Ryan 是对的，你可以从 root 做任何事情。JUNOS 基于 FreeBSD 构建并继承了该行为。但说实话，很少直接使用。

我能想到的最大的实际例子是在没有其他类型身份验证的情况下从设备收集核心文件，无论是由于配置问题，还是可能您有冗余路由引擎或虚拟机箱设置。非主成员不通过网络进行身份验证，因此如果您需要进入成员设备来收集文件，您可以在 shell 中使用 root 访问来获取这些文件。

当您第一次启动任何 Juniper 设备时，您不能在没有设置 root 身份验证的情况下提交您的第一个配置，因此您必须设置一个 root 密码。我想您可以将其视为故障保护，以防万一。

但是，您可以禁止您的用户使用具有登录类的 root 权限启动 shell。

https://www.juniper.net/techpubs/software/junos-es/junos-es93/junos-es-admin-guide/login-classes.html

有几种方法可以做到这一点，但一个例子是：

set system login class class_name deny-commands "(^start shell$)"

其他：

设置系统登录类class_name权限permission_bits_to_set

如果您排除“维护”作为权限位，他们将无法成为超级用户（root）。

root任何 *nix 平台的用户都能够在他们想要的系统上执行任何功能 - 我的意思是任何。我建议你查看一篇关于这个的维基文章，因为它有点超出了这个 SE 的范围。

禁用对瞻博网络设备的 root 访问权限是一种很好的做法。大多数环境以几种不同的方式禁用它。

• 清空root密码
• 禁用 ssh 根登录
• 禁用对用户帐户的 root 登录篡改

有几件事您可能不时需要 root 访问权限 - 想到的一个例子是，如果您连接 USB 存储设备并需要安装它以复制文件，您将需要 root 权限执行mount_msdosfs命令。

正如其他人所建议的那样 - 处理 root 帐户的最佳方法是优秀的 SysAdmins 的方式 - 禁用对 root 的所有远程访问，通过 RBAC 和登录角色限制对 shell 的访问，然后仅在绝对必要时，使用sufrom shell 来提升授权帐户。

为了完成之前的答案，我将指出最近必须以 root 身份访问 JunOS 的两个实际场景。

• 从集群交换中的多个成员收集日志项。您必须访问 shell 以 tar /var/log 文件夹。
• 从僵尸状态恢复交换机。几个 EX4200 卡在“正在加载 JunOS”中，所以我必须访问 shell 进行一些维护过程。

如您所见，这并不常见，但有时您需要此 shell 访问权限。