パスワードなしでrootアカウントを利用できる脆弱性(ヤバイ)
rootアカウントってのは管理者権限があるアカウントで、まぁだいたいなんでもできるくらいのやつ。これがパスワード不要で使われるとまずいですよ! 実際にやってみました。 ご覧の通り、ユーザー名を「root」にするとパスワードを入れることなくログインできてしまいました。良い子はマネしちゃだめだゾ!対処方法
このままではどう考えてもあかんので、対処しましょう。 対処と言ってもそんなに難しいことはなく、rootアカウントにパスワードを設定するだけです。 システム環境設定を開き、「ユーザーとグループ」をクリック。 左下の鍵アイコンをクリックします。 ログインしているユーザーのパスワードを聞かれるので、パスワードを入力してロックを解除。 ユーザー名に「root」を指定するとパスワードなしでロックが解除できますが、ログインしているユーザーで実行したほうがいいでしょう。 鍵のロックが外れたら、ログインオプション > 接続 とクリック ウインドウが出るので「ディレクトリユーティリティを開く…」をクリック。 ディレクトリユーティリティが開いたら、左下の鍵アイコンをクリックします。 ログインしているユーザーのパスワードを聞かれるので、パスワードを入力してロックを解除(ここでは指紋認証を使っています)。 「ユーザーとグループ」同様、ユーザー名に「root」を指定するとパスワードなしでロックが解除できますが、ログインしているユーザーで実行したほうがいいと思います。 ロックが外れたら、メニューバーの「編集」>「ルートパスワードを変更…」をクリック。 上記画像では、既にルートユーザーでログインしているのでルートユーザーが有効になっておりルートパスワードが変更できますが、ルートパスワードの変更がグレーアウトしている場合は、ルートユーザーを有効にしてからパスワードを変更してください。 パスワードの変更画面が表示されるので、任意のパスワードを入力して「OK」をクリックします。 これでルートユーザーのパスワードが変更されたので、パスワードなしでログインできないようになります。 問題なさそうですね。なかなかキツめの脆弱性が発見されてマジやばくね?って感じなので、Appleさんには早めに修正してもらいたいですね。