Pull to refresh

Comments 151

Действительно, можно войти в полноценное рабочее пространство под root, используя пустой пароль. Давно я не встречал таких эпичных уязвимостей.

в 98 винде помню можно было просто закрыть окно логина и спокойно работать
это был Эпик.
но там простительно, ибо пароль был не от системы, а от приставленной сбоку примочки поддержки многопользовательского входа.
UFO just landed and posted this here
Уязвимость подтверждена только на High Sierra. Данных о попытках воспроизвести баг на предыдущей версии (Sierra) мало, и они отрицательные.

У некоторых людей (включая меня) баг вообще не воспроизводится. Значит есть более вменяемое решение кроме включения логина у рутового аккаунта.

У вас тоже воспроизводится. Надо поставить курсор в поле ввода пароля перед нажатием кнопки разблокировки.

У меня на Sierra не воспроизводится.

У меня на High Sierra тоже не воспроизводится из окна Users & Groups.

При обновлении на что-нибудь выше sierra сделайте бекап всех данных и выключите шифрование(file vault которое). У меня после перехода непостижимым образом хард оказался зашифрован намертво — раздел без пароля не монтируется, а пароль не проходит. Что-то там пошло не так из-за apfs и конвертации в него.
И теперь у меня все данные лежат на внешнем харде и ждут вызволения. Только вот когда apple решит проблему и решит ли вообще — не понятно
Я понимаю, что вы после этого поста вряд ли будете обновляться, просто решил предупредить и подкинуть ещё одну причину, что бы не устанавливать обновление

У меня обновление прошло успешно, все данные целы. Правда я не использовал шифрование диска.

Обновлялся с зашифрованым диском и все работает исправно
Аналогично, два макбука обновил до High Sierra с включенным шифрованием, проблем не было.
Обновлял с включённым щифрованием, получил рассинхронизацию паролей. У одного пользователя в разных местах были разные пароли: два при загрузке, третий в консоли. Отключил потом шифрование, с горем пополам все пароли синхронизировал, но теперь шифрование нельзя включить — баг High Sierra.

У меня тоже проблем не было, до определённого момента. Просто как-то пришёл на работу, открыл ноут, и внезапно получил описанную проблему.

Я обновился на второй день после выхода системы. Установка прошла нормально. Но дальше окна логина система меня не захотела пускать, висла намертво. Пришлось с нуля ставить на отформатированный диск. Данные были утеряны, благо весь код на git. Фотки в облаке. Но день все равно был потерян.

У меня так же установка прошла без эксцессов. Даже 2 обновления – 10.13 и 10.13.1 и при этом проблема сразу не проявилась, просто в какой-то момент утром ноут не стартанул. В сервисе уже сделали дамп на отдельный хард и переустановили систему.
А вообще эта проблема с apfs лотерея, как я понял – кто-то не испытывает вообще никаких проблем, у кого-то процесс установки застывает на середине, у кого-то после установки начинаются проблемы. Нам с вами, видимо, "повезло" больше всех

А backup из Timemachine? Перед мажорным обновлением крайне рекомендуется его делать, тогда восстановить данные не проблема
UFO just landed and posted this here

Проблема в том, что ХС поставляется изначально без пароля на рут. Задайте пароль на рута и забудете про сабж

Остается понять, зачем было сбрасывать рут пароль

Система принимает root и пустой пароль не только на экране входа в систему и настройках пользователей, но и в любом другом окне ввода логина и пароля в любом приложении.

Порадовало что не сразу, а только если много раз покликать… Прям как в том анекдоте про китайцев и Пентагон.
Достаточно одного клика, если до этого кликнуть на поле пароля (вводить пароль не надо). Проверено на 10.13.1
Не не работает. Окно логина дрыгается. А вот на второй unlock срабатывает.
У меня также срабатывает если вместо клика многократно enter нажать
Для не слышавших о таком анекдоте
Китайцы взломали сервер Пентагона. Вот как это было:
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был «Мао Цзедун»
3. На 74357181-й попытке сервер согласился, что у него пароль «Мао Цзедун».
  • Пусти
  • Не пущу
  • Ну пусти
  • Не пущу
  • Нуу пустиии
  • Ладно, заходи
держу пари, количество рутовых паролей «maodzedun» в мире маководов стремительно выросло
UFO just landed and posted this here
они взяли все на себя в этом году )) догнать и перегнать
А можно подробней про первый? Как гуглить, где читать?
UFO just landed and posted this here
Тогда 3, было ещё отображение пароля в поле для подсказки…
UFO just landed and posted this here
Да, в номинации «самый эпичный удар по безопасности»-2017 уверенно побеждает Apple )
Всё, хватит! Ушёл ставить Убунту…
Кстати, какой из десктопных линуксов самый надёжный?
Только не надо про Дебиан — например, планшетный сканер под ним после всех плясок так и не заработал, в Убунте завёлся из коробки. Но Убунта глючит в куче других мест.
Mint — почти все работает, все что не работает — решается за пять минут в гугле
Минт? Ну не знаю… Помню как несколько лет назад там была проблема десктоп залочить. Даже если и пофиксили с тех пор, репутация испорчена навсегда. Есть по-настоящему надёжные дистрибутивы?
Если так говорить — то все дистры плохие. Софта без багов не бывает, это закон природы.
Это понятно, что не бывает. Но тут диву даёшься, а сами разработчики этим скопищем жуков пользуются?
UFO just landed and posted this here
Я про Убунту, Минт и прочие. А про баги — безусловно. Однако, например, у Майкрософта со всеми его багами, во всех версиях, от NT3.51 до XP десктоп не вываливался раз в неделю, погребая под собой все процессы, как это делает Unity, мышь не скакала по экрану как угорелая, вайфай, принтер и сканер заводились из коробки без бубна. Вот доведите десктопный линукс хотя бы до такого уровня.
UFO just landed and posted this here
Самый надёжный наверное Tails :)

Попробуйте Elementary OS. В основе лежит Ubuntu, а сверху разработчики делают что-то похожее на osx

А она надёжная? Или как кривая Убунта?
Если брать широко распространенные дистрибутивы, то основанные на RHEL, на мой взгляд, безопаснее на дефолтных настройках, чем основанные на Debian. Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.
Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.

Ну да, 500 человек в Canonical не смогли за десять лет до нормального состояния допилить, а я один за вечер конечно смогу :)
Canonical занимается в большинстве своем «охомячковыванием» дебиана. Выпилить потенциально-деструктивные разрешения из sudoers не составит труда, при желании.
Пожалуйста, не подменяйте понятия — мы сейчас говорим о надёжности, а не о безопасности.
Я вот тоже не понял, что вы имеете ввиду. Вопрос про надежность в комментариях новости про root'а без пароля подразумевает безопасность, на мой взгляд. В таком случае, это в корне меняет мой ответ, данный выше. Пускай Debian не самый безопасный из коробки, но со своими 50000 морально устаревшими пакетами может считаться одним из самых протестированных. Только не удивляйтесь софту десятилетней давности.
Да, новость про безопасность. Но мой вопрос именно про надёжность, ведь чтоб пользоваться десктопным Линуксом нужна не только безопасность (тут всё довольно неплохо, как минимум, по сравнению с другими ОС), но и надёжность. А на Дебиане мне так и не удалось запустить планшетный сканер.
Если вам не удалось — это не значит что нет возможности. Возможно стоит подумать над самообразованием?
Мне кажется, отвечать логикой АвтоВАЗа — не самая лучшая идея. ОС нужна чтоб ездить, а не чтоб чинить. Мне не интересно становиться глубоким специалистом в допиливании хромых дистрибутивов линукса или починке карбюратора в жигулях, я лучше освою знания, которые принесут мне больший доход.
UFO just landed and posted this here
Можно я перефразирую Ваш ответ?

«Карбюратор в жигулях не работает — значит права купил»

«Авослесарем становиться не обязательно, надо было в автосалоне правильные жигули выбрать, чтоб без брака, это не сложно»

«А у соседа, в иномарке фара перегорела, и колесо спустило, нифига они не лучше жигулей»
UFO just landed and posted this here
Не можете починить карбюратор? Вызывайте эвакуатор до СТО.
Есть вариант получше — купить машину, не требующую частых поездок на эвакуаторе.
Это для тех, кто в карбюраторы сам умеет.
А разве Centos не точная копия RHEL за исключением брендинга?
Эвакуатор не включен в стоимость.
Это не есть проблема, если машинка не ломается каждый день.
Тоесть по вашему иномарки не ломаются?
И никто не говорил про «каждый день», сломаться может как ВАЗ (вами нелюбимый) так и любая иномарка.
Правильно пишут — нужно уметь головой думать, а не ЮСБ порт на компе лишь находить
UFO just landed and posted this here
А на Дебиане мне так и не удалось запустить планшетный сканер.

Если производитель не сделал нормальный драйвер для Линукс то виноват Линукс. Если производитель не сделал нормальный драйвер для Виндоус то виноват производитель.
Л — Логика!
Не совсем так. Майкрософт убедил производителей в том, что стоит писать драйвера под Windows. Серверный Линукс завоевал популярность именно надёжностью, поэтому к любым серверам есть линуксовые драйвера. Да, в силу эффекта курицы и яйца десктопному линуксу сложнее убедить производителей писать драйвера под Линукс.

Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

Или, на худой конец, создать наподобие distrowatch единый реестр устройств, к которым есть линуксовые драйвера, а не просто прокричать один раз кричать "FuThank you Nvidia". Чтоб потребитель мог, условно говоря, прийти в магазин, и сказать продавцу «хочу видеокарту и сканер из вот этого списка». Глядишь, производители железа начнут чесаться. А производители софта портировать софт.

А для начала стоит хотя бы починить безнадёжно глючный Unity и допилить wine, или тут тоже драйвер виноват?
UFO just landed and posted this here
В общем случае оно будет работать медленно и костыльно, если будет работать вообще. А для вайфая в своё время такое было, впрочем, см. ndiswrapper.

А надо чтоб работало хорошо.

Для аудиокарт на сайте alsa такое было, для сканеров (лет 10 назад, когда я покупал сканер в последний раз) было, для принтеров тоже. Собственно, последний купленный мной принтер (а на самом деле — какой-то первый попавшийся струйный МФУ от HP за 80 баксов) просто работает под линуксом без всяких танцев с бубном, даже автоматический податчик бумаги в сканер работает.

Надо чтоб был централизованный и обновляемый список, а не обрывки по отдельному типу железа. А вот у меня всякий раз чтоб что-то напечатать в Убунте на HP1018, надо перезагрузить принтер, удалить принтер из системы и добавить заново, иначе никак.

Есть, кстати, какой-то единый реестр устройств, где написано, какая минимальная и максимальная версия Windows их поддерживает?

Думаю что нет, за ненадобностью. Если не совсем антиквариат, то драйвер под свежую винду обычно есть.

А какого софта вам на домашней машине не хватает? Это я ради личной статистики, если что.

Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.

Ну, у меня вместо Unity — KDE. Там есть свои глюки, например, через пару месяцев аптайма кед иногда отваливается буфер обмена.

Пробовал kubuntu. Да, KDE понадёжнее Unity, но аудитория kubuntu на порядок меньше чем у ubuntu, соответственно куча софта из репозиториев тестирована на убунте и не тестирована на кубунте. Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.

Другое дело, что пара месяцев аптайма для Windows — куда большая проблема, да и для перезапуска кед мне не нужно перезапускать всю машину целиком. А wine у меня и нет вовсе.

Извините, но это из серии «у соседа в иномарке фара перегорела и колесо спустило, так что нифига они не лучше жигулей, а кондиционером я вообще не пользуюсь».

Кстати, на одном из рабочих мест был у меня Windows (служивший запускалкой терминала до нормальных машин с линуксом, но неважно), который корпоративными политиками перезагружался каждые выходные. И каждый понедельник мой (и не только мой) рабочий день начинался с того, чтобы постоять раком под столом, вытаскивая и вставляя обратно USB-кабель от клавиатуры, потому что иначе по какой-то неведомой причине не действовали настройки скорости повторения клавиш. У соседа мониторы были по DP подключены, и когда один из них переходил в спящий режим, система его теряла и перекидывала все окна на основной монитор. Куда и про какие хромые дистрибутивы Windows писать в этом случае?

См комментарий выше.
UFO just landed and posted this here
Зачем? Вы принтеры вместе с внешними звуковыми картами покупаете, что ли?

Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.

Страннота. У меня лет 8 со мной прожила сестринская модель 1020, работала просто шикарно.

ЧЯДНТ

А, я для сих целей latex/beamer использую. Ну, чтоб не было стыдно сделать презентацию, которую можно было бы показать на семинаре или reading group.

В научной среде — да, в коммерции — doc[x] и ppt, увы…

И в чём эта нетестированность заключается?

К сожалению, сейчас не вспомню. Год назад поставил кубунту, поплевался и снёс, ощущения запомнил.

Такого никогда не будет, и, более того, это и не нужно. У разных дистрибутивов свои цели.

Вот Майкрософт с его гигантскими ресурсами не смог тянуть два дистрибутива Windows — 95/98/Millenium и NT3.51-2000, смёрджил их в один. Ну а у сообщества, конечно, силы тянуть 100500 дистрибутивов найдутся…

Ну, в принципе, удобно и комфортно считать всякую проблему в Windows проблемой уровня перегоревшей фары, а в линуксах — не иначе как неработающим с завода карбюратором.

Я примеров тут привёл много. Если разница не видна, то что я ещё могу сказать. Для того чтобы начались изменения, надо признать проблему. А многие в сообществе эту проблему не признают. Потому линукс на десктопах по прежнему занимает несколько процентов рынка.

Кстати, вот, почитайте, если мне не верите.

Кстати, а зачем вам вообще Linux? Меня, к примеру, всё устраивает в нём уже… почти 18 лет. Есть и косяки от которых плеваться хочется, но факт остаётся фактом: они есть везде. Просто разные. Нужно просто научиться пользоваться плюсами (если они имеют место быть для конкретного человека) и избегать минусов :)


PS кстати, это так же и для эмиграции верно :)

UFO just landed and posted this here
Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.

certification.ubuntu.com/desktop

Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

Работать не будет потому что виндовс костыльное говно а драйверы соответствуют и используют грязные хаки и недокументированные возможности.
По той же причине не работает вайн.
А для начала стоит хотя бы починить безнадёжно глючный Unity

Ну во первых у меня например он не глючил кроме самой первой версии.
Во вторых, с разморозкой вас! Проект Unity закрыт давно.
Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.

Зачем?
Меня вот всё устраивает и не дай бог кто-то вздумает слить мой КДЕ с вонючим гномом.
Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.

А причём тут оперативная система?
Майкрософт выпустила SQL Server для линукс, заставьте её выпустить и ворд раз вам так надо.
Мне вот не надо, либреофис устраивает.

В научной среде — да, в коммерции — doc[x] и ppt, увы…

Приватбанк, Ситилинк и Улмарт видимо недостаточно коммерческие.

ОС нужна чтоб ездить, а не чтоб чинить

Ну вот я на ней езжу, ЧЯДНТ?

Все ваши претензии суммируются как «сделайте как виндовс и приложения чтоб виндовс и драйверы и офис тоже майкрософт и политику развития дистрибутивов смените как у майкрософт».
Ну и идите с такими хотелками в ваш обожаемый виндовс.
Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

Кстати, для WiFi так и сделано. Точнее имеется возможность. Гуглить ndiswrapper. Временами работало лучше нативного на Asus EeePC 1000HA, потом нативный стал лучше. Но… это очень сложно, особенно учесть все недокументирванные возможности и прочее. Даже если не касаться драйверов, вон Wine сколько пилят и проблемы были есть и будут.

Дело не в «500 человек в Canonical не смогли за десять лет до нормального состояния допилить», а в том, что у нее другая целевая аудитория. У меня сейчас стоит Fedora, ее же разработчиками позиционируется не как самая безопасная ОС на свете. Но при этом даже в мелочах постоянно замечаешь подобные различия:

Хочешь установить пакет? Ubuntu делает это сразу, иногда спрашивает подтверждение, которое по-умолчанию означает «Да». Fedora спрашивает подтверждение постоянно, и случайное нажатие Enter приводит к отмене операции, потому что по-умолчанию «Нет».

Хорошо, пакет установлен. Пускай это был какой-нибудь Apache. Он уже работает? В Ubuntu ответ «да», потому что она автоматически запускает все только что установленные сетевые серверы, еще и прописывая их в автозагрузку. В Fedora ответ «нет» — как можно запустить сетевой сервер, не ознакомившись со стандартным конфигом? Только после этого вы его запустите, убедитесь, что все работает как надо, и добавите в автозагрузку.

«Ой, я все добавил, а сайт не открывается!» В обоих ОС есть своя оболочка со свистоперделками вокруг iptables / netfilter. Вот только в Ubuntu по-умолчанию разрешено абсолютно все (iptables -L возвращает пустой список с Chain INPUT (policy ACCEPT)), а в Fedora наоборот запрещено.

ОК, настроили firewall, решили раздавать файлы с внешнего диска. Что, опять не работает? Все верно, SELinux стоит на страже ваших данных. Пока вы не проставите соответствующие метки на свои файлы, Apache'у будет access denied на уровне ядра. В Ubuntu тоже есть какое-то свое решение (AppArmor), но я не слышал, чтобы у кого-то реально были с ним подобные проблемы (может, он там вообще отключен? не в курсе).

И это, напомню еще раз, не серверный дистрибутив. Могли ли «500 человек в Canonical» сделать все то же самое? Думаю, да. Но тысячи, если не миллионы хомячков тут же начали бы ныть на каждом углу, что «Ubuntu отстой», там вообще ничего не работает, ну ее нафиг, поставлю Windows и буду сидеть под админиским аккаунтом без антивируса.
Идея, что всё работает из коробки, не плоха, особенно для аудитории Убунты. Плохо когда у Убунты вайфай раз в неделю отваливается без причины или когда Unity неожиданно схлопывается.
Прям как в Windows XP в старые времена, когда учётка Администратор была скрыта и активирована по умолчанию, а вход осуществлялся если удерживать клавишу Shift при загрузке, тем самым переключится на старое меню входа и ввести Администратор
Спойлер
image
.
Но такое, и в 2017…
1. Многие его не задавали, я лично при первых установках не мог понять что это за администратор такой.
2. Ещё во времена ХР цвели говносборки, но это уже совсем другая история, там и похлеще дыры были.
В общем «взломать» ХР среднего пользователя таким способом было вполне реально.
UFO just landed and posted this here
Многие искренне считают что обновления ставить не нужно и даже вредно. Вина ли это Windows?

Я лично всегда задавал этот пароль. И смотрел с недоумением на то, что некоторые отсутствующий пароль у администратора выдавали за косяк Windows, когда на самом деле это был косяк того кто ставил систему. Надо хоть немного смотреть то, что инсталлятор спрашивает тебя, вместо «не глядя покликал по кнопкам Next и Accept».

Инсталлятор чётко говорит, что создаст учётку Администоратора, с помощью которой можно будет получить полный доступ к компьютеру, и просит пароль для неё. Даже если не обращаться к документации за подробностями, эту учётку можно было увидеть, например, хотя бы раз загрузившись в безопасный режим, где она предлагается среди прочих.
Ну я всё равно не понимаю, почему тогда не отключать этого администратора если пароль не задан (что и стали делать в Vista и выше), всё равно первый пользователь который создаётся в системе имеет равные с тем администратором права, для чего было плодить лишнюю сущность?
Впрочем на безопасность моего компа незаданность пароля тогда слабо влияла, ибо на обычной учётке пароль тоже не стоял.

Тут имеет место быть косяк установщика, который пустой пароль пропускал. Если бы не пропускал и пользователи бы фигачили 1 или qwerty, то это были бы уже точно их проблемы :)

UFO just landed and posted this here
Надо поставить курсор в поле ввода пароля перед нажатием кнопки разблокировки.
UFO just landed and posted this here
Это прекрасно! Спасибо за ссылки, добавлю в пост.

Вы ещё добавьте, почему в форуме появился этот совет. Зачем вообще chethan177 написал инструкцию.

Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:
sudo passwd -u root

Сделал так, выставив пароль, но ничего не изменилось, все также пускает с пустой строкой. Ждем обновлений
Это вестимо какая-то эппло-индусская приблуда над суперпользователем которая этим суперпользователем и управляет, и в ней уязвимость. С su/sudo по идее всё ок.
значит, не выставили. у меня на 2 машинах помогло.
High Sierra, единственный пользователь с паролем. Просит ввести пароль для пользователя, с пустым паролем не пускает, на root никак не сменить. ЧЯДНТ?

Нужно в настройках пользователей, во вкладке «Параметры входа» указать «Показывать в окне входа» «поля имени и пароля», затем выйти из системы или перезагрузить компьютер.

Я — Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру.
Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
Заранее благодарен за понимание и сотрудничество.
Это, конечно, фейл, но всё-таки такие вещи надо сначала в саппорт отправлять, а не сразу в твиттер.
Одиночные случаи в саппорте не так быстро исправляют как сотни и тысячи жалоб публично.
После такого «публичного позора» они просто ОБЯЗАНЫ тут-же все выпустить обновление как минимум сегодня.
А ведь Стиви на небесах тоже ждет исправление.
Не исключено, что имеет место квантовая запутанность, и он одновременно и на небесах и в аду, и мы этого не узнаем, пока не пронаблюдаем. Научный поход, ничего личного.
Я попробовал у себя, у меня не прокатывает данный трюк. Не при входе в систему, не так как описано здесь.
Это по сути не уязвимость а расхлябанность пользователей которые не задают пароль для root. Сами виноваты.
А если root пользователь отключен и не используется? Это тоже пользователь виноват?
Как он может быть отключен? МакОС линух подобная система, на уровне рута много что работает.
Что значит?
логин в него отключён


Из под рута можно войти всегда, может имелось виду авторизация при входе в систему
Что значит?
логин в него отключён

Команда su root не работает, авторизация при входе в систему тоже.
В убунту также.

Я правильно понимаю, что в OS X технически это сделано тоже выставлением оболочки входа пользователя в /etc/passwd на /bin/nologin или что-то подобное?

Ох уж эти линуксоиды. Это не "линукс-подобная" ОС. Это Unix-подобная ОС. Это разные вещи. Торвальдс еще только изучал программирование, а Nextstep — предок macOS — уже существовал и далеко не в первом релизе.


Из под рута можно войти всегда

Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.

По поводу «линукс-подобная» неправильно выразился, вы правы Unix подобная, но это не меняет в данном контексте разговора(линух так же unix подобная система).

Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.

тут можно поспорить но, каждый останется при своем…

Зы: Ох уж эти маководы, блин я один из вас, вот блин))
тут можно поспорить но, каждый останется при своем…

Я сейчас написал абзац про то, что я вот сдавал экзамен Support Essentials, а вы вряд ли и все такое, но потом подумал, что это все не нужно и пустое.


Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.

Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?
ЗЫ: и не нужно загибать пальцы, это не имеет смысла

— Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.
— тут можно поспорить но, каждый останется при своем…
— Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.
— Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?


Действительно, что?

Нет, нет, не надо таких сравнений Линус Торвальдс тут не причём. Некоторые за такие сравнения и обидеться могут.
Darwin а позднее OS/X а ещё позднее снова macOS построен на ядре FreeBSD, настоящем Unix-е )
Хотя надо признать выбрали его как основу OS скорее из за лицензии, так как BSD лицензия позволяет не раскрывать код производных продуктов.
Ядро у мака свое, окружение от FreeBSD, не путайте
Осталось массово скирпичить айфоны и можно расходиться…

У меня эта уязвимость не воспроизводится. Возможно из-за того что обновлялся до High Sierra с предыдущей версии.

Вот тут
написано, что форма ввода пароля не просто вводит, а сбрасывает пароль рута, если пользователь не активен.
Кстати, можно также сбросить пароль без sudo. Так что все юзеры маков — потенциально админы)
У меня изначально установлен root пароль, и все попытки повторить описанные не увенчались успехом. Форма не сбрасывает у пароль
Я правильно понимаю, что если File Sharing включен, но никаких папок не расшарено и никаких пользователей не добавлено, то File Sharing вообще не должен предоставлять никакого доступа?
Думаю да. Или хотя бы показывать пустой список того, что можно монтировать, но никак не весь диск.
Все оказалось чуть сложнее. Чуть позже опишу.
С какой macOS подключались в целевую?
Я проверил с macOS High Sierra в High Sierra (свежеустановленную) SMB запрашивает логин и пароль, где пустой пароль не срабатывает.

PS: проверил на других macOS, тоже не подключаются, на видео включен гостевой доступ без пароля. Так что тут все верно.
На обоих маках 10.13.1 Гостевой доступ точно выключен, однако у меня закралось подозрение, что Mac как-то знает что с обоих сторон одинаковый appleid, возможно меня пускает именно поэтому. Сейчас не возможности проверить для разных appleid.

Наверно, он сам тестировал этот случай руками

Подтверждаю, баг есть только на High Sierra.
В UI macOS срабатывает только если фокус/курсор в поле ввода пароля.
Если включен общий доступ к файлам то в шару, SMB/AFP/FTP/SFTP из-под root, не пускает.
И если включен удаленный вход, то по SSH из-под root тоже не подключиться.
Так что, все не так печально, для эксплуатации уязвимости нужен физический доступ.
Я там уже ответил. Если пароль не спрашивает значит гостевой доступ включен.
У меня есть все версии macOS установленные и не тронутые.
Часто такие видео делают для накрутки просмотров, или может владелец просто не знал что у него включен гостевой доступ без пароля.
Еще просто на лок скрине если нажать «другая учетная запись», вбить root и без пароля залогинится в root аккаунт.
Есть доступ к чтению и записи в всех папок.
«Обновлен. безопасности» — при Джобсе такого не было! :-) Еще и с хинтингом какие-то проблемы.
Да уж. Как будто для двух букв места не хватит…
блин, да что-ж такое?..
проверил у себя, так же со второго клика — ключ с настроек снимается.
через sudo passwd -u root — проблема решилась.
но как же так?..
версия: Бета 10.13.2 (17C79a)
на втором ноуте, сначала обновился до Бета 10.13.2 (17C83a), потом проверяю — и опять ключик открылся без проблем.
ждем updates…
Sign up to leave a comment.

Articles