Як переконатися, що помилка кореневого облікового запису macOS повністю виправлена ​​на моєму комп'ютері?

Існує велика кількість плутанини навколо Оновлення безпеки 2017-001, особливо через чутки про те, що виправлення скасовується під час запуску macOS версії 10.13.1.

Я шукаю спосіб бути повністю впевнений, що мій Mac захищений. У цьому питанні я розкажу про кроки, які я виконував у спробі забезпечити безпеку мого пристрою, і зверніть увагу на конфліктну інформацію, яку я знайшов, що вказує на точну відповідь.

Дивлячись на кінець Сторінка підтримки Apple, пов'язана з цим оновленням, Я бачу:

[Якщо] ви побачите MRTConfigData 1.27 у списку Установки   Програмне забезпечення в системному звіті, ваш Mac також захищений.

У розділі Програмне забезпечення в системному звіті остання версія, яку я бачу з MRTConfigData, становить 1,26 від 1 грудня 2017 року.

Друга частина цього пункту також зазначає:

1. Відкрийте програму Термінал, яка знаходиться в папці утиліт папки "Програми".
2. Тип what /usr/libexec/opendirectoryd і натисніть Return.
3. Якщо оновлення безпеки 2017-001 було успішно встановлено, ви побачите один з цих номерів версії проекту:
   opendirectoryd-483.1.5 on macOS High Sierra 10.13
opendirectoryd-483.20.7 on macOS High Sierra 10.13.1

Виконання вищезазначеної команди правильно списків PROJECT:opendirectoryd-483.20.7 на моїй машині, яку Apple вказала як правильну версію.

Якщо я спробую відтворити оригінальну помилку, перейшовши Preferences > Users & Groups, натиснувши піктограму блокування і намагаючись увійти в систему як кореневий файл, використовуючи порожній пароль кілька разів, діалогове вікно входу не дозволяє мені пройти.

Той факт, що мені не буде дозволено входити в систему як корінь незалежно від того, скільки разів я намагаюся, дає вказівку на те, що проблема дійсно може бути вирішена, але я все ще отримую конфліктну інформацію про це з моєї системи.

У програмі Directory Utility, коли я відкриваю меню Редагування, я бачу опцію Enable Root User. Це говорить мені, що користувач root зараз вимкнений, що, наскільки я знаю, є однією з умов для запуску помилки: root обліковий запис стає доступним після того, як ви спробуєте ввійти з ним один раз, а потім працює без пароля.

Нарешті, найбільш підозрілим є те, що в утиліті Directory, коли я шукаю root в Directory Editor, обліковий запис кореневого користувача вказано з паролем *. Якщо він не є заповнювачем для будь-якого пароля, він виглядає підозріло схожим на односимвольний (або навіть порожній) пароль. Я не знаю, чи означає це, що пароль для цього облікового запису встановлено взагалі.

Як я можу остаточно визначити, чи повністю вирішено проблему кореневого облікового запису на моєму комп'ютері?

На цьому етапі ви не можете. Патч безпеки працює тільки один раз і Apple не випустила новий інсталятор повної точки, який гарантує, що ви виправлені.

Що ви можете зробити, це встановити захищений пароль кореня і спостерігати за спробами і успіхами входу в систему, а також відключити спільне використання, доки Apple не випустить повний випуск точок операційної системи без необхідності вносити виправлення безпеки до однієї або декількох незаповнених повних точкових версій.

Моя відповідь тут:

• https://apple.stackexchange.com/a/307244/5472

Якщо не можете встановіть офіційний патч або не хочете вірити, що це спрацювало

Ви не хочете вимикати користувача root тільки на High Sierra.

Щоб захистити Mac, увімкніть кореневу систему з довгим захищеним паролем.

Ми не змінюємо це на роботі до тих пір, поки не буде випущено наступний повний пункт для MacOS, який, ймовірно, буде 10.13.2

Я розумію, що, оскільки це була умова перегонів, і Apple висунув патч так швидко - ми впевнені, що це тверде, але що, якщо ви отримали патч до оновлення до 10.13.1, і тепер він потребує цього латки другий раз або якщо інсталятор не спрацював. Низький шанс або стався, але тільки ви знаєте, як погано було б порушення на вашому комп'ютері, коли хтось має повний контроль.