MACOSX系统用户权限高级配置论.doc

MAC OS X 系统用户权限高级配置论,跟我一起玩转权限重置密码,定制你自己的MAC系统声明：该贴内所涉及的密码重置与系统权限越权强制重载操作。请勿用于恶意用途，因此所带来的一切问题和法律责任，本人不承担任何后果。 请各位注意阅读第三章的p.plus注意保护自己的文档和KeyChain. 在此重申。该教程所涉及的重置技术仅用于忘记密码后重置并挽救数据所用。禁止恶意用途我去重装了6 7 次了搞这个一不小心就搞坏权限系统就嘟嘟噜了呼警告：此文涉及高级权限操作，一旦失误将导致系统崩溃。（权限的错误将无法正常系统运转）。故，请各位操作时务必注意。并且备份数据帐户（Users）权限以及组别（Groups）概述，及MAC用户管理模式初探DSCL&Directory Utility 初阶探索与修改策略组计划，完美控制系统权限DSCL（Directory Service command line utility）高级配置进阶配置向我们将会在第三章讲述如何在登陆&不登陆（不进入）系统的情况强行重置内核系统任一帐户密码和获得系统权限！修改组root信息。获得所有数据。不过最好能先阅读第一章了解原理和过程。PS：即使白苹果设置了硬件密码依旧可破。帐户（Users）权限以及组别（Groups）概述，以及MAC用户管理模式初步窥探为该教程新手向普及。大致讲解下帐户权限的有关概述用户Users 隶属于 组Groups （又包括Everyone组）通过复杂的群组的变换和限制制约，构架了整个mac os x的安全体系。注意：这种管理方式和我们普遍所理解的Linux管理模式不同！我们可以在终端输入命令$id来查看当前用户（Users）的所处状态和群组（Group）信息 前面数字为 Users 或者 Group的编号细心的朋友会发现在更改文件权限Chown root：wheel可以采用0：0代替。其实0：0就代表了Root和Wheel如图所示这里要区别一下于Linux系统。通过观察可以发现，在MAC OS X系统中，用户都归于Staff组别并且包含有后文多项特殊组别属性类似于sharepoint（public）（LocalAccount）等有Linux基础的同学一定会感叹。我去这玩意不是和linux一样么/etc/passwd /ect/groups 搞定嘛那么。其实是应该是错误的观念，MACOSX基于BSD对于帐户&组别管理完全已经不在依赖于passwd和groups完全是另一套全新的管理模式你甚至都无法在/etc/passwd中找到你自己的用户名！所以这和macosx中的用户权限不是一回事不过这两个文件他们是什么作用呢？他们是作为单用户模式使用，内核权限的管理模式（不是系统中开启的root，内核的root和系统root完全！不！是！一！回！事！）我们系统中提到并且使用的系统ROOT非内核root系统中的ROOT是另一个管理模式中的超级管理员System Administrator并不能真正称之为ROOT请各位不要混淆了概念哦！（BSD重新定义了整个管理模块，其实是分两个管理模式）多用户系统（带图形界面GUI，专业来说为多用户分时操作系统） 使用OPEN Directory 服务XML模板来管理权限(XML文件存放在/private/var/db/dslocal/）内核模式（单用户模式）：UNIX根本的PASSWDGROUP模式管理权限这里有个小概念需要提出所谓单用户模式（不是大家理解的单个用户登陆系统，而是一个但用户的环境！）单用户模式 即 变色龙的s 模式 白苹果COMS进入模式 只有这里的root才是真内核的root！不过该模式仅仅用于调试，抢救，没有任何GUI界面 以ROOT（根）的帐户登陆并且仅启动并加载SHELL非正常系统模式，用于系统抢救、磁盘维护等这里大家可以对比下内核root密码修改方法为 在terminal中输入1. sudo passwd -i file root复制代码而OSX系统内的 root密码修改 在terminal1. sudo passwd root复制代码这是两个不同的！附注：在单用户模式下修改 内核root的方法为1. chroot /2. passwd复制代码即可如果有兴趣的想深究的同学可以man一下passwd我这里贴出来一小部分关于passwd i 和file的参数-i infosystemThis option specifies where the password update should be applied. Under Mac OS X 10.5and later, supported directory systems are:PAM (default) Pluggable Authentication Modules.opendirectoryA system conforming to Open Directory APIs and supporting updates (including LDAP, etc). If no -l option is specified, the search node is used.file The local flat-files (included for legacy configurations).nis A remote NIS server containing the users password.下面我们来讲解一下，看一下系统存在etcpasswd 和 etcgroup吧！我们根本无法找到自己的用户名及其权限组别及其代码。（尚不知道是否在每次系统载入内核时都必须载入passwd Group作为数据库）不过可以确定的是用户的管理已经不在依赖于/etc/passwd，/etc/groups。这里需要区别于linux系统，他们是我们所理解的真正一以上依靠 passwd来管理用户及其组的权限的系统喔！ 我们发现在实际用户管理模块中passwd/Group中数据的仍然存在（可能被调用或者映射）不过仔细观察也多了类似于Generated UID等项目的插入。所以说DSCL基于PASSWD内部的数据而扩展而来（但不再依赖）MACOSX 采用Open Directory的一个Directory Service服务，使用XML(类似于PLIST)的方式来存储数据，使用dscl命令库来维护XML存放在/private/var/db/dslocal/里面。如下图所示用户权限的大概概述已经描述完毕，下面我们就来一起研究下关于文件系统的权限（和上文不同概念）（这里类似于Linux我一笔带过，如有不太明白的随便找linux文件权限书记或者网上搜一下一大把的。）可以发现 d rwx rx rx 为标准的权限信息。第一组三位为Users 第二组三位为 Group 第三组三位为 Everyone而后面的 Evovil Staff Root Whell等 为该文件的 Onwer信息 即该文件所属用户 该文件用户所对应的群组权限等。 分别有详细规范 各位可以各自了解一下总结归纳一下即 用户和所属的各个组各自都有不同的权限规范，文件也有各自所属的权限，若用户或者所属组权限和所对应的文件夹或者文件相匹配，则可完成认证授权并对文件或者文件夹进行操作设置，也就是整个安全系统的精华所在DSCL&Directory Utility 初阶探索与修改可以发现MAC基于BSD自带一套复杂的权限管理系统并提供了DSCL这个TOOLS来协助管理相信大家Man一下DSCL一定会吐血。复杂而冗长的命令行，一定会让人望而却步，不过没关系apple的工程师为我们开发了一个GUI用于方便的管理这个工具就叫做Directory Utility它位于systemlibraryCoreServices下，附注：不会开启root的同学可以在这里开启Root用户哦D U是个很强大的工具，你需要修改的东西，比如你的home目录啦 你的组别啦，组里的人啦，都能一步到位非常便捷哟我们先来看一下他的界面吧Service是进阶向。暂不讨论。不难发现。该帐户本地帐户作为例子信息一目了然其中包含 帐户的UniqueID 即UID 所隶属的Primary GroupID还有诸如账户名 显示名字帐号密码（隐藏）不过可修改或者重置 帐户所属的HOME目录SHELL位置（同linux）和唯一的 GeneratedUID编码等我们再来看一下Group信息 以80admin作为例子可以发现 Group中包含 GereatedUID即唯一的标识名（区别于etcgroup）还有所蕴含的成员Members以唯一的GreratedUID作为标识Membership作为上面GeneratedUID的表识记账户名 我们可以看到 Admin下有ROOT 和 本人的帐户 下面的 PrimaryGroupID作为组别的id标识 以便上文的users匹配引用还有一些参数这里暂不讲解下面我们来讲解几个实例。综述关于权限管理的强大之处！系统默认的创建的用户即获得了Admin权限 也相应的赋予了ROOT （需要Auth授权）即属于组别 默认20(staff)，80(admin) ，12(everyone)，61(localaccounts)，80(admin) 安装了xcode的话还将会被赋予204(_developer)权限等。而对外所使用的权限则尽囊括于其中 譬如在application中drwxr-xr-x 3 Evovil admin 102 Nov 24 15:22 QQ.app这是qq程序。他的 ONWER为 Evovil和所属的Admin组别 也就是 admin组和所有的Everyone（包括Guests）都可访问读取执行QQ。app 不过 用户Evovil有修改（Write）的权限。我们可以任意修改程序或者文件的Owner 以便设定不同的组别（当然自己可以在Directory Utiliity创建一个自己的组Group赋予相应特定的权限）借此来保护自己的文件，文档，控制每个用户或者某组别的用户执行的程序的权利。那如果我们想指定除admin组之外（并从adimin组剔除某用户）所有用户不可使用该机器上的qq该如何方法呢？ 只需要Chmod 770 qq.app 剔除用户只需要点击 member membership中的用户即可这只是一个简单的例子。我们可以按照自己的想法多元化的设置每个用户所能获得的权限再比如。我们需要一个没有admin用户组但包含Develop sharepoint等权限的用户我们只需要进入 Directory utility将 Member和Membership 相应用户点击 去除即可attach2685028/attach很简单吧？创建用户也类似。 点击 或者 可以在左方创建自己需要的用户 组别 还有一些分类。让我们自由的控制自己电脑的所有权限DSCL（Directory Service command line utility）高级配置进阶配置向下面我们就要用到命令行咯我们先来初步认识下 DSCL工具P0.在单用户模式中开启DSCL并紧急恢复用户权限用于系统崩溃的紧急援助由于上文原理所推测我们只需要在单用户模式强制开启多用户模式的open directory模式即可操作任何directory的权限设置不过单用户中的模式还是受 passwd和group制约不过我们仍可以通过命令解决内核密码无需进入系统 开机时候变色龙s 模式启动 白苹果COMs输入命令 来开启强制开启DirectoryServices系统服务Lion是mount -uw /不要忘记/号。 不然没法挂载目录上去的launchctl load /System/Library/LaunchDaemons/com.apple.opendirectoryd.plist这一步用于开启Directory Service 一边dscl来配置系统权限这里我找了半天，原来lion的名字变了。sl不叫这个。sl用户看下面的恢复密码用 dscl -passwd /Search/root（或者你想要的帐户） 密码 系统root密码 还有一种方法 用交互命令 dscl ls cd Search cd Users passwd 你需要的用户名（或者系统root）然后他会提示你输入密码输入密码即可sl的方法不同 是另外个文件。com.apple.DirectoryServices.plist 用户的文件夹也不是在伊各地方 自己ls查看下 下文有详细命令叙述另外强制重置内核的root密码只需要这样就好了1. chroot /2. passwd复制代码有人说 只要安装开机密码就可以了。 其实很简单： 开机 COMPR即可清掉nvram。获得权限浏览任何你电脑的数据Important: If your computer does not retain parameter RAM (PRAM) settings when it is turned off, this generally indicates that the battery needs to be changed. Refer to Macintosh Family: Batteries and Part Numbers.Be sure to learn about when to reset NVRAM and PRAM before attempting these steps.Resetting PRAM and NVRAM1. Shut down the computer.2. Locate the following keys on the keyboard: Command, Option, P, and R. You will need to hold these keys down simultaneously in step 4.3. Turn on the computer.4. Press and hold the Command-Option-P-R keys. You must press this key combination before the gray screen appears.5. Hold the keys down until the computer restarts and you hear the startup sound for the second time.6. Release the keys.Your computers PRAM and the NVRAM are reset to the default values. The clock settings may be reset to a default date on some models.注意：不要干坏事！本人概不负责该文仅提供与密码忘记的重置方法以便拯救数据文件与恢复请务必阅读第三条 p.plus的说明内容P1.在MAC OS X中开启DSCL正常系统权限管理直接打开terminal 输入 DSCL他会告诉你一个 然后就进入了交互模式就等于是个小系统啦 里面有很多命令输入q 他会很友好的说句Goodbye然后推出DSCL模式修改密码和p0提到的命令类似 。附加详细命令参阅P3请务必阅读第三条 p.plus的说明内容p.plus 关于 Key Chain（非常重要！）关于系统密码重置后，即获得了系统的所有权限，不过会提示 KEY Chain的无法匹配（还好有这个key chain匹配，不然只要有人恶意强制重置后你的app store信用卡信息 所有论坛网页或者网银保存的密码字符串 你的icloud资料，邮箱内容。隐私资料 所有信息将一律暴露）也就是说key chain包含了你所有的密码资料。非常致命有关信息可以参阅此处 /wiki/Keychain_(Mac_OS)关于key chain匹配原因是这样的 key chain通过你的密码生成一个hash然后通过此hash为验证与key chain匹配。你强制重之后 hash自然就无法匹配了但是仅仅通过hash验证key chain还是非常薄弱的只要把它提取出来拷贝走，然后拿去碰撞就行了因为懂密码学的人都知道 hash可以通过彩虹表进行彩虹碰撞所以，为了避免你的所有财产信息信用卡信息，隐私信息，邮箱等私密信息泄露，请丢失电脑后，一定不要忘记，使用find my mac抹掉所有系统资料，最好能安全抹除为了你的安全，尽量不要让电脑丢掉不然所带来的损失的将会非常非常严重！一定要注意！P3 DSCL 命令详解那我们来看一下都有哪些命令吧？read 命令 读取用户的信息 -read .-readall .将会展示用户或者用户组的所有权限信息。Append命令 在某个组中添加某个用户命令类似如下-append .color=rgb(51, 51, 51)dscl -append /Groups/需要的组组别 GroupMembership 用户名也可在交互命令中 -append /Groups/需要的组组别 GroupMembership 用户名Create 命