Correzione rapida per impedire dscl Modifiche password non autorizzate in OS X Lion

Abbiamo recentemente scritto sull'utilità dscl e su come consente a un utente Mac OS X Lion di modificare una password senza conoscere la password esistente. La mancanza di autenticazione amministrativa richiesta è stata ampiamente segnalata come un bug e probabilmente un piccolo aggiornamento di sicurezza verrà rilasciato da Apple nel prossimo futuro. Tuttavia, se sei paranoico su qualcuno che si appropria del tuo Mac e modifica la password dell'utente senza autorizzazione, puoi modificare manualmente le autorizzazioni del programma di utilità dscl, forzandolo a richiedere i privilegi amministrativi per poter essere eseguito.

  • Launch Terminal (disponibile in / Applicazioni / Utility /)
  • Digitare il seguente comando e premere Invio:

    • sudo chmod 100 /usr/bin/dscl

  • Ti verrà chiesta la password amministrativa corrente per confermare le modifiche, inserirla e premere Invio

Questa è una semplice correzione delle autorizzazioni che probabilmente simula ciò che un aggiornamento di sicurezza ufficiale farà. Usando sudo chmod 100 si afferma che solo il proprietario (root) è in grado di eseguire il comando dscl, che impedisce efficacemente agli altri utenti non amministratori di accedere all'utilità dei servizi di directory senza utilizzare il comando sudo e quindi la password dell'amministratore.

Potrebbero esserci alcune conseguenze indesiderate di modifica di tali autorizzazioni, ma è improbabile che si ripercuotano sulla maggior parte degli utenti. Se riscontri dei problemi, puoi sempre modificare le autorizzazioni, che per impostazione predefinita devono essere impostate come 755.

Un grande ringraziamento a "Tjb" che ha lasciato questo suggerimento nei commenti!

Aggiornamento: Jim T ha lasciato il seguente consiglio nei commenti, suggerendo un altro comando chmod per modificare le autorizzazioni:

Invece, fai questo:

sudo chmod go-x / usr / bin / dscl

Ciò consentirà solo di rimuovere l'autorizzazione di esecuzione su gruppo e altro, lasciando completamente le altre autorizzazioni (leggi e scrivi e le autorizzazioni complete di root) come era prima della modifica. Per invertire, fai:

sudo chmod go + x / usr / bin / dscl

Tocca solo le cose che devi toccare!

Il suo ragionamento è che chmod 100 è troppo restrittivo in quanto cambia il comando da eseguire solo, dove come prima l'utente root poteva leggere, scrivere ed eseguire.