Snabb Fix för att förhindra dscl obehöriga lösenordsändringar i OS X Lion
Vi skrev nyligen om verktyget dscl och hur det gör det möjligt för en Mac OS X Lion-användare att ändra ett lösenord utan att veta det befintliga lösenordet. Bristen på nödvändig administratörsautentisering har sedan länge rapporterats som en bugg, och en liten säkerhetsuppdatering kommer sannolikt att utfärdas av Apple någon gång inom en snar framtid. Men om du är paranoid om någon som hämtar din Mac och ändrar användarlösenordet utan tillstånd, kan du manuellt ändra behörigheterna för dscl-verktyget själv och tvinga det att kräva administrativa behörigheter för att kunna köras.
- Starta terminal (finns på / Program / Verktyg /)
- Skriv följande kommando och tryck på Retur:
- Du kommer att bli ombedd för det aktuella administrativa lösenordet för att bekräfta behörighetsförändringen, ange det och tryck på Retur
sudo chmod 100 /usr/bin/dscl
Det här är en enkel behörighetsfix som sannolikt efterliknar vad en officiell säkerhetsuppdatering kommer att göra. Med sudo chmod 100 anges att endast ägaren (root) kan exekvera kommandot dscl, vilket effektivt hindrar andra icke-administrativa användare från att komma åt katalogtjänsten utan att använda sudo-kommandot och därmed administratörslösenordet.
Det kan finnas några oavsiktliga konsekvenser av att ändra dessa behörigheter, men det är osannolikt att de flesta användare påverkas. Om du stöter på några problem kan du alltid ändra behörigheterna tillbaka, som ser ut att vara som 755 som standard.
Ett stort tack till "Tjb" som lämnade detta tips i kommentarerna!
Uppdatering: Jim T lämnade följande rekommendation i kommentarerna, vilket föreslår ett annat chmod-kommando för att ändra behörigheterna:
Gör istället det här:
sudo chmod go-x / usr / bin / dscl
Det kommer att -a-ta bort exekvera tillståndet på grupp och andra, lämna de andra behörigheterna (läs & skriv och rotets fullständiga behörigheter) helt som före förändringen. För att vända, gör:
sudo chmod gå + x / usr / bin / dscl
Bara peka på de saker du behöver röra!
Hans resonemang är att chmod 100 är för restriktiv genom att det ändrar kommandot att exekvera endast, där som tidigare användaren kunde läsa, skriva och exekvera.