Z macOS High Sierra je bila odkrita pomembna varnostna ranljivost, ki potencialno dovoljuje kateri koli osebi, da se prijavi v Mac s polnimi administratorskimi zmožnostmi brez gesla.

To je nujna varnostna težava in čeprav bi morala kmalu prispeti posodobitev programske opreme za rešitev težave, bo v tem članku podrobno opisano, kako zaščititi vaš Mac pred to varnostno luknjo.

Pomembna posodobitev: Apple je izdal varnostno posodobitev 2017-001 za macOS High Sierra za odpravo napake pri korenski prijavi, prenesite jo zdaj. Če uporabljate macOS High Sierra, čim prej prenesite posodobitev na svoj Mac.

Kaj je napaka pri korenski prijavi in ​​zakaj je pomembna?

Za nekaj kratkega ozadja, varnostna luknja omogoča osebi, da vnese 'root' kot uporabniško ime in se nato takoj prijavi kot root v Mac brez gesla. Korenska prijava brez gesla se lahko izvede neposredno s fizičnim računalnikom na splošnem uporabniškem prijavnem zaslonu, ki se prikaže ob zagonu, s plošč s sistemskimi nastavitvami, ki običajno zahtevajo preverjanje pristnosti, ali celo prek VNC in oddaljene prijave, če sta zadnji dve funkciji oddaljenega dostopa omogočeni. Kateri koli od teh scenarijev nato omogoči popoln dostop do računalnika MacOS High Sierra brez uporabe gesla.

Korenski uporabniški račun zagotavlja najvišjo možno raven dostopa do sistema v MacOS ali katerem koli operacijskem sistemu, ki temelji na unixu, root poleg neomejenega dostopa do katere koli sistemske ravni podeli vse zmogljivosti skrbniških uporabniških računov na napravi komponente ali datoteke.

Uporabniki računalnikov Mac, na katere vpliva varnostna napaka, so vsi, ki uporabljajo macOS High Sierra 10.13, 10.13.1 ali 10.13.2 beta in še niso omogočili korenskega računa ali spremenili gesla za korenski uporabniški račun v sistemu Mac prej, kar je velika večina uporabnikov Maca, ki uporabljajo High Sierra.

Sliši se slabo, kajne? Je, vendar obstaja dokaj preprosta rešitev, ki bo preprečila, da bi ta varnostna napaka postala težava. Vse kar morate storiti je, da na prizadetem Macu nastavite geslo root.

Kako preprečiti korensko prijavo brez gesla v sistemu MacOS High Sierra

Obstajata dva pristopa za preprečevanje prijave root brez gesla na računalniku MacOS High Sierra, lahko uporabite imeniški pripomoček ali ukazno vrstico. Pokrili bomo oboje. Imeniški pripomoček je morda lažji za večino uporabnikov, saj je v celoti narejen iz grafičnega vmesnika na Macu, medtem ko pristop ukazne vrstice temelji na besedilu in na splošno velja za bolj zapletenega.

Uporaba pripomočka Directory Utility za zaklepanje korena

1. Odprite Spotlight v Macu tako, da pritisnete Command + preslednico (ali kliknete ikono Spotlight v zgornjem desnem kotu menijske vrstice) in vnesete »Directory Utility« ter pritisnete tipko Return za zagon aplikacije



2. Kliknite ikono majhne ključavnice v kotu in potrdite pristnost s prijavo v skrbniški račun



3. Sedaj povlecite navzdol meni »Uredi« in izberite »Spremeni korensko geslo…«



4. Vnesite geslo za root uporabniški račun in potrdite ter kliknite »V redu«



5. Zapri imenik

Če uporabniški račun root še ni omogočen, izberite »Omogoči korenskega uporabnika« in namesto tega nastavite geslo.

V bistvu je vse, kar počnete, dodeljevanje gesla korenskemu računu, kar pomeni, da bo prijava z root zahtevala geslo, kot bi moralo. Če na ta način ne dodelite gesla za root, naprava macOS High Sierra sprejme root prijavo brez gesla.

Uporaba ukazne vrstice za dodelitev korenskega gesla

Uporabniki, ki bi raje uporabljali ukazno vrstico v macOS, lahko prav tako nastavijo ali dodelijo korensko geslo s sudo in običajnim starim ukazom passwd.

1. Odprite aplikacijo Terminal, ki jo najdete v /Applications/Utilities/
2. Natančno vnesite naslednjo sintakso v terminal, nato pritisnite tipko return:

sudo passwd root

3. Vnesite svoje skrbniško geslo za preverjanje pristnosti in pritisnite return
4. Pri »Novo geslo« vnesite geslo, ki ga ne boste pozabili, kliknite »Return« in ga potrdite

Ne pozabite nastaviti korenskega gesla na nekaj, kar si boste zapomnili, ali se morda celo ujema z vašim skrbniškim geslom.

Kako naj vem, ali je na moj Mac vplivala napaka korenske prijave brez gesla?

Kaže, da ta varnostna napaka vpliva samo na stroje macOS High Sierra. Najlažji način, da preverite, ali je vaš Mac ranljiv za root prijavo, je, da se poskusite prijaviti kot root, brez gesla.

To lahko storite na splošnem zagonskem prijavnem zaslonu ali prek katere koli skrbniške plošče za preverjanje pristnosti (kliknete ikono ključavnice), ki je na voljo v sistemskih nastavitvah, kot je FileVault ali Uporabniki in skupine.

Preprosto vnesite »root« kot uporabnika, ne vnesite gesla in dvakrat kliknite »Odkleni« – če vas hrošč prizadene, boste prijavljeni kot root ali vam bodo dodeljene korenske pravice. Dvakrat morate pritisniti »odkleni«; prvič, ko kliknete gumb »odkleni«, se ustvari korenski račun s praznim geslom, ko drugič kliknete »odkleni«, se prijavi, kar omogoča popoln korenski dostop.

Napako, ki je v bistvu 0day root exploit, je javnosti na Twitterju prvi prijavil @lemiorhan in je hitro pridobila pozornost in pozornost medijev zaradi možne resnosti vpliva. Apple se očitno zaveda težave in dela na posodobitvi programske opreme za rešitev težave.

Ali napaka pri korenski prijavi vpliva na macOS Sierra, Mac OS X El Capitan ali prej?

Zdi se, da napaka pri korenski prijavi brez gesla vpliva samo na macOS High Sierra 10.13.x in zdi se, da ne vpliva na prejšnje različice sistemske programske opreme macOS in Mac OS X.

Poleg tega, če ste predhodno omogočili root prek ukazne vrstice ali s pripomočkom Directory Utility ali spremenili geslo root ob drugem času, napaka ne bi delovala na takem računalniku macOS High Sierra.

Ne pozabite, Apple se zaveda te težave in bo v bližnji prihodnosti izdal varnostno posodobitev za odpravo napake. Medtem si naredite uslugo in nastavite ali spremenite korensko geslo v računalnikih Mac z operacijskim sistemom macOS High Sierra, da jih zaščitite pred nepooblaščenim popolnim dostopom do računalnika ter vseh njegovih podatkov in vsebine.