Solution rapide pour empêcher les modifications non autorisées du mot de passe dscl dans OS X Lion

Nous avons récemment écrit sur l’utilitaire dscl et sur la façon dont il permet à un utilisateur de Mac OS X Lion de modifier un mot de passe sans connaître le mot de passe existant. L’absence d’authentification requise de l’administrateur a depuis été largement signalée comme un bogue, et une petite mise à jour de sécurité sera probablement publiée par Apple dans un proche avenir. Néanmoins, si vous êtes paranoïaque à l’idée que quelqu’un puisse mettre la main sur votre Mac et modifier le mot de passe de l’utilisateur sans autorisation, vous pouvez modifier manuellement les autorisations de l’utilitaire dscl vous-même, en le forçant à exiger des privilèges d’administration pour pouvoir être exécuté.
  • Lancer le terminal (situé à l’adresse /Applications/Utilitaires/)
  • Tapez la commande suivante et appuyez sur retour :
  • sudo chmod 100 /usr/bin/dscl

  • Il vous sera demandé le mot de passe administratif actuel pour confirmer le changement d’autorisation, le saisir et appuyer sur retour

Il s’agit d’une simple correction des permissions qui imite probablement ce que fera une mise à jour de sécurité officielle. L’utilisation de sudo chmod 100 indique que seul le propriétaire (root) est capable d’exécuter la commande dscl, ce qui empêche effectivement les autres utilisateurs non administrateurs d’accéder à l’utilitaire de services de répertoire sans utiliser la commande sudo, et donc le mot de passe administrateur.

La modification de ces autorisations peut avoir des conséquences imprévues, mais il est peu probable qu’elle touche la plupart des utilisateurs. Si vous rencontrez des problèmes, vous pouvez toujours modifier les autorisations, qui semblent être fixées par défaut à 755.

Un grand merci à « Tjb » qui a laissé ce conseil dans les commentaires !

Mise à jour : Jim T a laissé la recommandation suivante dans les commentaires, suggérant une autre commande chmod pour modifier les autorisations :

Faites plutôt cela :

sudo chmod go-x /usr/bin/dscl

Cela va -seulement- supprimer la permission d’exécution sur le groupe et les autres, laissant les autres permissions (lecture et écriture, et les permissions complètes de root) complètement comme elles étaient avant le changement. Pour inverser, faites :

sudo chmod go+x /usr/bin/dscl

Ne touchez que ce que vous devez toucher !

Son raisonnement est que le chmod 100 est trop restrictif dans la mesure où il modifie la commande pour qu’elle ne soit exécutée que là où, comme auparavant, l’utilisateur root pouvait lire, écrire et exécuter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *