यह आलेख एक बग का वर्णन करता है जहां अनलॉक करने के लिए संकेत दिए जाने पर रूट दर्ज करना किसी भी उपयोगकर्ता को सिस्टम वरीयताओं को अनलॉक करने की अनुमति देता है। यह चेतावनी देता है कि:

इसे सत्यापित करने के लिए स्वयं ऐसा करने की कोई आवश्यकता नहीं है। ऐसा करने से एक "रूट" खाता बन जाता है, यदि आप इसे अक्षम नहीं करते हैं तो अन्य लोग इसका लाभ उठा सकते हैं।

लेख में यह नहीं बताया गया है कि अगर एक अति-उत्सुक अभियंता ने समस्या को पुन: पेश किया और अब उसे रूट खाते को हटाने या अक्षम करने की आवश्यकता है तो क्या करें।

इस खाते को कैसे सुरक्षित रूप से अक्षम या हटाया जा सकता है?

यह Apple पृष्ठ बताता है कि खाते को कैसे निष्क्रिय किया जाए लेकिन यह गलती से सुरक्षा नहीं करता है क्योंकि गलती से खाते को फिर से सक्षम किया जा सकता है। सुरक्षा बग ठीक होने के बाद, यह सिस्टम को सामान्य स्थिति में रूट डिसेबल करने के लिए काम करेगा।

अपडेट 2017-11-29 16:43 यूटीसी

सुरक्षा अद्यतन 2017-001 की सुरक्षा सामग्री के बारे में देखें प्रशासक के पासवर्ड की आपूर्ति के बिना व्यवस्थापक प्रमाणीकरण को दरकिनार करने से बचाने के लिए macOS हाई सिएरा को अपडेट करें।

उपलब्ध पैच, यहां क्लिक करें, या मशीन पर अपडेट करें

दिलचस्प बात यह है कि अभी तक OSX के बीटा और डेवलपर संस्करणों के लिए कोई पैच नहीं है, जहां तक ​​मुझे पता है। उनकी बात सुनते ही मैं इस जवाब को अपडेट कर दूंगा।

ऊपर पैच डाउनलोड करें। इतिहास के लिए बाकी पोस्ट छोड़ना :-)

सीवीई सीवीई-2017-13872 है और एनआईएसटी निकट भविष्य में विश्लेषण को अपडेट करेगा ।

मूल उत्तर, पैच के बिना प्रासंगिक

सबसे पहले, GUI के माध्यम से रूट खाते को अक्षम न करें , "अक्षम" रूट खाता समस्या का कारण है।

आप रूट उपयोगकर्ता को सक्षम करेंगे और उसे एक पासवर्ड देंगे। यह महत्वपूर्ण है , क्योंकि भेद्यता दूरस्थ रूप से उपलब्ध है, साथ ही वीएनसी और ऐप्पल रिमोट डेस्कटॉप (कुछ का नाम) (एक अन्य स्रोत) के माध्यम से ।

ऐसा करने के दो बुनियादी तरीके हैं; जीयूआई और टर्मिनल।

सबसे पहले, जीयूआई

रूट अकाउंट को सक्षम करने के लिए, "डायरेक्टरी यूटिलिटी", यानी cmd + स्पेस पर जाएं और सर्च करें। "व्यवस्थापक मोड" को अनलॉक करने के लिए लॉक दबाएं, फिर रूट खाते को संपादन के माध्यम से सक्षम करें -> "रूट उपयोगकर्ता को सक्षम करें"।

इसे रूट पासवर्ड के लिए पूछना चाहिए, अब अपना सामान्य पासवर्ड दर्ज करें (ताकि आप इसे न भूलें)। यदि यह पासवर्ड नहीं मांगता है, तो ऊपर संपादित करें -> "रूट पासवर्ड बदलें ..." का उपयोग करें।

टर्मिनल

यदि आप एक टर्मिनल व्यक्ति से अधिक हैं, तो नीचे का उपयोग करें:

sudo passwd -u root
## Enter passwords as needed.... 
## (if you are using the terminal you should know what you are doing...)

यह टर्मिनल के साथ पर्याप्त है, GUI के साथ समस्या यह है कि हमें पासवर्ड सेट करने के लिए खाते को सक्षम करना होगा, जो हमें टर्मिनल के साथ नहीं है।

टिप्पणियाँ

यहां तक ​​कि अगर आपके पास रूट कंप्यूटर के लिए एक पासवर्ड सेट है, तो यदि आप रूट खाते को निष्क्रिय करते हैं तो यह असुरक्षित हो जाएगा। रूट खाते को अक्षम करने की कार्रवाई अपराधी लगती है। इसलिए मैं दोहराता हूं, रूट उपयोगकर्ता को सक्षम होना चाहिए और एक पासवर्ड होना चाहिए यदि GUI का उपयोग करते हुए, टर्मिनल के माध्यम से केवल ´passwd "का उपयोग करके" ठीक है "(हालांकि यह राज्य केवल GUI के माध्यम से पहुंच से बाहर है)। ऐसा लगता है कि "डायरेक्टरी यूटिलिटी" में "रूट यूजर को अक्षम करें" रूट अकाउंट के लिए पासवर्ड को हटा देता है, इस अर्थ में आपको पासवर्ड-कम रूट अकाउंट दिया जाता है जो कमजोर है।

ऐसा लगता है कि सिस्टम में "रूट" से लॉग इन करने की कोशिश करना लॉगिन-विंडो को रूट खाता सक्षम करता है यदि यह पहले से अक्षम है। यानी एक रूट रूट खाते के साथ, आपको रूट एक्सेस हासिल करने के लिए एक सिस्टम लॉगिन-विंडो में दो बार रूट दर्ज करने की आवश्यकता होती है, और (मेरे परीक्षण के अनुसार) पहले प्रयास में रूट खाता सक्षम होता है (बिना पासवर्ड के अगर सेट नहीं किया जाता है passwd), और दूसरी कोशिश में आप गुजरते हैं।

ऐसा लगता है कि यह मुद्दा कम से कम 2017-11-13 (13 नवंबर) के बाद से खुले में है, जब इसका उल्लेख Apple समर्थन मंच में किया गया है ।

कृपया मुझे गलत साबित करें, मैं वास्तव में अभी गलत होने की सराहना करूंगा।

डरावना अपडेट

पासवर्ड रहित रूट खाते को सक्षम करने के बाद (यानी सिस्टम प्राथमिकताएं पैनल के माध्यम से और "लॉक" पर क्लिक करके और खाली पासवर्ड के साथ "रूट" दर्ज करते हुए एक, दो या तीन बार (प्रारंभिक स्थिति पर निर्भर करता है)) लॉग ऑन करना संभव है "रूट" और एक खाली पासवर्ड (!) का उपयोग करके मुख्य लॉगिन स्क्रीन से कंप्यूटर। SSH / टेलनेट काम नहीं करता है, लेकिन Apple रिमोट डेस्कटॉप, स्क्रीन शेयरिंग और VNC असुरक्षित हैं।

तो नेटवर्क के लिए यह निम्न बंदरगाहों के लिए अस्थायी रूप से पैकेट छोड़ने के लिए ब्याज की हो सकती है:

• सबसे आम VNC पोर्ट पाने के लिए 5900-5905 (ish, निंजा सुरक्षित होना)। VNC डिफ़ॉल्ट रूप से 5900 से शुरू होती है और यदि आप कई डिस्प्ले (असामान्य हालांकि) का उपयोग कर रहे हैं तो ऊपर की तरफ एनरोमेट करता है। स्क्रीन साझाकरण और एप्पल दूरस्थ डेस्कटॉप भी इन बंदरगाहों (उपयोग करने के लिए लगता है एप्पल सॉफ्टवेयर बंदरगाहों की सूची )
• Apple दूरस्थ डेस्कटॉप के लिए 3283 और 5988 ( Apple सॉफ़्टवेयर पोर्ट की सूची )

अतिरिक्त पढ़ने:

समस्या से निपटने के अन्य स्रोतों का संदर्भ देने का एक बहादुर प्रयास। यदि आपके पास अधिक है तो मेरा उत्तर संपादित करें और अपडेट करें।

• Hackernews लेख
• अर्स्टेक्निका लेख
• टेकक्रंच लेख
• उद्देश्य देखें ब्लॉग में दोष की व्याख्या (मैंने तकनीकी स्पष्टीकरण से पूरी तरह से मेल खाने के लिए इस उत्तर को अपडेट नहीं किया है, आज रात ऐसा करेगा, लेकिन यह एक आम आदमी के लिए काफी करीब है)
• CVE के लिए MITER पेज
• CVE के लिए NIST प्रविष्टि
• Apple डेवलपर मंचों में 2017-11-13 से मूल प्रविष्टि (2017-11-30 के बाद से Apple द्वारा हटा दिया गया)
• ऐप्पल डेवलपर मंचों में मूल प्रविष्टि के लिए Google कैश लिंक (2017-12-01 से Google कैश से हटा दिया गया)
• Chethan177 द्वारा उपरोक्त अग्रभाग का स्क्रीनशॉट:

यदि आप आधिकारिक पैच स्थापित नहीं कर सकते हैं या भरोसा नहीं करना चाहते हैं कि यह काम किया है, तो

आप केवल उच्च सिएरा पर रूट उपयोगकर्ता को अक्षम नहीं करना चाहते हैं।

अपने मैक को सुरक्षित करने के लिए, एक लंबे सुरक्षित पासवर्ड के साथ रूट को सक्षम करें।

हम इसे तब तक काम में नहीं बदल रहे हैं, जब तक कि अगली पूरी बात मैकओएस के लिए जारी नहीं हो जाती जो कि 10.13.2 होगी

जब तक आप कार्रवाई नहीं करते, रूट उपयोगकर्ता बॉक्स से बाहर अक्षम है और यह खराब है यदि आपका मैक सही तरीके से पैच नहीं किया गया है।

यदि आप चाहते हैं, तो वैकल्पिक रूप से शेल को कठोर करें जब तक कि एप्पल के पास आधिकारिक पैच या फिक्स न हो।

यहां एक यादृच्छिक रूट पासवर्ड सेट करने और रूट शेल को बदलने / सेट करने के लिए एक शानदार स्क्रिप्ट है /usr/bin/falseताकि पासवर्ड का अनुमान लगाने पर भी, रूट शेल लॉग इन न कर सके:

• https://github.com/rtrouton/rtrouton_scripts/blob/master/rtrouton_scripts/block_root_account_login/block_root_account_login.sh

यह मूल रूप से तीन प्रमुख काम करता है:

rootpassword=$(openssl rand -base64 32)
/usr/bin/dscl . -passwd /Users/root "$rootpassword"
/usr/bin/dscl . -create /Users/root UserShell /usr/bin/false

यदि शेल सेट नहीं है, तो UserShell बना है, और पूर्ण स्क्रिप्ट मौजूदा शेल के लिए जाँच करता है और -changeइसे -createआईएनजी के बजाय इसे बंद कर देता है।

मैं अपने आप को macOS High Sierra में मूल भेद्यता से कैसे बचा सकता हूं?

ऐप स्टोर से एक सॉफ़्टवेयर अपडेट चलाएं। Apple ने आज सुबह एक सुरक्षा अद्यतन जारी किया।

• सुरक्षा अद्यतन 2017-001 की सुरक्षा सामग्री के बारे में

• Apple सुरक्षा अद्यतन

आपको रूट उपयोगकर्ता के रूप में लॉग इन करना होगा और पासवर्ड को किसी मजबूत चीज़ में बदलना होगा। यदि यह वास्तव में एक नया खाता बनाता है (पहले से मौजूद रूट खाते को सक्षम करने के विपरीत) तो आपको पहले उस खाते को हटा देना चाहिए।

Apple ने इस समस्या को ठीक करने के लिए एक अपडेट जारी किया।

सुरक्षा अद्यतन 2017-001 https://support.apple.com/en-us/HT208315

अपने मैक कंप्यूटरों पर अनधिकृत पहुंच को रोकने के लिए, आपको रूट उपयोगकर्ता खाते को सक्षम करना चाहिए और विशेष रूप से रूट उपयोगकर्ता के लिए एक पासवर्ड सेट करना चाहिए।

https://support.apple.com/en-ph/HT204012

यदि आपका रूट उपयोगकर्ता खाता पहले से ही सक्रिय है, तो सुनिश्चित करें कि आप पासवर्ड को केवल यह सुनिश्चित करने के लिए बदलते हैं कि रिक्त पासवर्ड भेद्यता सेट नहीं है।

नहीं! रूट खाता न निकालें!

सबसे पहले, rootमैकओएस, मैक ओएस एक्स, मैक ओएस, और यहां तक ​​कि ऑपरेटिंग सिस्टम के सभी प्राचीन संस्करणों में मौजूद रहा है। macOS ने हाल ही में भेद्यता के कारण यह खाता नहीं बनाया है। यह केवल दुर्घटना से उजागर हुआ।

हटाना rootएक बहुत बुरा विचार होगा, और मैं आपको बताता हूं कि क्यों।

यह पूरी तरह से MacOS को पंगु बना देगा, क्योंकि महत्वपूर्ण सेवाओं (जैसे WindowServer, जो GUI चलाता है) को चलाने के लिए पर्याप्त विशेषाधिकार के साथ कोई खाता नहीं होगा । क्लूलेस उपयोगकर्ताओं को हटाने से रोकने के लिए सुरक्षा उपाय हैं root, और आपको उन्हें बायपास करने का प्रयास नहीं करना चाहिए।

आइए जानें कि सिस्टम में सबसे पहली प्रक्रिया कौन चलाता है, सबसे महत्वपूर्ण प्रक्रियाएं (गतिविधि मॉनिटर का उपयोग करके):

अरे, यह हमारे अनुकूल पड़ोस rootफिर से है! पहली प्रक्रिया (पीआईडी ​​0 के साथ) वास्तव में कर्नेल द्वारा नियंत्रित की जाती है, और संभवत: वैसे भी पूरी अनुमति होगी, लेकिन इसकी बाल प्रक्रिया, launchd(लॉगिन विंडो और विंडो सर्वर जैसी सेवाओं को शुरू करने के लिए जिम्मेदार) के विशेषाधिकारों के साथ शुरू की जाती है root। यदि rootमौजूद नहीं है, तो यह प्रक्रिया कभी भी शुरू नहीं हुई होगी, या इसकी कोई अनुमति नहीं होगी।

रूट खाता सुरक्षित करना

अन्य उत्तरों ने Apple द्वारा जारी एक पैच प्रदान किया है जो समस्या को ठीक करना चाहिए। हालांकि, यदि आप इसे स्थापित करने में असमर्थ या गैर-इच्छुक हैं ...

यह काम करता है क्योंकि macOS ने एक "अपग्रेड" के रूप में दर्ज पासवर्ड को फिर से हैश किया क्योंकि एक पुराने हैश होने के रूप में अक्षम खाते (रूट) को गलत तरीके से पाया गया था। यह अभी भी कहेगा कि यह गलत है, लेकिन अगली बार, हैश मैच होगा (क्योंकि macOS ने इसे बदल दिया) और यह आपको अंदर जाने देगा।

सुरक्षित करने के लिए root, आपको निर्देशिका उपयोगिता का उपयोग करना होगा। इसे एक्सेस करने के दो तरीके हैं:

1. स्पॉटलाइट का उपयोग करें।
2. खोजक का उपयोग करें। खोजक खोलें, कमांड + शिफ्ट + जी दबाएं (या चुनें, दर्ज करें /System/Library/CoreServices/Applications/और जाओ (या हिट दर्ज करें) दबाएं। फिर वहां से निर्देशिका उपयोगिता खोलें।

एक बार डायरेक्टरी यूटिलिटी खोलने के बाद, आपको करना होगा

आपके द्वारा ऐसा करने के बाद, संपादन मेनू से चयन करें Change Root Passwordया Enable Root Userकरें। मैं दिखाता हूं कि Change Root Passwordमेरा रूट खाता पहले से ही एक मजबूत पासवर्ड के साथ सक्षम है।

एक पासवर्ड चुनें, और अब खाली पासवर्ड अब काम नहीं करेगा।

बधाई हो! अब आप रूट हैक की चपेट में नहीं हैं।