Solution rapide pour empêcher les modifications non autorisées du mot de passe dscl dans OS X Lion

Nous avons récemment écrit sur l'utilitaire dscl et comment il permet à un utilisateur de Mac OS X Lion de changer un mot de passe sans connaître le mot de passe existant. L'absence d'authentification d'administrateur requise a depuis été largement signalée comme un bug, et une petite mise à jour de sécurité sera probablement publiée par Apple dans un proche avenir. Néanmoins, si vous êtes paranoïaque à propos d'une personne obtenant le compte de votre Mac et modifiant le mot de passe de l'utilisateur sans autorisation, vous pouvez modifier manuellement les autorisations de l'utilitaire dscl, en lui imposant des privilèges administratifs pour être exécuté.

  • Launch Terminal (situé dans / Applications / Utilities /)
  • Tapez la commande suivante et appuyez sur retour:

    • sudo chmod 100 /usr/bin/dscl

  • On vous demandera le mot de passe administratif actuel pour confirmer les changements d'autorisations, entrez-le et cliquez sur retour

Il s'agit d'une simple correction d'autorisations qui reproduit probablement ce qu'une mise à jour de sécurité officielle fera. L'utilisation de sudo chmod 100 indique que seul le propriétaire (root) est capable d'exécuter la commande dscl, ce qui empêche les autres utilisateurs d'accéder à l'utilitaire de services d'annuaire sans utiliser la commande sudo, et donc le mot de passe administrateur.

Il peut y avoir certaines conséquences inattendues de la modification de ces autorisations, mais il est peu probable que cela affecte la plupart des utilisateurs. Si vous rencontrez des problèmes, vous pouvez toujours modifier les autorisations, qui semblent être définies par défaut sur 755.

Un grand merci à "Tjb" qui a laissé ce pourboire dans les commentaires!

Mise à jour: Jim T a laissé la recommandation suivante dans les commentaires, suggérant une autre commande chmod pour changer les permissions:

Au lieu de cela, faites ceci:

sudo chmod go-x / usr / bin / dscl

Cela supprimera seulement l'autorisation d'exécution sur le groupe et les autres, laissant les autres permissions (lecture et écriture, et permissions complètes de root) complètement comme avant la modification. Pour inverser, faites:

sudo chmod aller + x / usr / bin / dscl

Ne touchez que les choses que vous devez toucher!

Son raisonnement est que chmod 100 est trop restrictif en ce sens qu'il change la commande à exécuter seulement, où comme avant l'utilisateur root pouvait lire, écrire et exécuter.