Linux では、root ユーザーは Windows の管理者ユーザーに相当します。ただし、Windows には長い間、平均的なユーザーが管理者としてログインする文化がありましたが、Linux では root としてログインすべきではありません。
Microsoft は、UAC を使用して Windows のセキュリティ慣行を改善しようとしました。Windows で UAC を無効にしてはいけないのと同じ理由 で、Linux では root としてログインすべきではありません。
Ubuntu が Sudo を使用する理由
ユーザーが root として実行しないようにすることが 、Ubuntu が su の代わりに sudo を使用する 理由の 1 つです。デフォルトでは、Ubuntu では root パスワードがロックされているため、平均的なユーザーは root アカウントを再度有効にしないと root としてログインできません。
他の Linux ディストリビューションでは、グラフィカル ログイン画面から root としてログインして root デスクトップを取得することはこれまで可能でしたが、多くのアプリケーションが問題を起こす可能性があります (VLC のように root としての実行を拒否することさえあります)。 Windows からのユーザーは、Windows XP で管理者アカウントを使用したのと同じように、root としてログインすることを選択する場合があります。
sudo を使用すると、root 権限を取得する特定のコマンド (接頭辞 sudo が付く) を実行します。 su では、su コマンドを使用してルート シェルを取得し、(できれば) ルート シェルを終了する前に使用するコマンドを実行します。 Sudo はベスト プラクティスを適用するのに役立ち、root として実行する必要があるコマンド (ソフトウェア インストール コマンドなど) のみを実行します。root シェルでログインしたままにしたり、root として他のアプリケーションを実行したりする必要はありません。
被害を限定する
自分のユーザー アカウントとしてログインすると、実行するプログラムはシステムの残りの部分への書き込みが制限され、ホーム フォルダーへの書き込みのみが可能になります。 root 権限を取得せずにシステム ファイルを変更することはできません。これはコンピュータを安全に保つのに役立ちます。たとえば、Firefox ブラウザにセキュリティ ホールがあり、ユーザーが root として実行している場合、悪意のある Web ページがシステム上のすべてのファイルに書き込み、他のユーザー アカウントのホーム フォルダー内のファイルを読み取り、システム コマンドを侵害されたものに置き換えることができます。もの。対照的に、制限されたユーザー アカウントとしてログインしている場合、悪意のある Web ページはこれらのことを行うことができず、ホーム フォルダに損害を与えることしかできません。これでも問題が発生する可能性はありますが、システム全体が危険にさらされるよりははるかに優れています。
これは、悪意のあるアプリケーションや単純なバグのあるアプリケーションからユーザーを保護するのにも役立ちます。たとえば、アクセスできるすべてのファイルを削除するアプリケーションを実行すると (おそらく厄介なバグが含まれています)、アプリケーションはホーム フォルダを消去します。これは悪いことですが、バックアップがある場合 (そうすべきです!)、ホーム フォルダー内のファイルを復元するのは非常に簡単です。ただし、アプリケーションに root アクセス権がある場合、ハード ドライブ上のすべてのファイルが削除され、完全な再インストールが必要になる可能性があります。
きめ細かい権限
古い Linux ディストリビューションではシステム管理プログラム全体が root として実行されていましたが、最新の Linux デスクトップでは PolicyKit を使用して、アプリケーションが受け取るアクセス許可をさらにきめ細かく制御します。
たとえば、ソフトウェア管理アプリケーションには、PolicyKit を通じてシステムにソフトウェアをインストールする権限のみを付与できます。プログラムのインターフェイスは制限されたユーザー アカウントのアクセス許可で実行され、ソフトウェアをインストールするプログラムの部分のみが昇格されたアクセス許可を受け取り、プログラムのその部分のみがソフトウェアをインストールできます。
このプログラムはシステム全体への完全な root アクセス権を持っていないため、アプリケーションにセキュリティ ホールが見つかった場合にユーザーを保護できます。また、PolicyKit を使用すると、制限されたユーザー アカウントが完全な root アクセス権を取得せずにシステム管理の変更を行うことができるため、制限されたユーザー アカウントとして手間が少なく簡単に実行できるようになります。
Linux では、root としてグラフィカル デスクトップにログインできます。システムの実行中にハード ドライブ上のすべてのファイルを削除したり、ランダム ノイズをハード ドライブに直接書き込んでファイル システムを消去したりできるのと同じように、それは良い考えではありません。たとえ自分が何をしているのかわかっていたとしても、システムは root として実行するように設計されていません。Linux を非常に安全にするセキュリティ アーキテクチャの多くをバイパスしていることになります。
