한편으로 사용자가 할 수 없는 일이 있습니다.
- 하드 링크 디렉토리 (파일 시스템 제한 때문에)
- 이미 레코딩 된 CD-ROM에 쓰기 (물리적으로 인해)
그러나 그들은 특권이 아닙니다. 왜냐하면 그들은 부여 할 수 없기 때문에 누구에게도 가능하지 않습니다.
그런 다음 전체 시스템 또는 그 일부에 대해 켜거나 끌 수있는 제한이 있습니다.
예를 들어, OS X에는 코드가 Apple에 의해 서명 된 경우에만 코드를 실행할 수있는 옵션이 있습니다.
나는 수퍼 유저가 할 수 없다면 어떤 사용자도 그것을 가질 수 없기 때문에 이것을 실제 권한으로 간주하지 않습니다. 전역으로 만 비활성화 할 수 있습니다.
편집 :
실행 비트가없는 파일에 대한 아이디어는 말 그대로 아무도 할 수 없으며 아무도 그 권한을 부여 할 수 없으므로이 범주에 속합니다.
루트 또는 사용자 그룹 루트가 아닌 다른 사용자 또는 그룹에게 해당 파일을 실행할 수있는 권한을 부여하더라도 루트는 여전히 해당 파일을 실행할 수 있습니다 (OS X 10.10, 10.11 및 Ubuntu 15.04 서버에서 테스트 됨).
이러한 경우를 제외하고는 루트가 할 수없는 일은 거의 없습니다.
그러나 커널 모드 (사용자 모드와 반대) 라는 것이 있습니다.
내가 아는 한, 정상적인 시스템에서는 커널, 커널 확장 및 드라이버 만 커널 모드에서 실행되며 다른 모든 것 (루트로 로그인 한 쉘 포함)은 사용자 모드에서 실행됩니다.
따라서 "루트가 충분하지 않다"고 주장 할 수 있습니다. 그러나 대부분의 시스템에서 루트 사용자는 커널 모듈을로드 할 수 있습니다. 커널 모듈은 커널 모드에서 실행되어 루트에 커널 모드에서 코드를 효과적으로 실행하는 방법을 제공합니다.
그러나 (임의로) 불가능한 시스템은 (iOS와 같은) 적어도 보안 전체를 악용하지 않는 시스템이 있습니다. 이것은 대부분 코드 서명 적용과 같은 보안 강화 때문입니다.
예를 들어, iDevices 프로세서 에는 AES 암호화 키가 내장되어 있으며 커널 모드에서만 액세스 할 수 있습니다. 커널 모듈 은이 모듈에 액세스 할 수 있지만 커널이 커널 모듈을 승인하려면 해당 커널 모듈의 코드도 Apple에서 서명해야합니다.
OS X의 경우 버전 10.11 (El Capitan)부터는 "루트리스 모드"(루트가 존재하기 때문에 이름이 오도 될 수 있음)가 있으며 설치 프로그램이 여전히 할 수있는 루트를 효과적으로 금지합니다.
에서 인용 AskDifferent에이 우수 답변 :
루트에서도 제한 사항은 다음과 같습니다.
- / System, / bin, / sbin 또는 / usr (/ usr / local 제외)에서는 아무것도 수정할 수 없습니다. 또는 내장 앱 및 유틸리티 중 하나. 설치 프로그램 및 소프트웨어 업데이트 만 이러한 영역을 수정할 수 있으며 Apple 서명 패키지를 설치할 때만 해당 영역을 수정할 수 있습니다.
root
없으므로에서 제거 할 수있는 권한이 없습니다root
.