Di satu sisi, ada hal-hal yang tidak dapat dilakukan pengguna , seperti
- direktori yang menghubungkan keras (karena keterbatasan sistem file)
- menulis ke CD-ROM yang sudah dibakar (karena fisika)
Tetapi itu bukan hak istimewa, karena tidak dapat diberikan, itu tidak mungkin bagi siapa pun.
Lalu ada batasan untuk seluruh sistem atau bagian-bagiannya yang bisa dihidupkan atau dimatikan.
Misalnya, pada OS X ada opsi untuk hanya mengizinkan kode untuk dijalankan jika telah ditandatangani oleh Apple.
Saya juga tidak menganggap ini sebagai hak istimewa, karena tidak ada pengguna yang dapat memilikinya jika superuser tidak bisa. Anda hanya dapat menonaktifkannya secara global.
Sunting:
Gagasan Anda tentang file tanpa bit yang dapat dieksekusi juga akan termasuk dalam kategori ini, karena secara harfiah tidak ada yang bisa melakukan itu, dan tidak ada yang dapat diberikan izin itu.
Dan bahkan ketika memberikan izin kepada pengguna atau grup lain untuk mengeksekusi file itu, tetapi bukan root atau root grup pengguna, root akan tetap dapat mengeksekusi file tersebut (diuji pada OS X 10.10, 10.11 dan server Ubuntu 15.04).
Terlepas dari kasus-kasus itu, nyaris tidak ada root yang tidak bisa dilakukan.
Namun, ada hal yang disebut mode kernel (sebagai lawan dari mode pengguna).
Sejauh yang saya tahu, pada sistem waras hanya kernel, ekstensi kernel dan driver berjalan dalam mode kernel, dan yang lainnya (termasuk shell dari mana Anda login sebagai root) berjalan dalam mode pengguna.
Karena itu Anda dapat berpendapat bahwa "menjadi root tidak cukup". Namun, pada sebagian besar sistem, pengguna root dapat memuat modul kernel, yang pada gilirannya akan berjalan dalam mode kernel, secara efektif memberi root cara menjalankan kode dalam mode kernel.
Namun ada sistem (seperti iOS) di mana ini tidak (sewenang-wenang) mungkin, setidaknya tidak tanpa mengeksploitasi keutuhan keamanan. Ini sebagian besar disebabkan oleh peningkatan keamanan, seperti penegakan penandatanganan kode.
Sebagai contoh, ada kunci enkripsi AES yang dibangun ke dalam prosesor iDevices, yang hanya dapat diakses dari mode kernel. Modul kernel dapat mengaksesnya, tetapi kode dalam modul kernel tersebut juga harus ditandatangani oleh Apple agar kernel dapat menerimanya.
Pada OS X, sejak versi 10.11 (El Capitan) ada juga yang disebut "mode tanpa akar" (walaupun namanya menyesatkan karena root masih ada), yang secara efektif melarang root hal-hal tertentu yang masih dapat dilakukan oleh installer.
Mengutip dari jawaban luar biasa ini di AskDifferent :
Inilah yang membatasi, bahkan dari root:
- Anda tidak dapat mengubah apa pun di / Sistem, / bin, / sbin, atau / usr (kecuali / usr / lokal); atau aplikasi dan utilitas bawaan apa pun. Hanya Penginstal dan pembaruan perangkat lunak yang dapat memodifikasi area ini, dan bahkan mereka hanya melakukannya saat menginstal paket yang ditandatangani Apple.
root
, dan karenanya tidak ada hak yang bisa diambil darinyaroot
.