少し前にTaisyoさんのところで『「OS X Lion」にパスワードを勝手に変更される可能性がある問題が見つかる』という記事を見かけたので,自分の環境で試してみました.
詳しいことは元ネタの元ネタになるDefence in Depthの “Cracking OS X Lion Passwords” に書いてあるので参考に.
まず何が問題なのかというと,自分のMacに他の人が物理的にアクセスできる状態の時に本来シャドウ化されているはずの(パスワード自体ではなく)パスワードのハッシュにアクセスしたり,現在のパスワードを知らなくても新しいパスワードを設定できるように,Directory Service command line utilityであるdsclコマンドを悪用される可能性があるということです.
もっとも,自分が不在の時に自分のMacが操作可能でないとコマンドを入力できないので,自動ログインをオフにしたり,スクリーンセイバーの解除にパスワード入力を必要とする設定を施しておけばかなりリスクが減らせます.
また,複数のアカウントが登録されている場合,現在ログインしているユーザのみが対象なので,自分のアカウントでログインしていないときには問題ありません.
このdsclっていうコマンドは/usr/binに存在するんですけど,上の対処法よりももう少しリスクが減らせる方法がDefence in Depthの最後に書いてあります.
詳しいことは元ネタの元ネタになるDefence in Depthの “Cracking OS X Lion Passwords” に書いてあるので参考に.
まず何が問題なのかというと,自分のMacに他の人が物理的にアクセスできる状態の時に本来シャドウ化されているはずの(パスワード自体ではなく)パスワードのハッシュにアクセスしたり,現在のパスワードを知らなくても新しいパスワードを設定できるように,Directory Service command line utilityであるdsclコマンドを悪用される可能性があるということです.
もっとも,自分が不在の時に自分のMacが操作可能でないとコマンドを入力できないので,自動ログインをオフにしたり,スクリーンセイバーの解除にパスワード入力を必要とする設定を施しておけばかなりリスクが減らせます.
また,複数のアカウントが登録されている場合,現在ログインしているユーザのみが対象なので,自分のアカウントでログインしていないときには問題ありません.
-rwxr-xr-x 1 root wheel 272976 Jul 23 15:19 dscl
このdsclっていうコマンドは/usr/binに存在するんですけど,上の対処法よりももう少しリスクが減らせる方法がDefence in Depthの最後に書いてあります.
sudo chmod 100 /usr/bin/dscl
ターミナルから上のコマンドを入力.
つまり,コマンドのパーミッションをrootが実行できるだけに変更するということですが,コメントにも少し書いてあるように,これだとかなり厳しすぎるような...
なので, “100” のところを “700” とか “744” くらいでも良いのではないかと思います.
要はroot権限以外でこのコマンドを実行できなければ良いわけで,自分で使うときには “sudo” をつければ実行可能です.
ちなみに,元に戻すときには上のパーミッション通りに設定しなおせばいいので, “100” のところを “755” に変更して実行すればOK.
最近のウワサではOS X Lionの10.7.2がiPhoneの発表イベントに合わせてリリースされるのではないかと言われているので,もしかするとその時に修正されるかもしれませんけど...
<追記(2011/10/17)>
OS X Lion 10.7.2で試したところ,現在のパスワードを知らない限り新しいパスワードを設定できないよう変更されています.
Trackback URL
http://doubleko.blog18.fc2.com/tb.php/5889-ee262170
この記事にトラックバックする(FC2ブログユーザー)
この記事にトラックバックする(FC2ブログユーザー)
Trackback
