MacOS High Sierra 安全漏洞允许无需密码的根登录
目录:
macOS High Sierra 发现了一个重大的安全漏洞,可能允许任何人在没有密码的情况下以完全根管理功能登录 Mac。
这是一个紧迫的安全问题,虽然应该很快就会有软件更新来解决这个问题,但本文将详细介绍如何保护您的Mac免受这个安全漏洞的侵害。
重要更新: Apple 已发布适用于macOS High Sierra 的安全更新2017-001 以修复root 登录错误,请立即下载。如果您正在运行 macOS High Sierra,请尽快将更新下载到您的 Mac。
什么是根登录错误,为什么它很重要?
对于一些快速的背景知识,安全漏洞允许一个人输入“root”作为用户名,然后立即以 root 身份登录到 Mac,而无需密码。无密码 root 登录可以直接在物理机上在启动时看到的一般用户登录屏幕上进行,从通常需要身份验证的系统首选项面板,或者如果启用了后两个远程访问功能,甚至可以通过 VNC 和远程登录进行。这些场景中的任何一个都允许完全访问 MacOS High Sierra 机器,而无需使用密码。
root 用户帐户在 MacOS 或任何基于 unix 的操作系统上提供最高级别的系统访问权限,除了不受限制地访问任何系统级别之外,root 还授予计算机上管理用户帐户的所有功能组件或文件。
受安全漏洞影响的 Mac 用户包括运行 macOS High Sierra 10.13、10.13.1 或 10.13.2 beta 且之前未在 Mac 上启用根帐户或更改根用户帐户密码的任何人之前,这是绝大多数运行High Sierra的Mac用户。
听起来很糟糕,对吧?是的,但是有一个相当简单的解决方法可以防止这个安全漏洞成为问题。您所要做的就是在受影响的 Mac 上设置根密码。
如何在MacOS High Sierra中防止没有密码的root登录
有两种方法可以防止在MacOS High Sierra 机器上无密码root 登录,您可以使用目录实用程序或命令行。我们将涵盖两者。目录实用程序对于大多数用户来说可能更容易,因为它完全是通过 Mac 上的图形界面完成的,而命令行方法是基于文本的,通常被认为更复杂。
使用目录实用程序锁定根目录
- 在 Mac 上打开 Spotlight,方法是按 Command+空格键(或单击菜单栏右上角的 Spotlight 图标)并输入“目录实用程序”,然后按回车键启动应用程序
- 单击角落的小锁图标并使用管理员帐户登录进行身份验证
- 现在下拉“编辑”菜单并选择“更改根密码...”
- 输入root用户的密码并确认,然后点击“确定”
- 关闭目录工具
如果尚未启用root 用户帐户,请选择“启用Root 用户”,然后设置密码。
基本上,您所做的只是为root 帐户分配一个密码,这意味着使用root 帐户登录将需要一个密码。如果你不以这种方式为 root 分配密码,令人惊讶的是,macOS High Sierra 机器接受根本没有密码的 root 登录。
使用命令行分配根密码
喜欢在 macOS 中使用命令行的用户也可以使用 sudo 和常规的旧 passwd 命令设置或分配根密码。
- 打开终端应用程序,在/Applications/Utilities/中找到
- 在终端中准确键入以下语法,然后按回车键:
- Enter your admin password to authentication and hit return
- 在“新密码”处,输入一个你不会忘记的密码,回车,确认
sudo passwd root
一定要将根密码设置为您会记住的密码,甚至可能与您的管理员密码相匹配。
我怎么知道我的Mac是否受到无密码根登录错误的影响?
看来只有macOS High Sierra 机器会受到此安全漏洞的影响。检查您的 Mac 是否容易受到 root 登录错误的最简单方法是尝试以 root 身份登录,没有密码。
You can do this from the general boot login screen,或者通过系统偏好设置中可用的任何管理员身份验证面板(单击锁定图标),如FileVault或用户和组。
只需将“root”用户设为“root”,不输入密码,然后点击“解锁”两次——如果bug影响到你,那么你将以root身份登录或授予root权限。你必须点击“解锁”两次,第一次点击“解锁”按钮它会创建一个密码为空的root账户,第二次你点击“解锁”它会登录,允许完全root访问。
该漏洞基本上是一个 0day root 漏洞利用,它首先由@lemiorhan 在 Twitter 上向公众报告,由于影响的潜在严重性,该漏洞很快引起了热议和媒体的关注。 Apple 显然已经意识到了这个问题,并且正在开发软件更新来解决这个问题。
root登录错误是否影响macOS Sierra、Mac OS X El Capitan或之前的版本?
无密码root登录错误似乎只影响macOS High Sierra 10.13.x,似乎不会影响早期版本的macOS和Mac OS X系统软件。
此外,如果您之前通过命令行或目录实用程序启用了root,或者在其他时间更改了root密码,则该错误将无法在此类macOS High Sierra机器上运行。
请记住,Apple 已意识到此问题,并将在不久的将来发布安全更新以解决该错误。同时,帮自己一个忙,在运行 macOS High Sierra 的 Mac 上设置或更改 root 密码,以保护他们免受未经授权的完全访问机器及其所有数据和内容。
