Hurtig Fix for at forhindre dscl Uautoriseret Password Changes i OS X Lion
Vi har for nylig skrevet om dscl-værktøjet, og hvordan det gør det muligt for en Mac OS X Lion-bruger at ændre en adgangskode uden at kende den eksisterende adgangskode. Manglen på administrativ godkendelse er siden blevet rapporteret som en fejl, og en lille sikkerhedsopdatering vil sandsynligvis blive udstedt af Apple engang i den nærmeste fremtid. Ikke desto mindre, hvis du er paranoid over for nogen, der får fat på din Mac og ændrer brugeradgangskoden uden tilladelse, kan du manuelt ændre rettighederne til dscl-programmet selv, hvilket tvinger det til at kræve administrative rettigheder for at blive kørt.
- Launch Terminal (placeret på / Applications / Utilities /)
- Indtast følgende kommando og tryk retur:
- Du bliver bedt om den nuværende administrative adgangskode for at bekræfte tilladelsesændringen, indtaste den og trykke på retur
sudo chmod 100 /usr/bin/dscl
Dette er en simpel tilladelsesrettelse, der sandsynligvis efterligner, hvad en officiel sikkerhedsopdatering vil gøre. Ved hjælp af sudo chmod 100 hedder det, at kun ejeren (root) kan udføre kommandoen dscl, hvilket effektivt forhindrer andre ikke-admin-brugere at få adgang til katalogtjenesterne uden at bruge sudo-kommandoen og dermed administratoradgangskoden.
Der kan være nogle utilsigtede konsekvenser af at ændre disse tilladelser, men det er usandsynligt, at de får de fleste brugere. Hvis du støder på nogle problemer, kan du altid ændre tilladelserne tilbage, som ser ud til at være angivet som 755 som standard.
En stor tak til "Tjb", der forlod dette tip i kommentarerne!
Opdatering: Jim T forlod følgende anbefaling i kommentarerne og foreslår en anden chmod-kommando for at ændre tilladelserne:
I stedet gør det her:
sudo chmod go-x / usr / bin / dscl
Det vil - fjernet-fjerner eksekutiv tilladelsen på gruppen og andre, hvilket efterlader de øvrige tilladelser (læs og skriv og root's fuld tilladelser) helt som før ændringen. For at vende om, gør:
sudo chmod go + x / usr / bin / dscl
Bare rør de ting, du skal røre ved!
Hans ræsonnement er, at chmod 100 er for restriktivt, idet det ændrer kommandoen til kun at udføre, hvor som før rodbrugeren kunne læse, skrive og udføre.