Quick Fix for å forhindre dscl Uautoriserte Passord Endringer i OS X Lion
Vi skrev nylig om dscl-verktøyet og hvordan det gjør det mulig for en Mac OS X Lion-bruker å endre et passord uten å vite det eksisterende passordet. Mangelen på nødvendig administrasjonsautentisering har siden blitt mye rapportert som en feil, og en liten sikkerhetsoppdatering vil trolig bli utstedt av Apple en gang i nær fremtid. Ikke desto mindre, hvis du er paranoid om noen får ahold av din Mac og endrer brukerpassordet uten tillatelse, kan du manuelt endre tillatelsene til dscl-verktøyet selv, og tvinge det til å kreve administrative rettigheter for å kunne kjøres.
- Launch Terminal (ligger på / Applications / Utilities /)
- Skriv inn følgende kommando og trykk på retur:
- Du vil bli bedt om det nåværende administrative passordet for å bekrefte tillatelsesendringene, skriv inn det og trykk på retur
sudo chmod 100 /usr/bin/dscl
Dette er en enkel tillatelserrettelse som sannsynligvis etterligner hva en offisiell sikkerhetsoppdatering vil gjøre. Ved å bruke sudo chmod 100 står det at bare eieren (root) kan utføre dscl-kommandoen, noe som effektivt forhindrer andre brukere uten administrasjon fra å få tilgang til katalogtjenesteprogrammet uten å bruke sudo-kommandoen, og dermed administratorpassordet.
Det kan være noen utilsiktede konsekvenser av å endre disse tillatelsene, men det er usannsynlig å påvirke de fleste brukere. Hvis du støter på noen problemer, kan du alltid endre tillatelsene tilbake, som ser ut til å være satt som 755 som standard.
En stor takk til "Tjb" som dro dette tipset i kommentarene!
Oppdatering: Jim T forlot følgende anbefaling i kommentarene, og foreslår en annen chmod-kommando for å endre tillatelsene:
Gjør dette i stedet:
sudo chmod go-x / usr / bin / dscl
Det vil - bare fjerne eksekutiv tillatelse på gruppe og andre, etterlate de andre tillatelsene (lese og skrive og rotens fullmakt) helt som før endringen. For å reversere, gjør:
sudo chmod gå + x / usr / bin / dscl
Bare berør ting du trenger å røre!
Hans begrunnelse er at chmod 100 er for begrensende fordi den endrer kommandoen til å utføre bare, hvor som før roten brukeren kunne lese, skrive og utføre.