[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0065] 管理者パスワードで他のユーザーとしてファイル共有が可能な仕様
- To: "harden-mac@xxxxxxxxxx" <harden-mac@xxxxxxxxxx>
- Subject: [harden-mac:0065] 管理者パスワードで他のユーザーとしてファイル共有が可能な仕様
- From: FUJII Taiyo <taiyo@xxxxxxxxxxx>
- Date: Thu, 05 Sep 2002 17:35:09 +0900
太洋です
Mac OS Xで管理者アカウントを二つ、一般ユーザーを一つ作ります。ここでは、わか
りやすいように管理者アカウントを「admin1」「admin2」、そのパスワードを
「admin1passwd」「admin2passwd」一般ユーザーを「user1」、パスワードを
「user1passwd」とします。
別のMacから、ファイル共有を行い、登録ユーザーでログインすると、下記のパター
ンでログインが可能です。
名前:admin1
パスワード:admin1passwd/admin2passwd
名前:user1
パスワード:admin1passwd/admin2passwd/user1passwd
名前:amdin2
パスワード:admin1passwd/admin2passwd
この件について、Appleのプロダクトセキュリティ部に問い合わせたところ顧客の要
請もあって「そういう風に作っている」とのことです。
#お許しが出たら、いただいたメッセージも公開します。
複数の管理者がMac OS Xを運用するときには、ある管理者が全てのユーザーとしてファ
イルを共有できる仕様になっていることを頭に置いておく必要があるようです。
どのみち、管理者であればsshなどでログインした後で、sudo -sすることによって全
ての権限を持つことができますから、この仕様が脆弱だということにはならないとい
うことなのでしょう。
ただ、loginやssh、sambaなどでは、上記のようなログインは不可能です。こういう
仕様がサービスによって異なっていることは良くないと思うのですが、いかがなもの
でしょうか。
name:太洋
E-Mail:taiyo@xxxxxxxxxxx
PGP署名 http://www.u-struct.com/taiyoFUJII.gpgkey
Fingerprint = 7706 0496 952C 1734 E584 FF4A AEC3 7AC9 8647 B761
--[PR]------------------------------------------------------------------
___┌─────────────────────────┐___
ドキュンっと233名にブランドアイテム!?
☆ ☆
http://ad.freeml.com/cgi-bin/ad.cgi?id=bnNDy
 ̄ ̄ ̄└─────────────────────────┘ ̄ ̄ ̄
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp