Visualizza Versione Completa : Privilegi amministratore eccessivi
Gran Maestro
14-03-06, 12:10
Ciao a tutti,
in questi giorni la mia incondizionata fiducia nella "sicurezza" di OSX ha avuto un duro colpo.
Sul Mac che ho a disposizione a casa di amici ho creato un utente (non amministratore) con tanto di password, per poter gestire in piena autonomia i miei dati.
Dopo qualche giorno il figlio sedicenne ha sostituito la password per farmi uno scherzetto dispettoso.
Al terzo tentativo di accesso con pswd errata, il sys mi ha chiesto quella di amministratore (che io conosco) il che mi ha consentito l'accesso e il ripristino di tutto quanto.
A questo punto ho deciso di rinforzare la "security" e mi sono dato i privilegi di amministratore convinto che questo mi permettesse di mettermi al riparo da eventuali altri scherzetti... :P
Invece, nossignore, il birbante riesce ancora ad accedere all'utente che ho creato e a cambiarmi la password.
Premesso che, so con certezza che il ragazzo non ha usato il disco di avvio, non ha privilegi di root e, soprattutto non è smaliziato nell'uso di computer, mi domando come diavolo sia possibile.
Semplicemente dalle preferenze di sistema? Ma è pazzesco!!
Il fatto che un qualunque amministratore di OSX possa cambiare non solo i privilegi di accesso ma anche la password di altri suoi pari, lo trovo gravissimo.
Occhio a casa chi condivide il suo computer con la moglie perchè apparentemente OSX non è poi così sicuro come credevamo... 8)
Che ne dite? e soprattutto, come difendersi da usi impropri mantenendo attivo il "fast user switching"?
/P
In effetti è spiacevole. L'unica soluzione che trovo è quella di non creare più di un amministratore, che nella maggior parte dei casi è sufficiente.
(Addirittura da qualcuno è consigliato non utilizzare normalmente un utente con privilegi di amministratore, specie se connessi alla rete. Ma a me sembra un po' paranoico... :) )
In ogni caso, io condividevo il computer con la mia ragazza, ma non le ho mai dato privilegi da amministratore. ;) :D
flashcream
14-03-06, 14:58
A questo punto ho deciso di rinforzare la "security" e mi sono dato i privilegi di amministratore convinto che questo mi permettesse di mettermi al riparo da eventuali altri scherzetti... :P
Invece, nossignore, il birbante riesce ancora ad accedere all'utente che ho creato e a cambiarmi la password.
Premesso che, so con certezza che il ragazzo non ha usato il disco di avvio, non ha privilegi di root e, soprattutto non è smaliziato nell'uso di computer, mi domando come diavolo sia possibile.
Semplicemente dalle preferenze di sistema? Ma è pazzesco!!
Il fatto che un qualunque amministratore di OSX possa cambiare non solo i privilegi di accesso ma anche la password di altri suoi pari, lo trovo gravissimo.
per cambiare la pass serve:
1) sbloccare il pannello delle preferenze (quindi conosce la pass di un amm. oppure è mancante e batte un semplice invio)
2) immettere la vecchia e digitare nuova
se la pass c'è...... non mi quadra il tuo discorso o meglio solo da dvd può agire senza pass, facendo il reset 8)
e all'avvio? il login è automatico? se non è automatico serve la pass pure per quello.... e non mi pare ci sia sistema per bypassarla se la pass davvero c'è (premettendo di non conoscere modalità diverse di avvio)
almeno sul mio mac.... è cosi ;)
per cambiare la pass serve:
2) immettere la vecchia e digitare nuova
Sai che anch'io credevo? Invece ho controllato e non ho avuto bisogno di inserire la vecchia password...
flashcream
14-03-06, 15:20
Sai che anch'io credevo? Invece ho controllato e non ho avuto bisogno di inserire la vecchia password...
ci credo... però è strano
tra l'altro stavo guardando e non serve sbloccare il pannello (se sei amministratore).... entri direttamente nel pannello cambio pass dove (in teoria) chiederebbe la vecchia
mah... :???:
per cambiare la pass serve:
2) immettere la vecchia e digitare nuova
Sai che anch'io credevo? Invece ho controllato e non ho avuto bisogno di inserire la vecchia password...
Confermo, la "vecchia" password la chiede solo se si cambia il proprio account; è normale, mi si consenta, che l'amministratore di un sistema NON conosca (e non possa conoscere) le password in uso ai propri utenti.
flashcream
14-03-06, 15:34
ok, ottima precisazione.... quindi per cambiarla l'amico doveva inserirla... e questo, se non è accaduto, mi pare strano (se non ho capito male gli ha cambiato la pass del proprio e nuovo utente amm..... ora a questo punto non ha avviato con questo.... altrimenti era impossibile)
Dunque a quel che ho capito io, il ragazzino, che ha un account come amministratore, ha modificato la password a GM, che ha un altro account con privilegi di amministratore.
E questo è possibile.
E' giusta la precisazione di thecube. Resta però bizzarro cheper cambiare la mia password debba inserire quella vecchia, quando basta che acceda tramite un altro account amministratore per cambiarla senza inserire nulla.
No? :???:
flashcream
14-03-06, 15:50
E' giusta la precisazione di thecube. Resta però bizzarro cheper cambiare la mia password debba inserire quella vecchia, quando basta che acceda tramite un altro account amministratore per cambiarla senza inserire nulla.
No? :???:
un pò si in effetti... ho due amministratori di cui non conosco la pass.... prima la cambio all'altro e poi da quello al primo.... andiamo bene!!
ma già se metto il login non automatico.... non riesce.... lì la pass serve
Scusate, ma avere due amministratori su una sola macchina è un errore concettuale, NON un problema di OS X....
Gran Maestro
14-03-06, 17:03
Scusate, ma avere due amministratori su una sola macchina è un errore concettuale, NON un problema di OS X....
In linea di massima posso anche essere d'accordo TC però mi sembra ovvio il poter prevedere su un sistema multiutente più di un amministratore che abbia la possibilità di fare delle manutenzioni in certe directory comuni.
La cosa che trovo sorprendente in OSX, è che come amministratore non possa accedere neanche in lettura ai documenti contenuti nella altrui home directory (e questo è corretto) però posso tranquillamente cambiare la password di un altro amministratore e di conseguenza, accedere al suo conto e quindi a tutti i suoi privilegi.
Insomma, ciò che non va bene è la possibilità di intervenire sulle password altrui.
Dovrebbe essere una prerogativa solo di root.
Tra l'altro ho la quasi certezza (non posso verificare da qui) che Linux (e UNIX) funzionino proprio così anche se utilizzando il comando sudo è possibile estendere temporaneamente (ad esempio 5 minuti) alcuni privilegi di un utente (o gruppo) ad altri.
Così comè concepito ora OSX fa acqua da tutte le parti.
Mi piacerebbe sapere se sul server il comportamento di Tiger è diverso ma questo senz'altro ce lo può dire qualche amministratore di OSX se legge questo thread.
/P
Gran Maestro
14-03-06, 17:09
E' giusta la precisazione di thecube. Resta però bizzarro cheper cambiare la mia password debba inserire quella vecchia, quando basta che acceda tramite un altro account amministratore per cambiarla senza inserire nulla.
No? :???:
un pò si in effetti... ho due amministratori di cui non conosco la pass.... prima la cambio all'altro e poi da quello al primo.... andiamo bene!!
ma già se metto il login non automatico.... non riesce.... lì la pass serve
Bravo, direi che hai centrato il problema ed è uno dei motivi per cui sarebbe bene, per la sicurezza, disabilitare sempre i privilegi di amministratore dall'utente abituale soprattutto se il login è automatico.
Da quello che sembra, su OSX un qualsiasi utente con privilegi di amministratore (non "root", attenzione!) può fare tutto quello che vuole a qualunque altro utente.
Questo è concettualmente pericoloso.
/P
photostudio
14-03-06, 17:41
secondo me ti frega approfittando di quando il mac è in stop.
Se il tuo problema è la sicurezza quando non sei davanti al computer dovresti:
fare apparire la lista di utenti all'avvio,
meglio nascondendo i tasti riavvia e stop,
disabilitare il cambio utenti rapido,
e poi dal menù sicurezza di preferenze
chiedi password per riattivare dallo stato di sleep
e per finire: metti in sleep dopo tot minuti di inattività
Gran Maestro
14-03-06, 17:48
secondo me ti frega approfittando di quando il mac è in stop.
Se il tuo problema è la sicurezza quando non sei davanti al computer dovresti:
fare apparire la lista di utenti all'avvio,
meglio nascondendo i tasti riavvia e stop,
disabilitare il cambio utenti rapido,
e poi dal menù sicurezza di preferenze
chiedi password per riattivare dallo stato di sleep
e per finire: metti in sleep dopo tot minuti di inattività
Ciao photostudio,
premesso che il ragazzino è di casa e ci "divertiamo" con questi scherzetti e di conseguenza non mi devo scervellare più di tanto per trovare una soluzione al problema, rimane il fatto che su OSX, un utente con i privilegi di amministratore, se vuole, può cambiare la password a tutti gli altri utenti.
(non ho provato con l'utente root ma sarebbe il colmo dei colmi...:-o )
Non viene chiesta la vecchia password per immeterne una nuova. Provare per credere.
Diabolico. :twisted:
/P
photostudio
14-03-06, 18:01
l'amministratore è una persona di cui ti devi fidare.
il diabolico è poter avere 2 amministratori.
no?
Scusate, ma avere due amministratori su una sola macchina è un errore concettuale, NON un problema di OS X....
Concordo pienamente, a parte il fatto che l'amministratore del computer è UNO e UNO solo (lasciate perdere che se ne possano impostare più di uno), ed è giusto che questo possa fare qualsiasi cosa sul sistema.
ma secondo me conosce la pass di amministratore e basta :lol: :lol:
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions Inc. All rights reserved.