Comments 151
Действительно, можно войти в полноценное рабочее пространство под root, используя пустой пароль. Давно я не встречал таких эпичных уязвимостей.
У некоторых людей (включая меня) баг вообще не воспроизводится. Значит есть более вменяемое решение кроме включения логина у рутового аккаунта.
У меня на Sierra не воспроизводится.
При обновлении на что-нибудь выше sierra сделайте бекап всех данных и выключите шифрование(file vault которое). У меня после перехода непостижимым образом хард оказался зашифрован намертво — раздел без пароля не монтируется, а пароль не проходит. Что-то там пошло не так из-за apfs и конвертации в него.
И теперь у меня все данные лежат на внешнем харде и ждут вызволения. Только вот когда apple решит проблему и решит ли вообще — не понятно
Я понимаю, что вы после этого поста вряд ли будете обновляться, просто решил предупредить и подкинуть ещё одну причину, что бы не устанавливать обновление
У меня обновление прошло успешно, все данные целы. Правда я не использовал шифрование диска.
У меня тоже проблем не было, до определённого момента. Просто как-то пришёл на работу, открыл ноут, и внезапно получил описанную проблему.
У меня так же установка прошла без эксцессов. Даже 2 обновления – 10.13 и 10.13.1 и при этом проблема сразу не проявилась, просто в какой-то момент утром ноут не стартанул. В сервисе уже сделали дамп на отдельный хард и переустановили систему.
А вообще эта проблема с apfs лотерея, как я понял – кто-то не испытывает вообще никаких проблем, у кого-то процесс установки застывает на середине, у кого-то после установки начинаются проблемы. Нам с вами, видимо, "повезло" больше всех
Проблема в том, что ХС поставляется изначально без пароля на рут. Задайте пароль на рута и забудете про сабж
Система принимает root и пустой пароль не только на экране входа в систему и настройках пользователей, но и в любом другом окне ввода логина и пароля в любом приложении.
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был «Мао Цзедун»
3. На 74357181-й попытке сервер согласился, что у него пароль «Мао Цзедун».
Кстати, какой из десктопных линуксов самый надёжный?
Только не надо про Дебиан — например, планшетный сканер под ним после всех плясок так и не заработал, в Убунте завёлся из коробки. Но Убунта глючит в куче других мест.
Попробуйте Elementary OS. В основе лежит Ubuntu, а сверху разработчики делают что-то похожее на osx
Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.
Ну да, 500 человек в Canonical не смогли за десять лет до нормального состояния допилить, а я один за вечер конечно смогу :)
«Карбюратор в жигулях не работает — значит права купил»
«Авослесарем становиться не обязательно, надо было в автосалоне правильные жигули выбрать, чтоб без брака, это не сложно»
«А у соседа, в иномарке фара перегорела, и колесо спустило, нифига они не лучше жигулей»
А на Дебиане мне так и не удалось запустить планшетный сканер.
Если производитель не сделал нормальный драйвер для Линукс то виноват Линукс. Если производитель не сделал нормальный драйвер для Виндоус то виноват производитель.
Л — Логика!
Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?
Или, на худой конец, создать наподобие distrowatch единый реестр устройств, к которым есть линуксовые драйвера, а не просто прокричать один раз кричать "
А для начала стоит хотя бы починить безнадёжно глючный Unity и допилить wine, или тут тоже драйвер виноват?
В общем случае оно будет работать медленно и костыльно, если будет работать вообще. А для вайфая в своё время такое было, впрочем, см. ndiswrapper.
А надо чтоб работало хорошо.
Для аудиокарт на сайте alsa такое было, для сканеров (лет 10 назад, когда я покупал сканер в последний раз) было, для принтеров тоже. Собственно, последний купленный мной принтер (а на самом деле — какой-то первый попавшийся струйный МФУ от HP за 80 баксов) просто работает под линуксом без всяких танцев с бубном, даже автоматический податчик бумаги в сканер работает.
Надо чтоб был централизованный и обновляемый список, а не обрывки по отдельному типу железа. А вот у меня всякий раз чтоб что-то напечатать в Убунте на HP1018, надо перезагрузить принтер, удалить принтер из системы и добавить заново, иначе никак.
Есть, кстати, какой-то единый реестр устройств, где написано, какая минимальная и максимальная версия Windows их поддерживает?
Думаю что нет, за ненадобностью. Если не совсем антиквариат, то драйвер под свежую винду обычно есть.
А какого софта вам на домашней машине не хватает? Это я ради личной статистики, если что.
Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.
Ну, у меня вместо Unity — KDE. Там есть свои глюки, например, через пару месяцев аптайма кед иногда отваливается буфер обмена.
Пробовал kubuntu. Да, KDE понадёжнее Unity, но аудитория kubuntu на порядок меньше чем у ubuntu, соответственно куча софта из репозиториев тестирована на убунте и не тестирована на кубунте. Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.
Другое дело, что пара месяцев аптайма для Windows — куда большая проблема, да и для перезапуска кед мне не нужно перезапускать всю машину целиком. А wine у меня и нет вовсе.
Извините, но это из серии «у соседа в иномарке фара перегорела и колесо спустило, так что нифига они не лучше жигулей, а кондиционером я вообще не пользуюсь».
Кстати, на одном из рабочих мест был у меня Windows (служивший запускалкой терминала до нормальных машин с линуксом, но неважно), который корпоративными политиками перезагружался каждые выходные. И каждый понедельник мой (и не только мой) рабочий день начинался с того, чтобы постоять раком под столом, вытаскивая и вставляя обратно USB-кабель от клавиатуры, потому что иначе по какой-то неведомой причине не действовали настройки скорости повторения клавиш. У соседа мониторы были по DP подключены, и когда один из них переходил в спящий режим, система его теряла и перекидывала все окна на основной монитор. Куда и про какие хромые дистрибутивы Windows писать в этом случае?
См комментарий выше.
Зачем? Вы принтеры вместе с внешними звуковыми картами покупаете, что ли?
Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.
Страннота. У меня лет 8 со мной прожила сестринская модель 1020, работала просто шикарно.
ЧЯДНТ
А, я для сих целей latex/beamer использую. Ну, чтоб не было стыдно сделать презентацию, которую можно было бы показать на семинаре или reading group.
В научной среде — да, в коммерции — doc[x] и ppt, увы…
И в чём эта нетестированность заключается?
К сожалению, сейчас не вспомню. Год назад поставил кубунту, поплевался и снёс, ощущения запомнил.
Такого никогда не будет, и, более того, это и не нужно. У разных дистрибутивов свои цели.
Вот Майкрософт с его гигантскими ресурсами не смог тянуть два дистрибутива Windows — 95/98/Millenium и NT3.51-2000, смёрджил их в один. Ну а у сообщества, конечно, силы тянуть 100500 дистрибутивов найдутся…
Ну, в принципе, удобно и комфортно считать всякую проблему в Windows проблемой уровня перегоревшей фары, а в линуксах — не иначе как неработающим с завода карбюратором.
Я примеров тут привёл много. Если разница не видна, то что я ещё могу сказать. Для того чтобы начались изменения, надо признать проблему. А многие в сообществе эту проблему не признают. Потому линукс на десктопах по прежнему занимает несколько процентов рынка.
Кстати, вот, почитайте, если мне не верите.
Кстати, а зачем вам вообще Linux? Меня, к примеру, всё устраивает в нём уже… почти 18 лет. Есть и косяки от которых плеваться хочется, но факт остаётся фактом: они есть везде. Просто разные. Нужно просто научиться пользоваться плюсами (если они имеют место быть для конкретного человека) и избегать минусов :)
PS кстати, это так же и для эмиграции верно :)
Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.
certification.ubuntu.com/desktop
Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?
Работать не будет потому что виндовс костыльное говно а драйверы соответствуют и используют грязные хаки и недокументированные возможности.
По той же причине не работает вайн.
А для начала стоит хотя бы починить безнадёжно глючный Unity
Ну во первых у меня например он не глючил кроме самой первой версии.
Во вторых, с разморозкой вас! Проект Unity закрыт давно.
Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.
Зачем?
Меня вот всё устраивает и не дай бог кто-то вздумает слить мой КДЕ с вонючим гномом.
Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.
А причём тут оперативная система?
Майкрософт выпустила SQL Server для линукс, заставьте её выпустить и ворд раз вам так надо.
Мне вот не надо, либреофис устраивает.
В научной среде — да, в коммерции — doc[x] и ppt, увы…
Приватбанк, Ситилинк и Улмарт видимо недостаточно коммерческие.
ОС нужна чтоб ездить, а не чтоб чинить
Ну вот я на ней езжу, ЧЯДНТ?
Все ваши претензии суммируются как «сделайте как виндовс и приложения чтоб виндовс и драйверы и офис тоже майкрософт и политику развития дистрибутивов смените как у майкрософт».
Ну и идите с такими хотелками в ваш обожаемый виндовс.
Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?
Кстати, для WiFi так и сделано. Точнее имеется возможность. Гуглить ndiswrapper. Временами работало лучше нативного на Asus EeePC 1000HA, потом нативный стал лучше. Но… это очень сложно, особенно учесть все недокументирванные возможности и прочее. Даже если не касаться драйверов, вон Wine сколько пилят и проблемы были есть и будут.
Хочешь установить пакет? Ubuntu делает это сразу, иногда спрашивает подтверждение, которое по-умолчанию означает «Да». Fedora спрашивает подтверждение постоянно, и случайное нажатие Enter приводит к отмене операции, потому что по-умолчанию «Нет».
Хорошо, пакет установлен. Пускай это был какой-нибудь Apache. Он уже работает? В Ubuntu ответ «да», потому что она автоматически запускает все только что установленные сетевые серверы, еще и прописывая их в автозагрузку. В Fedora ответ «нет» — как можно запустить сетевой сервер, не ознакомившись со стандартным конфигом? Только после этого вы его запустите, убедитесь, что все работает как надо, и добавите в автозагрузку.
«Ой, я все добавил, а сайт не открывается!» В обоих ОС есть своя оболочка со свистоперделками вокруг iptables / netfilter. Вот только в Ubuntu по-умолчанию разрешено абсолютно все (
iptables -L
возвращает пустой список с Chain INPUT (policy ACCEPT)
), а в Fedora наоборот запрещено.ОК, настроили firewall, решили раздавать файлы с внешнего диска. Что, опять не работает? Все верно, SELinux стоит на страже ваших данных. Пока вы не проставите соответствующие метки на свои файлы, Apache'у будет access denied на уровне ядра. В Ubuntu тоже есть какое-то свое решение (AppArmor), но я не слышал, чтобы у кого-то реально были с ним подобные проблемы (может, он там вообще отключен? не в курсе).
И это, напомню еще раз, не серверный дистрибутив. Могли ли «500 человек в Canonical» сделать все то же самое? Думаю, да. Но тысячи, если не миллионы хомячков тут же начали бы ныть на каждом углу, что «Ubuntu отстой», там вообще ничего не работает, ну ее нафиг, поставлю Windows и буду сидеть под админиским аккаунтом без антивируса.
Но такое, и в 2017…
2. Ещё во времена ХР цвели говносборки, но это уже совсем другая история, там и похлеще дыры были.
В общем «взломать» ХР среднего пользователя таким способом было вполне реально.
Я лично всегда задавал этот пароль. И смотрел с недоумением на то, что некоторые отсутствующий пароль у администратора выдавали за косяк Windows, когда на самом деле это был косяк того кто ставил систему. Надо хоть немного смотреть то, что инсталлятор спрашивает тебя, вместо «не глядя покликал по кнопкам Next и Accept».
Инсталлятор чётко говорит, что создаст учётку Администоратора, с помощью которой можно будет получить полный доступ к компьютеру, и просит пароль для неё. Даже если не обращаться к документации за подробностями, эту учётку можно было увидеть, например, хотя бы раз загрузившись в безопасный режим, где она предлагается среди прочих.
Впрочем на безопасность моего компа незаданность пароля тогда слабо влияла, ибо на обычной учётке пароль тоже не стоял.
Тут имеет место быть косяк установщика, который пустой пароль пропускал. Если бы не пропускал и пользователи бы фигачили 1 или qwerty, то это были бы уже точно их проблемы :)
Вот твит на 9 дней раньше: https://twitter.com/jeremydmiller78/status/932687502053380097
Вот сообщение на форуме Apple от 13 ноября https://forums.developer.apple.com/thread/79235 (сообщение от chethan177, Nov 13, 2017 12:48 PM)
Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:
sudo passwd -u root
Сделал так, выставив пароль, но ничего не изменилось, все также пускает с пустой строкой. Ждем обновлений
Нужно в настройках пользователей, во вкладке «Параметры входа» указать «Показывать в окне входа» «поля имени и пароля», затем выйти из системы или перезагрузить компьютер.
Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
Заранее благодарен за понимание и сотрудничество.
логин в него отключён
Из под рута можно войти всегда, может имелось виду авторизация при входе в систему
Что значит?
логин в него отключён
Команда su root не работает, авторизация при входе в систему тоже.
В убунту также.
Ох уж эти линуксоиды. Это не "линукс-подобная" ОС. Это Unix-подобная ОС. Это разные вещи. Торвальдс еще только изучал программирование, а Nextstep — предок macOS — уже существовал и далеко не в первом релизе.
Из под рута можно войти всегда
Нет. Если суперпользователь отключен, то войти под ним не получится ни через su
, ни через Login Window, ни как бы то ни было еще.
Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.
тут можно поспорить но, каждый останется при своем…
Зы: Ох уж эти маководы, блин я один из вас, вот блин))
тут можно поспорить но, каждый останется при своем…
Я сейчас написал абзац про то, что я вот сдавал экзамен Support Essentials, а вы вряд ли и все такое, но потом подумал, что это все не нужно и пустое.
Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.
ЗЫ: и не нужно загибать пальцы, это не имеет смысла
— Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.
— тут можно поспорить но, каждый останется при своем…
— Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.
— Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?
Действительно, что?
Darwin а позднее OS/X а ещё позднее снова macOS построен на ядре FreeBSD, настоящем Unix-е )
Хотя надо признать выбрали его как основу OS скорее из за лицензии, так как BSD лицензия позволяет не раскрывать код производных продуктов.
У меня эта уязвимость не воспроизводится. Возможно из-за того что обновлялся до High Sierra с предыдущей версии.
написано, что форма ввода пароля не просто вводит, а сбрасывает пароль рута, если пользователь не активен.
Кстати, можно также сбросить пароль без sudo. Так что все юзеры маков — потенциально админы)
Я проверил с macOS High Sierra в High Sierra (свежеустановленную) SMB запрашивает логин и пароль, где пустой пароль не срабатывает.
PS: проверил на других macOS, тоже не подключаются, на видео включен гостевой доступ без пароля. Так что тут все верно.
В UI macOS срабатывает только если фокус/курсор в поле ввода пароля.
Если включен общий доступ к файлам то в шару, SMB/AFP/FTP/SFTP из-под root, не пускает.
И если включен удаленный вход, то по SSH из-под root тоже не подключиться.
Так что, все не так печально, для эксплуатации уязвимости нужен физический доступ.
Есть доступ к чтению и записи в всех папок.
Расходимся.
проверил у себя, так же со второго клика — ключ с настроек снимается.
через sudo passwd -u root — проблема решилась.
но как же так?..
версия: Бета 10.13.2 (17C79a)
Найдена уязвимость в Mac OS High Sierra, позволяющая войти суперпользователем в незащищенный компьютер