1. Bahay
  2. Apple
  3. MacOS High Sierra Security Bug Nagbibigay-daan sa Root Login Nang Walang Password

MacOS High Sierra Security Bug Nagbibigay-daan sa Root Login Nang Walang Password

Talaan ng mga Nilalaman:

Anonim

Natuklasan ang isang malaking kahinaan sa seguridad sa macOS High Sierra, na posibleng magpapahintulot sa sinumang tao na mag-log in sa isang Mac na may ganap na root administrative na kakayahan nang walang password.

Ito ay isang agarang problema sa seguridad, at habang dapat dumating ang isang pag-update ng software upang maresolba ang problema sa lalong madaling panahon, idedetalye ng artikulong ito kung paano protektahan ang iyong Mac mula sa butas ng seguridad na ito.

Mahalagang Update: Inilabas ng Apple ang Security Update 2017-001 para sa macOS High Sierra para ayusin ang root login bug, i-download ito ngayon. Kung nagpapatakbo ka ng macOS High Sierra, i-download ang update sa lalong madaling panahon sa iyong Mac.

Ano ang root login bug, at bakit ito mahalaga?

Para sa ilang mabilis na background, pinapayagan ng security hole ang isang tao na ipasok ang 'root' bilang username at pagkatapos ay agad na mag-log in bilang root sa Mac, nang walang password. Ang root login na walang password ay maaaring direktang mangyari sa isang pisikal na makina sa pangkalahatang screen ng pag-login ng user na makikita sa boot, mula sa mga panel ng System Preferences na karaniwang nangangailangan ng pagpapatotoo, o kahit sa VNC at Remote Login kung ang huling dalawang remote access na feature ay pinagana. Ang alinman sa mga sitwasyong ito ay magbibigay-daan sa ganap na access sa MacOS High Sierra machine nang hindi gumagamit ng password.

Ang root user account ay nagbibigay ng pinakamataas na antas ng system access na posible sa isang MacOS o anumang unix based na operating system, ang root ay nagbibigay ng lahat ng kakayahan ng administrative user account sa machine bilang karagdagan sa hindi pinaghihigpitang pag-access sa anumang antas ng system mga bahagi o file.

Kasama sa Mac user na naapektuhan ng security bug ang sinumang nagpapatakbo ng macOS High Sierra 10.13, 10.13.1, o 10.13.2 betas na hindi pa pinagana ang root account o binago ang root user account password sa Mac dati, na siyang karamihan sa mga gumagamit ng Mac na nagpapatakbo ng High Sierra.

Sounds bad, right? Ito ay, ngunit mayroong isang medyo madaling solusyon na pipigilan ang bug sa seguridad na ito na maging isang problema. Ang kailangan mo lang gawin ay magtakda ng root password sa apektadong Mac.

Paano Pigilan ang Pag-login sa Root Nang Walang Password sa MacOS High Sierra

Mayroong dalawang diskarte sa pagpigil sa root login nang walang password sa MacOS High Sierra machine, maaari mong gamitin ang Directory Utility o ang command line. Sakop natin pareho. Maaaring mas madali ang Directory Utility para sa karamihan ng mga user dahil ganap itong nagagawa mula sa graphical na interface sa Mac, samantalang ang command line approach ay text based at sa pangkalahatan ay itinuturing na mas kumplikado.

Paggamit ng Directory Utility para I-lock Down ang Root

  1. Buksan ang Spotlight sa Mac sa pamamagitan ng pagpindot sa Command+Spacebar (o pag-click sa icon ng Spotlight sa kanang sulok sa itaas ng menubar) at i-type ang “Directory Utility” at pindutin ang return para ilunsad ang app

  2. I-click ang maliit na icon ng lock sa sulok at patotohanan gamit ang login account ng admin

  3. Ngayon hilahin pababa ang menu na “I-edit” at piliin ang “Baguhin ang Root Password…”

  4. Maglagay ng password para sa root user account at kumpirmahin, pagkatapos ay i-click ang “OK”

  5. Isara ang Directory Utility

Kung hindi pa naka-enable ang root user account, piliin ang “Enable Root User” at pagkatapos ay magtakda na lang ng password.

Essentially ang ginagawa mo lang ay magtalaga ng password sa root account, ibig sabihin, ang pag-log in gamit ang root ay mangangailangan ng password ayon sa nararapat. Kung hindi ka magtatalaga ng password para mag-root sa ganitong paraan, kamangha-mangha, tumatanggap ang macOS High Sierra machine ng root login nang walang password.

Paggamit ng Command Line para Magtalaga ng Root Password

Ang mga user na gustong gumamit ng command line sa macOS ay maaari ding magtakda o magtalaga ng root password na may sudo at ang regular na lumang passwd command.

  1. Buksan ang Terminal application, makikita sa /Applications/Utilities/
  2. I-type ang sumusunod na syntax nang eksakto sa terminal, pagkatapos ay pindutin ang return key:

    3. sudo passwd root

  3. Ilagay ang iyong password ng admin para ma-authenticate at pindutin ang return
  4. Sa “Bagong password”, maglagay ng password na hindi mo makakalimutan, pindutin ang return, at kumpirmahin ito

Siguraduhing itakda ang root password sa isang bagay na maaalala mo, o marahil ay tumutugma sa iyong admin password.

Paano ko malalaman kung ang aking Mac ay naapektuhan ng walang password na root login bug?

Mukhang mga macOS High Sierra machine lang ang apektado ng security bug na ito. Ang pinakamadaling paraan upang tingnan kung ang iyong Mac ay mahina sa root login bug ay ang subukang mag-login bilang root, nang walang password.

Magagawa mo ito mula sa pangkalahatang screen ng pag-login sa boot, o sa pamamagitan ng anumang panel ng pagpapatunay ng admin (pag-click sa icon ng lock) na available sa Mga Kagustuhan sa System tulad ng FileVault o Mga User at Grupo.

Ilagay lang ang 'root' bilang user, huwag maglagay ng password, at i-click ang "I-unlock" nang dalawang beses - kung maapektuhan ka ng bug, mai-log in ka bilang root o bibigyan ng mga pribilehiyo sa ugat. Dapat mong pindutin ang "unlock" ng dalawang beses, sa unang pagkakataon na i-click mo ang "unlock" na buton ay lilikha ito ng root account na may blangkong password, at sa pangalawang beses na i-click mo ang "unlock" ito ay magla-log in, na nagbibigay-daan para sa ganap na root access.

Ang bug, na karaniwang isang 0day root exploit, ay unang iniulat sa publiko sa Twitter ni @lemiorhan at mabilis na nakakuha ng atensyon at media dahil sa potensyal na tindi ng epekto. Maliwanag na alam ng Apple ang isyu at gumagawa siya ng pag-update ng software para maresolba ang problema.

Naaapektuhan ba ng root login bug ang macOS Sierra, Mac OS X El Capitan, o dati?

Ang walang password na root login bug ay lumilitaw na nakakaapekto lamang sa macOS High Sierra 10.13.x at mukhang hindi nakakaapekto sa mga naunang bersyon ng macOS at Mac OS X system software.

Bukod dito, kung dati mong pinagana ang root sa pamamagitan ng command line o sa pamamagitan ng Directory Utility, o binago ang root password sa ibang pagkakataon, hindi gagana ang bug sa naturang macOS High Sierra machine.

Tandaan, alam ng Apple ang problemang ito at maglalabas ng update sa seguridad sa malapit na hinaharap upang matugunan ang bug. Pansamantala, gawin ang iyong sarili ng isang pabor at itakda o baguhin ang root password sa mga Mac na nagpapatakbo ng macOS High Sierra upang maprotektahan sila mula sa hindi awtorisadong ganap na pag-access sa makina at lahat ng data at nilalaman nito.

MacOS High Sierra Security Bug Nagbibigay-daan sa Root Login Nang Walang Password

Pagpili ng editor

Apple
iStumbler – Madaling Maghanap ng Mga Wi-Fi Network mula sa Mac

iStumbler – Madaling Maghanap ng Mga Wi-Fi Network mula sa Mac

2024
Apple
Limang Holiday Mac OS X Apps na magpapalaganap ng cheer sa buong desktop mo

Limang Holiday Mac OS X Apps na magpapalaganap ng cheer sa buong desktop mo

2024
Apple
Sampung OS X Command Line Utility na Maaaring Hindi Mo Alam

Sampung OS X Command Line Utility na Maaaring Hindi Mo Alam

2024
Apple
CoconutBattery – Kumuha ng Pinahabang Impormasyon ng Baterya ng mga Mac Laptop

CoconutBattery – Kumuha ng Pinahabang Impormasyon ng Baterya ng mga Mac Laptop

2024
Apple
Paano Ilunsad ang Application sa System Start sa Mac OS X

Paano Ilunsad ang Application sa System Start sa Mac OS X

2024
Apple
Paano Manu-manong Ayusin ang Backlight ng Keyboard ng MacBook Pro

Paano Manu-manong Ayusin ang Backlight ng Keyboard ng MacBook Pro

2024