En Linux, los privilegios de raíz eran en un momento dado dividida en "capacidades", para que pueda obtener una lista completa de los privilegios especiales de raíz mirando en esa documentación: man 7 capabilities
.
Para responder a su pregunta, un comando requerirá ejecutarse como root cuando necesite uno de estos privilegios, y su ejecutable sin script no tiene la capacidad relevante establecida en sus metadatos de archivo (por ejemplo, si un script python requiere la capacidad, entonces la capacidad necesitaría estar en el intérprete de python especificado en la línea shebang).
Tenga en cuenta que algunos comandos que necesitan acceso raíz no necesitan algo como sudo
porque tienen el bit SUID establecido en su ejecutable. Este bit hace que el ejecutable se ejecute como el propietario (normalmente root) cuando lo ejecuta cualquier persona que tenga acceso de ejecución. Un ejemplo en sudo
sí mismo es que cambiar usuarios es una acción privilegiada que debe hacer.
EDITAR: Observo en su pregunta que puede tener la idea de que puede determinar si un comando necesitará acceso root antes de ejecutarlo. Ese no es el caso. Un programa a veces puede requerir privilegios de root y otras veces no, y esto podría ser una decisión tomada por el programa debido a los datos que se proporcionan durante el tiempo de ejecución. Tomemos, por ejemplo, llamadas vim
, así sin argumentos, y luego a través de una serie de pulsaciones de teclas y pegado, diciéndole que escriba algo en un archivo que no tiene permiso para escribir, o tal vez ejecutando otro comando que requerirá privilegios de root. Nada sobre el comando antes de ejecutarlo podría indicar que eventualmente requeriría acceso root. Eso es algo que solo se puede determinar en el momento en que intenta hacer algo que lo requiere.
De todos modos, aquí hay muy pocos ejemplos de la página de manual de referencia de los privilegios de root:
- Realice manipulaciones arbitrarias de los UID de proceso (setuid (2), setreuid (2), setresuid (2), setfsuid (2));
- Omitir lectura, escritura y ejecución de verificaciones de permisos. (DAC es una abreviatura de "control de acceso discrecional").
- Omitir verificaciones de permisos para enviar señales (ver kill (2)). Esto incluye el uso de la operación ioctl (2) KDSIGACCEPT.
- Realizar varias operaciones relacionadas con la red:
- configuración de la interfaz;
- administración de firewall IP, enmascaramiento y contabilidad;
- modificar las tablas de enrutamiento;
- Enlace un socket a los puertos con privilegios de dominio de Internet (números de puerto inferiores a 1024).
- Cargar y descargar módulos del núcleo (ver init_module (2) y delete_module (2));
- Configure el reloj del sistema (settimeofday (2), stime (2), adjtimex (2)); establecer reloj en tiempo real (hardware).
- Realice una variedad de operaciones de administración del sistema que incluyen: quotactl (2), mount (2), umount (2), swapon (2), swapoff (2), sethostname (2) y setdomainname (2);
- Use reboot (2) y kexec_load (2).
- Usa chroot (2).
- Aumente el valor agradable del proceso (nice (2), setpriority (2)) y cambie el valor agradable para procesos arbitrarios;