MacOS High Sierra Security Bug tillater root login uten et passord, her er en løsning

Et betydelig sikkerhetsproblem har blitt oppdaget med MacOS High Sierra, noe som potensielt tillater at noen logger inn på en Mac med full rot administrative evner uten et passord.

Dette er et presserende sikkerhetsproblem, og mens en programvareoppdatering skal komme for å løse problemet snart, vil denne artikkelen angi hvordan du beskytter Mac-en din fra dette sikkerhetshullet.

Viktig oppdatering: Apple har gitt ut sikkerhetsoppdatering 2017-001 for MacOS High Sierra for å fikse root login-feilen, last den ned nå. Hvis du kjører MacOS High Sierra, last ned oppdateringen så snart som mulig til din Mac.

Hva er root login bug, og hvorfor er det viktig?

For litt rask bakgrunn gir sikkerhetshullet en person mulighet til å skrive inn 'root' som brukernavn og deretter logg på umiddelbart som root til Mac, uten et passord. Løsningsløs root-innlogging kan forekomme direkte med en fysisk maskin på det generelle brukerinnloggingsskjermbildet, sett oppstart, fra systemvalgspanelene som vanligvis krever godkjenning, eller til og med over VNC og ekstern pålogging hvis de to sistnevnte fjerntilgangsfunksjonene er aktivert. Noen av disse scenariene gir deretter full tilgang til MacOS High Sierra-maskinen uten å bruke et passord.

En rotenbrukerkonto gir det høyeste nivået av systemtilgang som er mulig på en MacOS eller et unixbasert operativsystem, rot gir alle muligheter for administrative brukerkontoer på maskinen i tillegg til ubegrenset tilgang til alle systemnivåkomponenter eller -filer.

Mac-brukere som påvirkes av sikkerhetsfeilen, inkluderer alle som kjører MacOS High Sierra 10.13, 10.13.1 eller 10.13.2-betaer som ikke tidligere har aktivert rotkontoen eller endret et passord for root-brukerkonto på Mac før, som er det store flertallet av Mac-brukere kjører High Sierra.

Høres dårlig ut, ikke sant? Det er, men det er en ganske enkel løsning som forhindrer at denne sikkerhetsbuggen blir et problem. Alt du trenger å gjøre er å sette et rotpassord på den berørte Mac.

Slik forhindrer du root-login uten et passord i MacOS High Sierra

Det er to tilnærminger for å hindre root-loggingen uten et passord på en MacOS High Sierra-maskin, du kan bruke Directory Utility eller kommandolinjen. Vi vil dekke begge deler. Directory Utility er kanskje lettere for de fleste brukere, siden det er fullført helt fra det grafiske grensesnittet på Mac, mens kommandolinjemetoden er tekstbasert og generelt betraktet som mer kompleks.

Bruk Directory Utility til å låse ned roten

  1. Åpne Spotlight på Mac ved å trykke på Command + mellomromstasten (eller klikk på Spotlight-ikonet øverst til høyre i menylinjen) og skriv inn "Directory Utility" og trykk tilbake for å starte appen

  2. Klikk på det lille låseikonet i hjørnet og godkjenne med en adminkontoinnlogging

  3. Nå trekker du ned "Rediger" -menyen og velger "Endre rotenpassord ..." ***

  4. Skriv inn et passord for root-brukerkontoen og bekreft, og klikk deretter på "OK"

  5. Lukk ut av Directory Utility

*** Hvis root-brukerkontoen ikke er aktivert, velg "Aktiver Root User" og sett inn et passord i stedet.

I hovedsak alt du gjør er å tildele et passord til root-kontoen, noe som betyr at logging inn med root vil kreve et passord som det skal. Hvis du ikke tilordner et passord for å rotere på denne måten, aksepterer en macOS High Sierra-maskin utrolig root-innlogging uten et passord i det hele tatt.

Bruke kommandolinjen til å tilordne et rootpassord

Brukere som foretrekker å bruke kommandolinjen i macOS, kan også sette eller tildele et rotpassord med sudo og den vanlige gamle passwd-kommandoen.

  1. Åpne Terminal-applikasjonen, funnet i / Programmer / Verktøy /
  2. Skriv følgende syntaks nøyaktig inn i terminalen, og trykk deretter retur-tasten:

    3. sudo passwd root

  3. Skriv inn administratorpassordet ditt for å godkjenne og trykk på retur
  4. Ved "Nytt passord", skriv inn et passord du ikke vil glemme, slå tilbake, og bekreft det

Pass på at du angir rotpassordet til noe du vil huske, eller kanskje til og med samsvarer med adminpassordet ditt.

Hvordan vet jeg om Mac-en min påvirkes av feilmeldingen for root-logginnlogging?

Det ser ut til at bare macOS High Sierra-maskiner påvirkes av denne sikkerhetsfilen. Den enkleste måten å sjekke om Macen din er sårbar for root-loggingsbuggen, er å prøve å logge på som root, uten et passord.

Du kan gjøre dette fra det generelle oppstartsskjermbildet, eller via et hvilket som helst administrasjonspanel (klikke på låsikonet) som er tilgjengelig i Systemvalg som FileVault eller Brukere og grupper.

Bare sett "root" som bruker, ikke skriv inn et passord, og klikk "Lås opp" to ganger - hvis feilen påvirker deg, vil du bli logget inn som root eller gitt root privilegier. Du må treffe "låse opp" to ganger, første gang du klikker på "låse opp" -knappen, oppretter du rotkontoen med et tomt passord, og den andre gangen du klikker på "låse opp" logger den inn, slik at du får full rottilgang.

Buggen, som i utgangspunktet er en 0-dagers rotutnyttelse, ble først rapportert til offentligheten på Twitter av @lemiorhan og har raskt fått damp- og medieoppmerksomhet på grunn av potensiell alvorlighetsgrad. Apple er tilsynelatende klar over problemet og jobber med en programvareoppdatering for å løse problemet.

Inneholder rotenes innloggingsfeil MacOS Sierra, Mac OS X El Capitan, eller tidligere?

Feilmeldingen for root-logg for passord uten root ser ut til å bare påvirke macOS High Sierra 10.13.x og ser ikke ut til å påvirke tidligere versjoner av MacOS og Mac OS X systemprogramvare.

I tillegg, hvis du tidligere hadde aktivert rot via kommandolinjen eller ved hjelp av Directory Utility, eller endret rotpassordet på en annen gang, ville feilen ikke fungere på en slik MacOS High Sierra-maskin.

Husk at Apple er klar over dette problemet og vil utstede en sikkerhetsoppdatering i nær fremtid for å løse feilen. I mellomtiden gjør deg selv en tjeneste og sett eller endre rotenes passord på Mac-er som kjører MacOS High Sierra for å beskytte dem mot uautorisert full tilgang til maskinen og alle data og innhold.