Mac獅子系統又暴安全隱患

安全隱患

在mac os x 10.7.3系統在某些特殊情況下，據有人發現，mac os x系統會把使用者的使用者名稱連同密碼一起記錄在系統的安全日誌中，而且密碼是明碼。

debuglog | -[homedirmounter mountnetworkhomewithurl:attributes:dirpath:username:] | about to call _premounthomedir. url=afp: userpathcomponent = pft, userid = 1-31, name = pft, passwordasutf8string = ************xx

在系統日之中記錄使用者名稱和密碼是不能被接受的，這是乙個嚴重的安全隱患，特別是在企業環境中，每個使用者的資訊，都要被保護，這是管理員在最初設計自身系統環境時的考慮，然而os x系統輕易的就把管理員的精心設計給破壞了，這令人懊惱。

撲朔迷離

這個使用者是在幾台連線到雪豹10.6的伺服器使用open directory認證的，目前只有為數不多的系統管理員們確認了這個問題，而絕大多數的其它人在他們所管理的系統上，卻沒有找到這樣的問題。

因為還沒有人找到它的出現規律，比如這個問題出現在哪些版本的獅子系統上，在什麼情況下出現等等的條件，系統會記錄使用者密碼。就目前所知，只有在於ldap伺服器通訊，獲取訪問伺服器共享資源的時候，可能會出現。目前出現問題的經過確認，已經有3個案例。管理員們，正在排查原因，同時他們都確認了下面兩個方面沒有問題：

1. 沒有改動系統authorization檔案

2. 使用預設的除錯選項，也就是只在系統日誌中記錄錯誤資訊

不過，他們似乎都有實施使用者級別的login指令碼，以方便實施各自的系統管理和使用者配置。另外，乙個管理員已經確認，出現問題的lion版本的build版本是11d50b和11d50。

基於沒有找到任何的規律性的現實，這個問題到底是系統本身的問題，還是其它什麼因素導致的，還無法定論，比如說，是不是管理員編寫的指令碼本身的問題，伺服器設定導致，客戶端配置問題，甚至有可能被病毒感染等等各種可能都有。

其它案例

其實還有另外乙個案例，也是系統記錄使用者名稱和密碼在安全日誌中。在獅子系統中，使用者開啟乙個舊版本filevault時 (通常稱作 filevault 1,因為在獅子系統中，filevault被公升級了，人們俗稱之為filevault 2)，通過系統認證後，在安全日誌中會記錄使用者名稱和密碼。那麼這個為了安全考慮的加密的檔案，還有什麼安全可言呢？

下面是該日誌的內容例子：

apr 11 19:39:35 hostname authorizationhost[1240]: debuglog | -[homedirmounter mountencryptedhomewithurl:attributes:dirpath:username:] | about to call dihlfvmount. urlattribute = /users/.username/username.sparsebundle, password = password-here-in-plain-text, mountpointparent = /users, homedirpath going to the dihlfvmount call = /users/username

臨時修補

臨時的解決方法，

可以不讓系統記錄任何的安全日誌，比如：

f=/var/log/secure.log && sudo rm $f && sudo ln -s /dev/null $f

或者定時刪除所有的所有的安全記錄

或者刪除已知的記錄密碼的記錄

Mac獅子系統又暴安全隱患

全面降低windows系統的安全隱患三

消除XP作業系統自身的安全隱患

安全隱患分析和基本系統結構資訊的收集

Mac獅子系統又暴安全隱患

全面降低windows系統的安全隱患 三

消除XP作業系統自身的安全隱患

安全隱患分析和基本系統結構資訊的收集

相關推薦

全面降低windows系統的安全隱患三