Macでrootユーザを有効にし、macOS 10.13 High Sierraでパスワード無しにrootアカウントでログインできる不具合を修正する方法。

スポンサーリンク

 Macでrootユーザを有効にし、macOS 10.13 High Sierraでパスワード無しにrootアカウントでログインできる不具合を修正する方法を以下にまとめました。詳細は以下から。

ディレクトリユーティリティ

 macOS 10.13 ~ 10.13.1でユーザ名に「root」を利用するだけでパスワード無しにシステム管理者アカウントでMacにログインできてしまう不具合は、発見者であるLemi Orhan Erginさんのツイートが3時間で4,000RT以上され広く知れ渡ったようですが、

macOS 10.13 High Sierraでroot名を利用するだけでシステム管理者になれる脆弱性

そのツイートに対し何人かの方々やMacRumorsなどのサイトが「一時的な措置としてrootアカウントを有効にし、パスワードを掛けることでパスワード無し(passwordless)問題を防ぐことが出来る」というコメントを出しているので、その方法を以下にまとめておきます。

スポンサーリンク

rootアカウントを有効にしてパスワードを設定

 macOSでrootアカウントを有効にするにはまずシステム環境設定アプリの[ユーザとグループ]で鍵アイコンをクリックし「ログインオプション」から「ネットワークアカウントサーバ[接続]」ヘ進み[ディレクトリユーティリティを開く…]をクリックするか、以下のディレクトリにあるディレクトリユーティリティアプリを直接開きます。

macOS 10.13 High Sierraのroot passwordless問題を解決する方法

/System/Library/CoreServices/Applications/Directory Utility.app

 次に、ディレクトリユーティリティアプリの鍵アイコンをクリックし、現在の管理者名とパスワードを入力。

macOS 10.13 High Sierraのroot passwordless問題を解決する方法 2

 最後に、ディレクトリユーティリティの[編集]メニューから[ルートユーザを有効にする]をクリックし、表示されるプロンプトでrootユーザのパスワードを設定してあげれば、パスワード無しでの権限昇格を阻止できます。

macOS 10.13 High Sierraのroot passwordless問題を解決する方法3

追記

Lemi Orhan Erginさんのツイートによると、rootアカウントを有効にしなくても”sudo passwd root”でrootのパスワードを変更すればいいようです。

sudo passwd root

追記2

 コメント欄で、管理者アカウントでなくゲストアカウントでもパスワード無しにroot化できるのかという質問をいただいたのでチェックしてみましたが、以下の通りGuestユーザーでも可能となっていました。

追記3

 Appleは現地時間2017年11月28日付けで英語のサポートドキュメントを更新し、rootパスワードの変更方法を追記しています。上記の方法とほぼ同じなので問題ないと思いますが、職場などに配布する資料として正式なものを利用したい方は以下のページをチェックしてみて下さい。

Change the root password

  1. Appleメニュー()からシステム環境設定アプリを開き、[ユーザーとグループ](またはアカウント)をクリックする。
  2. 鍵アイコンをクリックし、管理者名とパスワードを入力する。
  3. ログインオプションをクリックする。
  4. [接続]のボタンをクリックする。
  5. [ディレクトリユーティリティを開く]をクリックする。
  6. ディレクトリユーティリティ・ウィンドウの鍵アイコンをクリックし、管理者名とパスワードを入力する。
  7. ディレクトリユーティリティのメニューから[編集] → [ルートパスワードを変更]をクリックする。
  8. 表示されるプロンプトにルートパスワードを入力する。

2017年11月30日 追記

 Appleはこの脆弱性を修正する「Security Update 2017-001」を現地時間2017年11月29日に公開し、ユーザーに対し「このアップデートをなるべく早くインストールして下さい。」と警告を出しています。

macOS 10.13.1 High Sierra Supplemental

コメント

  1. 匿名 より:

    ありがとうございます。早速対処したよ。

  2. 匿名 より:

    ありがとうございます。非常に助かります。

  3. 匿名 より:

    迅速ですばらしいです。
    ありがとうございました。

  4. 匿名 より:

    sudo passwd root では、同時にrootの有効化が行われると思います。
    なので、「rootアカウントを有効にしなくても”sudo passwd root”でrootのパスワードを変更すればいいようです。」のうち、「rootアカウントを有効にしなくても」、の部分は間違いと思います。

  5. 匿名 より:

    とりあえず、Fatal Errorを直そうw!

  6. 匿名 より:

    Directry Editor画面から記載の方法でrootのパスワードを変更した後に、そのパスワードを再度変更しようとしてもできない(メニューの「ルートパスワードを変更」の選択肢が灰色)ですが、この場合に何か他の方法はありますか?

  7. 匿名 より:

    Directry Editor画面から記載の方法でrootのパスワードを変更後、そのパスワードを再変更しようとしてもその編集メニューの「ルートパスワードを変更」の選択肢が灰色で選択洗できないです。この場合に変更する方法はありますか?

  8. 匿名 より:

    Appleからこの問題に対して ソフトウェア・アップデート がリリースされました。

    About the security content of Security Update 2017-001
    https://support.apple.com/ja-jp/HT208315