昨日 macOS 最新版本 High Sierra 被發現 root 帳戶未設定密碼,令所有 Mac 機用戶大為震驚。 Apple 當然明白事態嚴重,所以香港時間今日凌晨就已經發放了修正更新,並罕有地就這次事件發表評論,並向用戶致歉。
據美國保安機構 CERT/CC 指出,這次的漏洞不單在本地端,連 SSH 之類的遠端存取都有機會被利用,任何人不用密碼就可以遠端登入你的 Mac 機,打開共用畫面和遠端管理功能來作進一步攻擊,又或存取其他用戶的資料。
Apple 所推出的緊急更新編號為 2017-001 ,對象只有 macOS 10.3.1 High Sierra ,而上一個版本 10.12.6 Sierra 則不受影響。這個更新會自動安裝在所有 macOS 10.13.1 的系統,安裝後,在用戶啟動 root 帳戶時候會被要求設定密碼。
Apple 在今次更新推出後罕有地向傳媒發表聲明,指他們對於今次過失非常抱歉,並向全部 Mac 用戶致歉。為了防止事件再次發生, Apple 表明會在開發過程中進行監察。
root 帳號設定有規有舉
原來在 macOS 系統裡,是有正式程序來開關 root 帳戶的。假如你需要存取同一部電腦上其他用戶的檔案,又或是要存取系統檔案,就有機會需要用到 root 帳戶。不過 Apple 還是呼籲大家平常應該只用較安全的 sudo 指令,而即使有需要使用 root 帳戶,也應該在用完之後,立即將它關上。
- 以管理人帳戶登入,選擇「System Preferences…> Users & Groups」;
- 按一下左下角的鎖頭來解開進階設定項目,這時需要輸入第一次管理人密碼;
- 選擇用戶清單下方的 Login Options;
- 按右邊界面下方 Network Account Server 的 Join 或 Edit 掣;
- 在彈出來的對話框按「 Open Directory Utility… 」,就會彈出一個新的 Directory Utility 視窗;
- 按下 Directory Utility 視窗左下角的鎖頭解鎖,這時需要輸入第二次管理人密碼(這個視窗可用 Touch ID 解鎖);
- 選擇 Directory Utility 選單的「 Edit > Enable Root User 」;
- 這時會要求你輸入新的 Root 帳戶密碼;
- 輸入完成後,就可以登出管理人帳戶,再用 root 帳戶來登入。
- 想關閉 Root 帳戶,只要按以上程序打開 Directory Utility ,在 Edit 選單上找到 Disable Root User 選項。