Snabbfix för att förhindra dscl obehöriga lösenordsändringar i OS X Lion
Vi skrev nyligen om verktyget dscl och hur det tillåter en Mac OS X Lion-användare att ändra ett lösenord utan att känna till det befintliga lösenordet. Bristen på erforderlig administratörsautentisering har sedan dess rapporterats allmänt som ett fel, och en liten säkerhetsuppdatering kommer troligen att utfärdas av Apple någon gång inom en snar framtid. Icke desto mindre, om du är paranoid över att någon får tag i din Mac och ändrar användarlösenordet utan auktorisation, kan du manuellt ändra behörigheterna för dscl-verktyget själv, tvingar den att kräva administrativa rättigheter för att kunna köras.
- Launch Terminal (finns på /Applications/Utilities/)
- Skriv följande kommando och tryck på retur:
- Du kommer att bli ombedd att ange det aktuella administrativa lösenordet för att bekräfta behörighetsändringen, ange den och tryck på retur
sudo chmod 100 /usr/bin/dscl
Detta är en enkel behörighetskorrigering som sannolikt efterliknar vad en officiell säkerhetsuppdatering kommer att göra. Användning av sudo chmod 100 anger att endast ägaren (root) kan köra kommandot dscl, vilket effektivt förhindrar andra icke-adminanvändare från att komma åt katalogtjänsterna utan att använda kommandot sudo, och därmed administratörslösenordet.
Det kan finnas några oavsiktliga konsekvenser av att ändra dessa behörigheter, men det är osannolikt att det påverkar de flesta användare. Om du stöter på några problem kan du alltid ändra tillbaka behörigheterna, som ser ut att vara inställda som 755 som standard.
Ett stort tack till “Tjb” som lämnade detta tips i kommentarerna!
Uppdatering: Jim T lämnade följande rekommendation i kommentarerna och föreslog ett annat chmod-kommando för att ändra behörigheterna:
Hans resonemang är att chmod 100 är för restriktiv genom att den ändrar kommandot till att endast köras, där rootanvändaren som tidigare kunde läsa, skriva och köra.