Quick Fix for å forhindre dscl Uautoriserte Passord Endringer i OS X Lion

Vi skrev nylig om dscl-verktøyet og hvordan det gjør det mulig for en Mac OS X Lion-bruker å endre et passord uten å vite det eksisterende passordet. Mangelen på nødvendig administrasjonsautentisering har siden blitt mye rapportert som en feil, og en liten sikkerhetsoppdatering vil trolig bli utstedt av Apple en gang i nær fremtid. Ikke desto mindre, hvis du er paranoid om noen får ahold av din Mac og endrer brukerpassordet uten tillatelse, kan du manuelt endre tillatelsene til dscl-verktøyet selv, og tvinge det til å kreve administrative rettigheter for å kunne kjøres.

  • Launch Terminal (ligger på / Applications / Utilities /)
  • Skriv inn følgende kommando og trykk på retur:

    • sudo chmod 100 /usr/bin/dscl

  • Du vil bli bedt om det nåværende administrative passordet for å bekrefte tillatelsesendringene, skriv inn det og trykk på retur

Dette er en enkel tillatelserrettelse som sannsynligvis etterligner hva en offisiell sikkerhetsoppdatering vil gjøre. Ved å bruke sudo chmod 100 står det at bare eieren (root) kan utføre dscl-kommandoen, noe som effektivt forhindrer andre brukere uten administrasjon fra å få tilgang til katalogtjenesteprogrammet uten å bruke sudo-kommandoen, og dermed administratorpassordet.

Det kan være noen utilsiktede konsekvenser av å endre disse tillatelsene, men det er usannsynlig å påvirke de fleste brukere. Hvis du støter på noen problemer, kan du alltid endre tillatelsene tilbake, som ser ut til å være satt som 755 som standard.

En stor takk til "Tjb" som dro dette tipset i kommentarene!

Oppdatering: Jim T forlot følgende anbefaling i kommentarene, og foreslår en annen chmod-kommando for å endre tillatelsene:

Gjør dette i stedet:

sudo chmod go-x / usr / bin / dscl

Det vil - bare fjerne eksekutiv tillatelse på gruppe og andre, etterlate de andre tillatelsene (lese og skrive og rotens fullmakt) helt som før endringen. For å reversere, gjør:

sudo chmod gå + x / usr / bin / dscl

Bare berør ting du trenger å røre!

Hans begrunnelse er at chmod 100 er for begrensende fordi den endrer kommandoen til å utføre bare, hvor som før roten brukeren kunne lese, skrive og utføre.