Milžiniška saugumo skylė žiojėja macOS High Sierra - kaip ją užlopyti [atnaujinta 2017-11-29]
Aptikta milžiniška saugumo spraga „macOS High Sierra“ leidžianti Mac kompiuteryje prisijungti prie administravimo teises turinčio „root“ naudotojo paskyros neįvedus jokio slaptažodžio.
Lapkričio 28 dieną, Turkijos programuotojas aptiko milžinišką saugumo saugumo spragą „macOS High Sierra“ operacinėje sistemoje: įgalintą root naudotoją ir galimybę prie šio naudotojo paskyros prisijungti neįvedant jokio slaptažodžio. Turint root teises, praktiškai nėra tokio dalyko, kurio negalėtumėte atlikti sistemoje, tame tarpe ir kitų naudotojų paskyrose. Ši saugumo spraga neaptikta „macOS Sierra 10.12.6“ ir ankstesnėse versijose.
Kai kurie atnaujinimą įdiegę „macOS High Sierra“ naudotojai pradėjo skųstis, kad jiems nustojo veikusi failų bendrinimo paslauga. Jei esate vienas tų, kuriems taip nutiko:
- Atidarykite Terminal aplikaciją (rasite /Applications/Utilities aplanke)
- Terminal aplikacijos lange parašykite
sudo /usr/libexec/configureLocalKDC
ir paspauskite return ⏎ - „Terminal“ lange įveskite kompiuterio administratoriaus slaptažodį. Atminkite, kad jį vedant ekrane nematysite ką rašote ir kad rašote, todėl veskite dėmesingai ir jį įvedę spauskite return ⏎.
- Uždarykite „Terminal“ aplikaciją
Viso šio reikalo rimtumą padidina ir tai, kad tam tikromis sąlygomis šią saugumo spragą galima išnaudoti ir prisijungus prie kompiuterio nuotoliniu būdu. „Apple“ sako jau kurianti atnaujinimą, kuris panaikins šią problemą. Reikia manyti jis pasirodys labai greitai. Kaip panaikinti šią saugumo spragą dabar, kol „Apple“ neišleido ją panaikinančio atnaujinimo:
Uždarykite galimybę prie kompiuterio prisijungti nuotoliniu būdu
Jei esate įdiegę aplikacijas leidžiančias prie kompiuterio prisijungti nuotoliniu būdu ir jos automatiškai startuoja paleidžiant kompiuterį ar prisijungiant prie kompiuterio naudotojo paskyrų: arba šias aplikacijas pašalinkite iš kompiuterio, arba neleiskite joms ar jų procesams automatiškai startuoti ir perkraukite kompiuterį.
Taip pat patikrinkite ar nesate galimybės prie kompiuterio prisijungti nuotoliniu būdu prisijungti įgalinę sistemos nustatymuose: System Preferences → Sharing → patikrinkite ar kairėje pusėje nėra padėta varnelių prie Screen Sharing, Remote Login ir Remote Management
Įgalinkite root naudotoją ir apsaugokite jo paskyrą slaptažodžiu
Jei nesate įgalinę root naudotojo kompiuteryje - įgalinkite jį:
- Atidarykite System Preferences aplikaciją ir paspauskite ant Users & Groups (arba Accounts)
- Paspauskite ant spynos piktogramos.
- Paspauskite ant Login Options (lango kairėje esančio stulpelio apačioje).
- Paspauskite Join… (arba Edit).
- Paspauskite ant Open Directory Utility.
- „Directory Utility“ lange paspauskite ant spynos piktogramos ir įveskite kompiuterio administratoriaus paskyros pavadinimą ir slaptažodį.
- „Directory Utility“, meniu juostoje pasirinkite: Edit → Enable Root User ir įveskite slaptažodį, kurį norite naudoti root paskyrai ir patvirtinkite jį įvesdami dar kartą.
- Užrakinkite spynas ir uždarykite „Directory Utility“ ir „System Preferences“ aplikacijas.
Apsaugokite root vartotojo paskyrą slaptažodžiu
Jei esate įgalinę root naudotoją — apsaugokite jo paskyrą slaptažodžiu
- Atidarykite System Preferences aplikaciją ir paspauskite ant Users & Groups (arba Accounts)
- Paspauskite ant spynos piktogramos.
- Paspauskite ant Login Options (lango kairėje esančio stulpelio apačioje).
- Paspauskite Join… (arba Edit).
- Paspauskite ant Open Directory Utility.
- „Directory Utility“ lange paspauskite ant spynos piktogramos ir įveskite kompiuterio administratoriaus paskyros pavadinimą ir slaptažodį.
- „Directory Utility“, meniu juostoje pasirinkite: Edit → Change Root Password… ir įveskite slaptažodį, kurį norite naudoti root paskyrai ir patvirtinkite jį įvesdami dar kartą.
- Užrakinkite spynas ir uždarykite „Directory Utility“ ir „System Preferences“ aplikacijas.
Labiau mėgstantys „Terminal“ metodą – root slaptažodį gali pakeisti
sudo passwd -u root
komandos pagalba ir pradžioje nurodę kompiuterio administratoriaus slaptažodį ir po to įvedę root’ui skirtą simbolių, didžiųjų ir mažųjų raidžių bei skaičių seką, kuri bus naujas root naudotojo slaptažodis. Būtų neblogai kad jo nepamirštumėte.
Šių žingsnių reikėtų imtis iki „Apple“ išleis atnaujinimą skirtą užlopyti šiai milžiniškai sistemos skylei. Po to kai tą „Apple“ atnaujinimą įdiegsite — root naudotojo paskyrą galėsite atjungti (jei „Apple“ atnaujinimas to nepadarys automatiškai).
Ubuntu turbut saugesnis jau nei Mac OSSSSSS
Šiuo momentu manau net ir Windows saugesnė :)
Dabar, įdiegus atnaujinimą ištaisantį šią spragą, matyt (tikėkimės) ji vėl saugesnė ir už Ubuntu ir už langines.
Atjungia root'ą patch'as? Jei ne - rekomenduotina atjungt ar palikt?
Atnaujinimas root'ą atjungia. Manau jei jei nereikia prieigos prie Darwino ar nepozicionuojate savęs kaip superuser'io — jums root reiksių nereikia. Jau nekalbant apie tai, kad net kasdieniam naudojimui skirtas „user'is“ neturėtų turęti administratoriaus teises (nekalbant jau apie root teises).
Debilai, sorry, bet kito žodžio apibudinti nerandu.
Na va kaip gerai kad dar neupdeitinau i High Sierra. Kazkada juokemes is Windows ir profesionalai rekomaduodavo Windows instaliuoti tik kai pasirodydavo Service Pack 2, tai dabar su macos taspats, tik po antro rimto atnaujinimo galima instaliuotis nauja macos
Windows XP lygis, jau neskaitant kad icloud kiauras ir visas nuotraukas leakina, tai ir OS kiaura.
Pro useriai naudoja Linux arba Windows ir nieko čia nepakeisi.
iCloud nuotraukas leakina tiems pas ką slaptažodis „peter123“ ir jis toks pats ir kitoms to paties veikėjo paskyroms.
Kas link Pro, tai žiūrint kokios srities tas naudotojas yra Pro. Vis daugiau kompiuterių naudotojų pradeda naudoti Mac, tame tarpe ir įmonėse. Prie Linux'o kaip darbo stoties dažniausiai pereina (gal negražiai čia pasakysiu, bet) vos galą su galu suduriantys „Pro“ naudotojai.
Na, jei žmonės dirba su Linux, manau nesunkiai gali ir hackintosha pasikurti, kuris duos į kaulus native Mac'ams. Ir aš dar kartą pasikartosiu, Pro useriai nenaudoja Mac.
Kadangi aš dirbau retail srityje, tai galiu užtikrinti. Jei yra pasirinkimas Thinkpad ar MBP, 8 iš 10 atvėjų bus Thinkpad. Kitas pavyzdys MbAir vs Zenbook, deja šį kartą korta ne Apple rankose.
Ps. pro mano rankas yra praėja tiek Apple laptopų, kad Tau dar toli šnekėti apie rinkos situacija LTU.
Ps.s. Rimtose įmonėse, +5kk euro, Mac'us naudoja PR ir HR skyriai. Tie kas realiai uždirbinėja pinigus renkasi Dell, HP, Lenovo. :)
O ką Jūs vadinate Pro useriais?