[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0067] Re: 管理者パスワードで他のユーザーとしてファイル共有が可能な仕様
- To: <harden-mac@xxxxxxxxxx>
- Subject: [harden-mac:0067] Re: 管理者パスワードで他のユーザーとしてファイル共有が可能な仕様
- From: ISHIKAWA Yasuhisa <vm@xxxxxxxxxxxxxxxxxx>
- Date: Sat, 7 Sep 2002 19:05:47 +0900
石川です。
Thu, 5 Sep 2002 17:35:09 +0900, FUJII Taiyo wrote:
>太洋です
>
>Mac OS Xで管理者アカウントを二つ、一般ユーザーを一つ作ります。
(snip)
>別のMacから、ファイル共有を行い、登録ユーザーでログインすると、下記のパター
>ンでログインが可能です。
>名前:admin1
>パスワード:admin1passwd/admin2passwd
>名前:user1
>パスワード:admin1passwd/admin2passwd/user1passwd
>名前:amdin2
>パスワード:admin1passwd/admin2passwd
何かしらの反応があると思ったんですけどね。この件。(^^;;
良いか悪いかは別として。
簡単に言えば、Mac OS XでのAFPでのファイル共有サーバに接続する際、
ある一人の管理者は、自分のパスワードを使い、他人のユーザ名を入れ替えて
入力していくだけで、どのユーザにもなれる、って事なんですよね。
で、まぁAppleとしては「一人の管理者が全員のホームディレクトリを管理したい」
って要望に応えた形だと。
ま、逆に言えば、AFPしか開いてなくても、一人の管理者パスワードさえ
解れば...って事ですね。
Mac OS Xとしか書いてないのは、10.2より前もこういう仕様だからです。
# 手元では10.1.5のマシンで確認しております。
Mac OS X Serverでは検証していないのでどうなのか解りませんが。
今の所、この件はMac OS XのAFPでしか確認してないんですが、他のサービスや
OSで、こういう仕様になっているものは有るんでしょうか?
また、太洋さんも提起してますけど、こういう仕様はどうなんでしょう?
それから、Apple自身が推奨していることで、この件に絡めると...って事で
思いつくものを書いておきます。
・「Mac ヘルプ」を開きます
・検索欄に「セキュリティ」と入れます
・その中にある「別のコンピュータでキーチェーンを使う」を見ます
・あとは自分で考えましょう (^^;;
つまり、キーチェーンを「どこに行っても使用できるように」するのは、
Mac OS Xのセキュリティに関わる質問への回答だって事ですね。
まぁ、この件も、キーチェーンに可搬性が有るのも、キーチェーンのデフォルト
パスワードがログインパスワードと同じってのも全て仕様みたいですから。
キーチェーンの危険性については、私は自分のサイトにも、macosx-jp MLにも
セキュリティマガジン 第5号にも書きましたけど、気になる方はせめて
キーチェーン自体のパスワードは変えといた方が良いかと。
でないと、せっかく暗号化ディスクなど使っても、デフォルト設定のままで、且つ
この件を絡められたら開封されてしまいますし、Mail.appなど使ってればプロバ
イダーや .Macのアカウント情報も抜かれちゃいますね。
# 過去にmacosx-jp MLでキーチェーン不正仕様の可能性に聞かれて答えなかった
# のは、これがAppleの仕様かどうか解らなかったからなんですが。
# [macosx-jp:11728]と[macosx-jp:11741]ですね。
ちなみに「Mac ヘルプ」の「セキュリティ」には良いことも沢山載ってます。
あぁだから、[harden-mac:0059]の
>ワイヤレス接続するときには有用な手段ではないでしょうか。
への私の返答としては、SSHトンネリングしてようと無線環境でAFPを開ける
のはもっての他、です。特にサービスとしてのホットスポットなどに於いては。
# 別に不安を煽りたい訳じゃなくて「そーゆー仕様だよ」って事で。
## AFPのssh_tunnerの件は出来そうなので、その内に書きます。
--
| 石川 泰久/vm_converter
| セキュリティ・スタジアム実行委員会
| vm@xxxxxxxxxxxxxxxxxx
| http://homepage.mac.com/vm_converter/
____________________________________________________
◆Harden-Mac ML
http://homepage.mac.com/vm_converter/harden-mac.html
◆セキュリティ・スタジアム2002
http://www.security-stadium.org/
--[PR]------------------------------------------------------------------
■プロが教えるホームページ制作の注意ポイント!■
・ターゲット?
・気になる数字?
・信頼感?
もっとみる→ http://www.omakaseweb.com/create/point/?mid=102895
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp