[harden-mac:0006] Re: Jaguar で気になる点

[SHIROYAMA Takayuki <puresnow@xxxxxxx>]

しろやまです。

私の分かる範囲で

>
> ・rootになれないのは変わっていないか？

rootのパスワードが無効化されているかという意味ではYESです。
つまりこれまでとかわりません。

余談ですが、Mac OS X Server の場合、インストーラによって最初
に作るユーザと同じパスワードがrootのパスワードとして初期設定
されます。


> ・デフォルトで立ち上がっているサービスやらdaemonは？

Window Manager, configd netinfod, autodiskmount, inetd, cupsd
cron, nfsiod, coreservicesd, automount, DirectoryService, loginwindow,
pbs, lookupd, init, mach_init, kextd, update, dynamic_pager, 
SecurityServer,
syslogd, mDNSResponder

ってところです。目測ですので抜けがあるかもしれません。

なお、mDNSRepsonderは MulticastDNSの応答サービスで、つまりは
ランデブーの構成要素です。

> ・nidump passwd . などでパスワード情報を露呈するか

UNIXの /etc/passwdにはいってたものという意味では、YESです。


しかし、ここで一つだけ面白い問題を出しておきます。nidumpでみ
えるUNIXのパスワードは crypt(ないしはmd5)で変換されたデータ
で、これから元のパスワードに逆変換することは不可能といってかま
いません。(もちろん、総当たり攻撃で見つけることは可能です)

しかし、AppleShareなどでは Challenge-Responseを用いた認証
をおこなっていて、これはログインパスワードと同期してます。

Challenge-Rensponse は 何らかのランダム値をサーバから送り、
(時にはクライアントからも送り)双方でランダム値とパスワードを元に
適当な計算式(MD5がよく用いられます)で演算後、その演算結果を
クライアントがサーバに送り、サーバでの計算結果との一致をもって
認証を決定します。

つまり、サーバは「生のパスワード」を知ってないといけません。

でも、先に述べたとおり passwdは「生」じゃないです。


> # もう暫くしたらどこかにJaguarを買いに行く予定です。
> # 新宿か秋葉原か有楽町か...。込んでそう。(--;
>

私も SoftwareUpdate が終わったら Jaguar買いに秋葉原に行き
ますね(^^;

---
SHIROYAMA Takayuki


--[PR]------------------------------------------------------------------
ウェブ上のアフィリエイトプログラムは数多くありますが、１年ちょっとで
１万人もの加入者を獲得したAmazon.co.jpのアソシエイト・プログラムは
その機能と使いやすさでウェブマスターに受けています。リンクを貼れば売上
に応じて３％〜５％の報酬を得られるこのプログラムは・・・
 http://ad.freeml.com/cgi-bin/ad.cgi?id=bmcxb
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp