OS Xのcronジョブがパスワードのハッシュを作る 3
ストーリー by yourCat
見ちゃ駄目 部門より
見ちゃ駄目 部門より
k3c 曰く、 "SecurityFocusの記事によれば、Mac OS Xの現行全てのバージョンにおいて、cronジョブが生成するバックアップファイルに全ユーザーのパスワードのハッシュ値が書かれており、しかもそれがworld-readableになっているとのこと。root権限でchmod -R go-rwx /var/backupsするという回避策も提示されているが、Appleからのパッチはまだ出ていない。"
確かに644になっていて、なかなか気味の悪い話だ。しかしMac OS Xが抱えるコンシューマー・ユーザーはcronやハッシュ値が何の事か分かるだろうか? コンシューマーとUNIXの橋渡し役として、Appleにはこういところに細心の注意をお願いしたい。[Update] chmodのオプションが間違っていた。すまない。
これだけじゃ足りない (スコア:2, 参考になる)
デフォルトだと誰でも実行できるんで。
って実はCとかでnetinfo/ni.hをincludeすれば同じ情報が読み出せる罠がまだ有ります。
デフォルトで閉めてもらえればそれにこしたことは有りませんが、どこぞのFirewall絡みのユーザグループがセキュアなサーバを組むためのチェックリストを作成していたように、Mac OS X向けのそーいうドキュメントが有れば僕的には十分だったりします。
それでも足りない (スコア:1, 参考になる)
それだけやったところで、netinfoのアクセス関数である ni* 関数群が利用可能なので nidump の同等品ぐらいは すぐに作れちゃう罠
ここ [nexus.or.jp] に日本語訳まであるときた。
以前のBSD-Magazineだったかに、NetInfoにアクセスする Rubyの拡張ライブラリを作った人がいるという話があった 記憶があるし、実際 NetInfo の概念さえ理解すればさして 難しいものじゃない。
少なくとも Mac OS X Server1.0とか1.2だと、特定のプロ パティを読み出し不能にするのに「_shadow_プロパティ名」 というプロパティを作ればよかったのだが(「_writers_プロ パティ名」のプロパティを作ることで、root以外の特定の ユーザーにも書き込みを許す機能と考え方は同じ)、Mac OS X のNetInfoで有効なのかはちょっと分からん。
この件も早く解決してくれないかなぁ (スコア:2, 参考になる)
去年の9月にBugtraqにおいてさえPossible Issue with Netinfo and Mac OS X [securepoint.com]から始まるスレッドが有って、この投稿自体「ガイシュツ」と突っ込まれてたのですが...。
ってのは置いといて、まずは一点指摘。chmod +Rじゃなくて“-R”ですよね。<タレコミ
上でenhydraさんが述べてる様に、nidumpも使えるってのはSecureMac.comの記事 [securemac.com]にも載ってますね。他にも沢山あると思いますが。
他のNetInof関連のコマンドもパスワード情報の閲覧に使えますね。
自分も含めほとんどのMac OS XユーザーがNetInfoを活用できていない訳だから、NetInof関連コマンドは軒並みパーミッションを変更しちゃってもいーんじゃないかな、と思ってます。
# まぁそれでもダメなのは、enhydraさんとACさんのおっしゃる通りですが。
あぁあと、NetInfo Managerって一般ユーザでも起動可能で情報の閲覧だけはできる訳ですが、10.1.4から各ユーザーの“_shadow_passwd”プロパティを見るとハッシュ化されたパスワード情報が見れる様になってしまってる、という指摘が Darwin-Developer MLの投稿 [apple.com]で為されております。
# 手元で入れたばかりの10.1で追試したら確かに10.1ではパスワード情報は見れません。
# ですから“_shadow_プロパティ名”は効かないかもです。>ACさん [srad.jp]
しかし、DarwinfoのDarwin関連MLアーカイブの方が好きだったんですがね...。Appleのはちょっと見にくいです。