Quick Fix zur Verhinderung von dscl Unautorisierte Passwortänderungen in OS X Lion

Wir haben kürzlich über das dscl-Dienstprogramm geschrieben und erfahren, wie es einem Benutzer von Mac OS X Lion ermöglicht wird, ein Kennwort zu ändern, ohne das vorhandene Kennwort zu kennen. Der Mangel an erforderlicher Admin-Authentifizierung wurde seither weithin als Fehler gemeldet, und ein kleines Sicherheitsupdate wird wahrscheinlich in naher Zukunft von Apple herausgegeben werden. Wenn Sie jedoch paranoid sind, wenn jemand Ihren Mac erfasst und das Benutzerpasswort ohne Autorisierung ändert, können Sie die Berechtigungen des Dienstprogramms dscl manuell ändern und erzwingen, dass für die Ausführung Administratorrechte erforderlich sind.

  • Terminal starten (befindet sich unter / Programme / Dienstprogramme /)
  • Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

    • sudo chmod 100 /usr/bin/dscl

  • Sie werden nach dem aktuellen Administrator-Passwort gefragt, um zu bestätigen, dass sich die Berechtigungen ändern, geben Sie es ein und drücken Sie die Eingabetaste

Dies ist ein einfacher Berechtigungs-Fix, der wahrscheinlich nachahmt, was ein offizielles Sicherheitsupdate tun wird. Die Verwendung von sudo chmod 100 besagt, dass nur der Eigentümer (root) den Befehl dscl ausführen kann, wodurch andere Nicht-Admin-Benutzer effektiv daran gehindert werden, auf das Verzeichnisdienste-Dienstprogramm zuzugreifen, ohne den Befehl sudo und damit das Administratorkennwort zu verwenden.

Es kann einige unbeabsichtigte Folgen der Änderung dieser Berechtigungen geben, aber es ist unwahrscheinlich, dass die meisten Benutzer davon betroffen sind. Wenn Sie Probleme haben, können Sie immer die Berechtigungen zurück ändern, die standardmäßig auf 755 eingestellt sind.

Ein großes Dankeschön an "Tjb", der diesen Tipp in den Kommentaren hinterlassen hat!

Update: Jim T hat die folgende Empfehlung in den Kommentaren hinterlassen und einen anderen chmod-Befehl vorgeschlagen, um die Berechtigungen zu ändern:

Tu dies stattdessen:

sudo chmod go -x / usr / bin / dscl

Das wird -only- die Ausführungsberechtigung für die Gruppe und andere entfernen, wobei die anderen Berechtigungen (Lesen und Schreiben und die vollständigen Berechtigungen von root) vollständig erhalten bleiben, wie es vor der Änderung der Fall war. Um umzukehren, mach folgendes:

sudo chmod gehe zu + x / usr / bin / dscl

Berühre nur die Dinge, die du anfassen musst!

Sein Argument ist, dass chmod 100 zu restriktiv ist, da es den Befehl nur zum Ausführen ändert, wobei der root-Benutzer wie zuvor lesen, schreiben und ausführen konnte.