MacOS High Sierra Security Bug tillader root login uden et kodeord, her er en løsning
En betydelig sikkerhedsrisiko er blevet opdaget med macOS High Sierra, hvilket muligvis giver en person mulighed for at logge ind på en Mac med fuld root administrative muligheder uden adgangskode.
Dette er et akut sikkerhedsproblem, og mens en softwareopdatering skal ankomme for at løse problemet snart, vil denne artikel detaljere beskytte din Mac fra dette sikkerhedshul.
Vigtig opdatering: Apple har udgivet sikkerhedsopdatering 2017-001 til macOS High Sierra for at rette root login bug, download det nu. Hvis du kører macOS High Sierra, skal du downloade opdateringen så hurtigt som muligt til din Mac.
Hvad er root login bug, og hvorfor betyder det noget?
For en hurtig baggrund giver sikkerhedshullet en person mulighed for at indtaste 'root' som brugernavn og derefter straks logge ind som root til Mac uden password. Den adgangskodefrie root login kan forekomme direkte med en fysisk maskine på den generelle bruger login skærm set ved opstart, fra panelerne System Preferences, som typisk kræver godkendelse, eller endda over VNC og Remote Login, hvis de to sidstnævnte fjernadgangsfunktioner er aktiveret. Enhver af disse scenarier giver derefter fuld adgang til MacOS High Sierra-maskine uden at bruge et kodeord.
En rodbrugerkonto giver det højeste niveau af systemadgang, der er muligt på en MacOS eller et unixbaseret operativsystem. Root tildeler alle funktioner i administrative brugerkonti på maskinen ud over ubegrænset adgang til alle systemniveaukomponenter eller -filer.
Mac-brugere, der er påvirket af sikkerhedsfejlen, omfatter alle, der kører MacOS High Sierra 10.13, 10.13.1 eller 10.13.2 beta'er, der ikke tidligere har aktiveret root-kontoen eller ændret en adgangskode til root-brugerkontoen på Mac'en før, hvilket er langt størstedelen af Mac-brugere kører High Sierra.
Det lyder dårligt, ikke? Det er, men der er en ret let løsning, der forhindrer denne sikkerhedsfejl at være et problem. Alt du skal gøre er at angive en rodadgangskode på den påvirket Mac.
Sådan forhindrer du root login uden et kodeord i MacOS High Sierra
Der er to metoder til at forhindre root login uden et kodeord på en MacOS High Sierra-maskine, du kan bruge Directory Utility eller kommandolinjen. Vi dækker begge dele. Directory Utility er måske lettere for de fleste brugere, da det udføres fuldstændigt fra den grafiske grænseflade på Mac'en, mens kommandolinjemetoden er tekstbaseret og generelt betragtet som mere kompleks.
Brug Directory Utility til at låse ned root
- Åbn Spotlight på Mac ved at trykke på Kommando + mellemrum (eller klikke på Spotlight-ikonet i øverste højre hjørne af menulinjen) og indtast "Directory Utility" og tryk igen for at starte appen
- Klik på det lille låsikon i hjørnet og godkend med en login til administratorkonto
- Træk nu "Edit" menuen ned og vælg "Change Root Password ..." ***
- Indtast en adgangskode til root brugerkontoen og bekræft, og klik derefter på "OK"
- Luk ud af Directory Utility
*** Hvis rodbrugerkontoen endnu ikke er aktiveret, skal du vælge "Aktiver Root User" og derefter indstille et kodeord i stedet.
I det væsentlige alt hvad du gør, er at tildele en adgangskode til rodkontoen, hvilket betyder, at log ind med root vil derefter kræve en adgangskode, som den skal. Hvis du ikke tildeler en adgangskode til rod på denne måde, accepterer en macOS High Sierra-maskine en root-login uden nogen adgangskode overhovedet.
Brug af kommandolinjen til at tildele et root-kodeord
Brugere, der foretrækker at bruge kommandolinjen i macOS, kan også indstille eller tildele en rodadgangskode med sudo og den almindelige gamle passwd-kommando.
- Åbn Terminal-applikationen, der findes i / Programmer / Hjælpeprogrammer /
- Indtast følgende syntaks præcist i terminalen, og tryk derefter på returnøglen:
- Indtast din administratoradgangskode for at bekræfte og tryk på retur
- Ved "Ny adgangskode" skal du indtaste et kodeord, du ikke vil glemme, slå tilbage og bekræfte det
sudo passwd root
Sørg for at indstille rodadgangskoden til noget, du vil huske, eller måske endda at matche din administratoradgangskode.
Hvordan ved jeg, om min Mac er påvirket af den adgangskodefrie root login fejl?
Det ser ud til at kun macOS High Sierra-maskiner påvirkes af denne sikkerhedsfejl. Den nemmeste måde at kontrollere, om din Mac er sårbar over for root login-fejlen, er at prøve og logge på som root uden adgangskode.
Du kan gøre dette fra den generelle boot login-skærm eller via et hvilket som helst admin-godkendelsespanel (klik på låseikonet), der er tilgængeligt i Systemindstillinger som FileVault eller Users & Groups.
Du skal blot sætte 'rod' som bruger, ikke indtaste en adgangskode, og klik på "Lås op" to gange - hvis fejlen påvirker dig, bliver du logget ind som root eller givet root privilegier. Du skal slå "låse op" to gange, første gang du klikker på knappen "låse op" oprettes det root-kontoen med et tomt kodeord. Anden gang du klikker på "låse op" logger den ind, hvilket giver mulighed for fuld rodadgang.
Bugten, som i grunden er en 0day root exploit, blev først rapporteret til offentligheden på Twitter af @lemiorhan og har hurtigt fået damp og medie opmærksomhed på grund af den potentielle alvorlighed af virkningen. Apple er tilsyneladende opmærksom på problemet og arbejder på en softwareopdatering for at løse problemet.
Har root login bug påvirket MacOS Sierra, Mac OS X El Capitan, eller før?
Den log-in-fejl, der ikke er adgangskodefrit, virker kun for at påvirke MacOS High Sierra 10.13.x og ser ikke ud til at påvirke tidligere versioner af MacOS og Mac OS X-systemsoftware.
Hvis du tidligere havde aktiveret root via kommandolinjen eller ved hjælp af Directory Utility, eller ændrede rodadgangskoden på et andet tidspunkt, ville fejlen ikke fungere på en sådan MacOS High Sierra-maskine.
Husk, at Apple er opmærksom på dette problem og vil udstede en sikkerhedsopdatering i den nærmeste fremtid for at løse fejlen. I mellemtiden gør dig selv en tjeneste og indstiller eller ændrer rodadgangskoden på Mac'er, der kører macOS High Sierra, for at beskytte dem mod uautoriseret fuld adgang til maskinen og alle dens data og indhold.