问：我们公司使用一个“superuser”帐号（Unix的root和Windows的administrator），但是我知道这样的帐号是通过获取未经授权访问系统，最容易遭到攻击，而且代价很大的方法之一，因为文件、设备或者命令都不受到限制。有什么方法能够维护这些帐号，又同时降低风险？

答：Unix和Windows都有一个内置的工具，允许用户在受一定限制的情况下作为管理员只完成一些特定的任务。在Unix中这个工具叫“sudo”，在Windows中这个工具叫“runas”。

    例如，在Unix系统中，一个没有管理特权的普通用户可以使用“sudo”运行一个工具程序，该程序一般只有管理员才可以运行。用户仅仅被允许作为管理员运行这个单独的程序，而不具备其他的更高访问权限。在Windows中“runas”也是一样。在Unix中，用户在命令提示符中键入“sudo”，然后要求输入与他们帐号对应的密码。在Windows中，用户右击这个应用程序选择“runas”，或者像在Unix中一样在命令提示符中键入“runas”。

    提高的访问权限仅仅允许用来运行特定的应用。一旦用户运行超过特定范围的程序，他就会失去他们被赋予的提高的权限。

    不过，sudo和runas两者有一个关键的不同之处。Sudo能够通过/etc/sudoers配置文件进行具体的配置。而runas不能在同样的程度上进行具体的定制。使用runas的危险在于恶意的用户能获得系统上任意应用程序的访问权，从而完全控制机器。

     另一方面，sudo能够设定只允许特定的用户进行某些特定的任务，甚至加以限制。任何想使用sudo的用户必须被添加进sudoers配置文件，然后将特定的权限在靠近他们名字的地方注明。

     但是使用sudo也有两个需要注意的地方。Sudoers配置文件应该用一个叫做visudo的工具编辑，它会检查语法，并防止不同的管理员覆盖彼此对文件所作的更改。另一个需要注意的地方，是确保在sudoers中没有赋予用户进入所有应用、不受限制的管理权限。那就类似给与了用户完全的管理权限。如果用户有恶意的用途，就等于敞开大门。

     Symark Software公司提供了一个叫做PowerBroker的商业产品，可以保护授予root权限的安全性。