Pourquoi le root est il si facile à obtenir sous MacOS ?

[DHX]

j'ai remarqué il y a deux jour que lorsque qu'on démarrait MacOS en mode single user (appuyer sur pomme+x au démarrage) on arrive dans un terminal en tant que root !!!
Nul besoin de taper un mot de passe, des le démarrage on obtient tous les privilèges !

J'ai alors deux questions, tout d'abord comment se fait il que par défaut MacOS ne soit pas plus sécurisé ?
deuxième question: comment est il possible de forcer une demande de mot de passe pour qu'il devienne impossible d'obtenir le root aussi facilement lors d'un démarrage en mode single user ?

 

[DHX]

oups j'ai fait une faute de frappe, ce n'est pas pomme+x mais pomme+s

 

[bompi]

Tu trouveras ici un exemple de solution.
De toutes façons, pour un ordinateur personnel, il faut mettre dans une image disque cryptée les informations personnelles "sensibles".
Et pour les serveurs, l'accès à la machine peut être interdit (dans les data centres).

Mais ta remarque est juste et je partage ton objection.

 

[p4bl0]

j'ai remarqué il y a deux jour que lorsque qu'on démarrait MacOS en mode single user (appuyer sur pomme+x au démarrage) on arrive dans un terminal en tant que root !!!
Nul besoin de taper un mot de passe, des le démarrage on obtient tous les privilèges !

J'ai alors deux questions, tout d'abord comment se fait il que par défaut MacOS ne soit pas plus sécurisé ?
deuxième question: comment est il possible de forcer une demande de mot de passe pour qu'il devienne impossible d'obtenir le root aussi facilement lors d'un démarrage en mode single user ?

:afraid: :afraid:

C'est quoi ce truc ! comment ça se fait ? j'étais pas au courant de ça ! c'est n'importe quoi !


Je suis sûr que la gars qui a décidé ça est le même qui a décidé du design d'iTunes 7 :casse: :bebe:

 

[DHX]

merci bompi pour ces informations
il est en effet interressant de savoir que la variable d'environement $TERM est égale à vt100 quand on est en mode single user.
Sur la page que tu as indiqué ils indiquent une méthode pour faire redémarrer l'ordinateur lorsqu'on essaye de démarrer en mode single user. Néanmoins je ne trouve pas que cela soit une bonne solution puisque cela empêche d'utiliser ce mode qui peut parfois être très pratique.
J'ai donc tenté de rajouter ceci dans mon /var/root/.profile :
if [ $TERM = vt100 ];then /usr/bin/login; fi

et voici ce que j'obtient en démmarant en mode single user:
Login: root
Password:
this user doesn't exists

Ce mode de démarrage ne semble donc pas gérer les logins ...
Quelqu'un aurait il donc une autre solution ?

 

[gazobu]

dans le genre trou de sécurité il n'est pas mal celui-là

Ce mode de démarrage ne semble donc pas gérer les logins

même si root est activé sur la machine ?

 

[DHX]

même si root est activé sur la machine ?

que veux tu dire ? le compte root est toujours activé.
mais quand tu démarre en mode single user tu es direct en root et pas moyen de changer de user. Dailleurs les commandes passwd, chown, chgrp .. etc ne semble pas fonctionner
mais tu me diras, ce nest pas la seule façon pour changer un mot de passe :s suffit de trifouiller un peu dans quelques fichiers ...

 

[gazobu]

que veux tu dire ? le compte root est toujours activé

me suis mal exprimé,
bien sûr (et heureusement) que le user System Admin. existe,
je voulais juste savoir si le PB était le même si dans NetInfo on lui avait attribué un passwd.

edit: dans le genre douteux, je viens de voir que dans private/var/ on peut modifier toutes les autorisations de root !
[Dieu merci, ce n'est pas possible sous NeXTStep]

 

[bompi]

Le user root existe mais n'est pas activé (dans la base NetInfo) par défaut.
Mais je suppose qu'au niveau du mono-utilisateur, la base NetInfo n'est pas utilisée, comme indiqué ici. Avec ceci, tu devrais être satisfait.

 

[gazobu]

comme indiqué ici. Avec ceci, tu devrais être satisfait.

M E R C I
{je suis sous panther et ne comprenais rien à cette histoire}

 

[DHX]

Merci gazobu et bompi !
c'est parfait, on se demande pour MacOS n'est pas configurer par défaut pour demander un mot de passe en SUM ...