendar ni treba iti v to skrajnost: preprosto napačno vtipkajte pot ali pustite spremenljivko prazno, na primer:

rm -rf $directorio/*

Če `$directory` ni definiran, kot ste pričakovali, lahko ukaz kaže na popolnoma drugo lokacijo, kot ste nameravali. Kot root vam sistem ne bo povzročal preveč težav in ko je ukaz dokončan, Okrevanje je običajno zelo težko ali preprosto nemogoče. brez varnostnih kopij ali forenzičnih orodij.

Druga pomembna nevarnost je izvajanje zlonamerne programske opreme ali skriptov s polnimi privilegijiPrenos namestitvenega programa z neznanega spletnega mesta in njegov zagon z ukazom sudo ali iz korenske lupine daje tej kodi absolutni nadzor: lahko namesti rootkite, zadnja vrata, keyloggerje, spremeni jedro ali se skrije globoko v sistemu. Pogosto je napadalec, ko je težava odkrita, že nekaj časa v sistemu.

Prav tako morate biti previdni, ko spremenite dovoljenja za kritične datoteke s chmod ali chownNaročilo, kot je chmod 000 /etc Nepravilna manipulacija z datoteko /boot, zagonskim nalagalnikom GRUB ali datoteko /etc/passwd lahko povzroči, da se sistem ne bo mogel zagnati. V takih primerih niti zagon z LiveCD-ja ne zagotavlja enostavnega popravila; v produkcijskih okoljih bodo morda potrebne profesionalne storitve za obnovitev sistema.

Končno, z vidika revizije, neposredna prijava kot root odpravlja veliko sledljivosti. Ko uporabljate sudo, se vsak ukaz zabeleži skupaj z uporabnikom, ki ga je izvedel.Če se vse naredi kot root brez uporabe sudo, bodo dnevniki zapisali le, da je "root nekaj naredil", ne pa tudi, kdo je bil za tipkovnico, kar otežuje preiskave in skladnost z varnostnimi predpisi.

Omogočanje, onemogočanje in zaklepanje root računa

Glede na vašo distribucijo je lahko root račun Omogočeno z geslom, zaklenjeno ali preprosto brez dodeljene tipkeV sistemih, podobnih Ubuntuju, je root običajno onemogočen za neposredno prijavo, medtem ko je v drugih distribucijah geslo določeno med namestitvijo.

Če je root račun na vašem računalniku zaklenjen, ga lahko omogočite z uporabnikom s privilegiji sudo tako, da zaženete:

sudo passwd root

Sistem vas bo najprej vprašal za uporabniško geslo, nato pa boste morali vnesti in potrditi novo geslo za root uporabnika. Od tega trenutka naprej Račun bo aktiviran in se boste lahko prijavili kot superuporabnik v virtualnih terminalih ali v nekaterih primerih celo v grafičnem vmesniku.Čeprav je slednje zelo neprimerno.

Če se odločite, da ne želite več imeti dostopa root, lahko račun ponovno zaklenete z:

sudo passwd -l root

Parameter -l blokira dostop tako, da poveže neveljavno geslo, tako da Kot root se ne morete prijaviti, niti s `su` niti na prijavnem zaslonu.Vendar pa bodo pooblaščeni uporabniki še vedno lahko uporabljali sudo za upravljanje sistema, tako da ne boste ostali brez načinov za izvajanje vzdrževalnih nalog.

Nekatere distribucije ponujajo tudi možnost onemogočenja in ponovne aktivacije root-a s kombinacijami, kot so sudo passwd -dl root o sudo passwd -u root da ga odklenete. V vsakem primeru, Splošno priporočilo je, da imejte root zaklenjeno in vedno delajte s sudo, razen v zelo specifičnih primerih., kot so reševalna ali obnovitvena okolja za hudo poškodovane sisteme.

Obnovite ali spremenite geslo root

Lahko se zgodi, da ne glede na to, ali ste izgubili geslo za root, ga onemogočili ali ga preprosto morate na novo določiti na strežniku, katerega prvotna konfiguracija je zdaj pozabljena. Linux ponuja več načinov za to, odvisno od tega, ali se sistem zažene ali če morate uporabiti zunanjo napravo.

Če vaš računalnik še vedno doseže zagonski upravljalnik GRUB, je zelo pogosta možnost, da izkoristite način obnovitveZ izbiro te različice v naprednem meniju sistem zažene okrnjeno okolje in vam ponudi možnost pridobitve konzole s pravicami superuporabnika.

Ko si enkrat v tej lupini, je prva stvar, ki jo moraš storiti, Ponovno namestite datotečni sistem z dovoljenji za pisanjeker je pogosto v načinu samo za branje:

mount -o rw,remount /

Nato lahko zaženete standardni ukaz za nastavitev novega gesla:

passwd root

Dvakrat vnesite novi ključ in za zagotovitev, da se spremembe zapišejo na disk, uporabite:

sync
reboot

Ob ponovnem zagonu, Korenski račun bo imel geslo, ki ste ga pravkar nastavili.tako da ga lahko uporabljate po potrebi (v idealnem primeru zmerno in previdno).

Če se sistem sploh ne zažene, se lahko zatečete k LiveCD ali LiveUSB iz distribucije LinuxaNa primer, Ubuntu. Zaženite se s tega medija, izberite možnost »Poskusi« brez namestitve in odprite terminal. Običajno najprej postanete root v živem okolju z:

sudo su

Nato morate poiskati particijo, kjer je nameščen sistem, ki ga želite popraviti, tako da uporabite nekaj takega:

fdisk -l

Ko prepoznate pravilno napravo (na primer /dev/sda1), jo priklopite v delujočo mapo:

mkdir /mnt/recover
mount /dev/sda1 /mnt/recover

Naslednji korak je »Spremeni koren« okolja na nameščeno particijotako da passwd deluje na nameščenem sistemu in ne na delujočem okolju:

chroot /mnt/recover

Od tam lahko zaženete:

passwd root

za nastavitev novega gesla. Po izhodu iz chroota in ponovnem zagonu, Prvotni sistem se bo zagnal s posodobljenimi poverilnicami superuporabnika.To je zelo močan manever za reševanje zaklenjenih strojev, hkrati pa poudarja, zakaj je ključnega pomena zaščititi fizični dostop in zagon z zunanjih medijev na kritičnih strežnikih.

Root dostop v Ubuntuju in varnostne politike

Ubuntu in številne njegove izpeljanke (Xubuntu, Kubuntu, Linux Mint itd.) so svoj varnostni model zgradili na zelo jasni ideji: root obstaja, vendar se skoraj vedno uporablja posredno prek sudoTo ima več praktičnih in varnostnih prednosti.

V standardni namestitvi, Za root ni določeno gesloTo uporabnikom preprečuje neposredno prijavo s tem računom tako v terminalih TTY kot v grafičnem okolju. Namesto tega se prvi uporabnik, ustvarjen med namestitvijo, doda v skupino sudo in vsa skrbniška dela se opravijo s povišanjem privilegijev s tega računa.

Ta pristop zmanjša površino napada Ščiti pred napadi z grobo silo na root račun (na primer prek SSH) in zmanjšuje možnosti, da bi človeške napake imele katastrofalne posledice, saj skrbnika prisili, da premisli vsakič, ko uporabi sudo.

V zelo specifičnih kontekstih (laboratoriji, reševalna okolja, zelo izolirani stroji) je to lahko upravičeno. dodelite geslo uporabniku root z ukazom sudo passwd root in omogočite neposredno prijavo, vendar je najbolje, da to obravnavate kot začasen ukrep. Ko je težava odpravljena, je bolje, da račun ponovno zaklenete in nadaljujete z delom s sudo.

Poleg tega Ubuntu za naloge, ki zahtevajo trajno korensko lupino, ponuja ukaze, kot so:

sudo -i o sudo su -

da Simulirajo polno prijavo root-a, z lastnim okoljem in POTJO.To je uporabno za skripte in orodja, ki pričakujejo, da bodo v "čistem" korenskem okolju delovala pravilno, ne da bi morali omogočiti trajno neposredno prijavo.

Root dostop prek SSH: omogočanje, onemogočanje in zavarovanje

Na oddaljenih strežnikih postane vprašanje root dostopa še pomembnejše. Privzeto večina namestitev Ubuntuja Onemogočijo neposredno prijavo root-a prek SSHZaradi tega se morate prijaviti z običajnim uporabniškim računom in nato uporabiti ukaz sudo. To je ključni varnostni ukrep za preprečevanje avtomatiziranih napadov.

Če morate iz nekega zelo upravičenega razloga omogočiti ta dostop, osnovni postopek vključuje te korake: najprej dodelite geslo uporabniku root Če ga nimate:

sudo passwd root

In nato uredite konfiguracijo strežnika SSH:

sudo nano /etc/ssh/sshd_config

V tej datoteki poiščite direktivo DovoliRootLoginČe je zakomentirano ali v "prohibit-password", ga lahko spremenite v:

PermitRootLogin yes

Shranite spremembe in znova zaženite storitev:

sudo systemctl restart ssh

Od tam se lahko prijavite neposredno kot root prek SSH, kar je nekaj, kar To predstavlja precejšnjo ranljivost, če se uporablja samo z geslom.V tem primeru bi bilo najmanj sprejemljivo kombinirati ga z avtentikacijo z javnim ključem in, če je mogoče, omejiti dostop po IP-ju ali prek bastiona ali VPN-ja.

Da bi obrnili situacijo in okrepili varnost, ponovno uredite / etc / ssh / sshd_config in konfigurirajte:

PermitRootLogin no

Ali pa, če želite subjektivno dovoliti samo dostop s ključem:

PermitRootLogin prohibit-password

Ponovno zaženite SSH in, če želite iti še korak dlje, zaklenite tudi lokalni root račun z:

sudo passwd -l root

Na ta način oz. Vsa opravila oddaljenega upravljanja bodo morala potekati prek običajnih uporabnikov in s privilegiji sudo., registriran in podvržen pravilom datoteke sudoers.

Najboljše prakse pri uporabi privilegijev superuporabnika

Obvladovanje ukazov root, sudo in su ni le pomnjenje ukazov, ampak tudi usvojite navade, ki zmanjšujejo tveganje pri delu z visokimi privilegijiObstaja nekaj smiselnih praks, ki jih je vredno vključiti v svojo vsakodnevno rutino.

Najpomembneje je, da vedno uporabite načelo najmanjših privilegijev: imeti le potrebna dovoljenja in le toliko časa, kolikor je to nujno potrebno. Prevedeno v Linux to pomeni uporabo ukaza `sudo` za izolirane ukaze, kadar koli je to mogoče, in izogibanje nepotrebnemu dolgotrajnemu zadrževanju v korenski lupini.

Prav tako je ključnega pomena Nikoli ne zaganjajte skriptov ali binarnih datotek iz dvomljivih virov kot root.Preden zaženete delček kode, ki ste ga kopirali z interneta, ga odprite z urejevalnikom besedil in natančno preverite, kaj počne. Če katerega dela ne razumete, bodite sumničavi. Ko gre za preneseno programsko opremo, jo vedno poskušajte dobiti iz uradnih repozitorijev, spletnih mest projektov ali drugih uglednih virov in preverite kontrolne vsote, če jih razvijalec objavi.

Če imate možnost, Najprej preizkusite skripte ali priročnike v izoliranem okolju (virtualni stroj, Dockerjev vsebnik, testno okolje), preden jih uporabite na produkcijskem strežniku ali glavnem stroju, in se posvetujte Triki programske opreme LinuxTo vam lahko prihrani veliko težav.

Na strežnikih z več skrbniki je priporočljivo iti še korak dlje in konfigurirajte puloverje na podroben načinTo omogoča vsaki osebi, da izvaja le tiste ukaze, ki jih dejansko potrebuje. To omejuje morebitno škodo zaradi napake ali ogroženega računa, hkrati pa ohranja sledljivost tega, kdo je kaj storil v danem trenutku.

S spremljanjem teh vidikov in spoštovanjem ideje, da Root je orodje za specifične situacije, ne pa uporabnik, ki preizkuša vsakodnevna opravila.V celoti lahko izkoristite prilagodljivost Linuxa, ne da bi pri tem nepotrebno ogrozili stabilnost in varnost svojega sistema.

Linuxov ekosistem se močno zanaša na ločitev med običajnim uporabnikom in superuporabnikom ter na mehanizme, kot sta sudo in su, za preklapljanje med njima le, kadar je to potrebno; razumevanje delovanja root-a, kdaj ga uporabiti, kako omejiti njegovo izpostavljenost in kako ga obnoviti v nujnih primerih je ključni del za pametno upravljanje katere koli distribucije, bodisi na vašem osebnem prenosniku bodisi na kritičnem produkcijskem strežniku.