Got Some \W+ech?

Could be Japanese. Could be English. Android, セキュリティ, 機械学習などをメインに、たまにポエムったり雑感記載したりします。

High Sierraのパスワードレスrootログインの注意点と対策方法

japanese.engadget.com

話題になってるので、改めて説明をする必要はないと思うので、注意点・対策方法について記載しておく。

注意点

どこかの記事の対策として"root"を無効化する、とあった。でも、rootと打ち込むと勝手に有効化されるので意味がありません。パスワードを変更してから、無効化してください。

パスワード変更

ローカル管理者権限を持ってる場合

下記のうちいずれか

  • CLIベース % sudo passwd root

  • GUIベース

  • システム環境設定 > ユーザーとグループ > ログインオプション > 編集 f:id:kengoscal:20171129122002p:plain

  • ディレクトリユーティリティを開く > 編集 > ルートパスワードを変更 f:id:kengoscal:20171129122212p:plain

↑のいずれの方法でも対策できるのは確認済み

組織内の端末管理者向け

組織の管理者だったら、Mac管理ツールで下記のスクリプトを配布すればいいと思います。こちらも大丈夫そう。検証してから使ってね。

Blocking logins to the root account on macOS High Sierra | Der Flounder

余談

報告者のtweetを見にいったところ、公開方式について ちゃんとDisclosure Policyに従って報告しろよ派 vs Appleが悪いのに何がダメなんだ。それを気にするのは報告者の責任ではない派 の論争が繰り広げられてて面白かった (コナミ

f:id:kengoscal:20171129122910p:plain