serveur macOS - partage d'écran sous UID 0

0

Je lance un serveur mac avec une pile LAMP tous installés via MacPorts, que je tiens à jour avec diligence. Le serveur exécute macOS X Sierra et je suis moins vigilant à la mettre à jour, car la pile LAMP est complètement indépendante.

Cependant, aujourd’hui, le serveur s’est retrouvé coincé et quand j’ai enfin réussi à me connecter via ssh, j’ai trouvé kernel_task fonctionnant à outrance. Il a fallu un démarrage difficile pour que les choses redeviennent normales.

J'ai couru top -o cpuet j'ai remarqué qu'une tâche appelée partage d'écran était en cours d'exécution. Bizarre, parce que je n’étais pas vraiment en partage d’écran à l’époque, mais le service était activé pour des raisons pratiques.

J'ai déchargé le service:

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.screensharing.plist

mais ensuite j'ai commencé à me demander ce que cela avait été. J'ai rechargé le service et environ cinq minutes plus tard, c'était à nouveau. Cette fois, j'ai pu voir que l'UID sur lequel il s'exécutait était égal à 0. Je l'ai rapidement désactivé à nouveau.

Mes questions:

  1. Est-ce un signe de jeu déloyal ou s'agit-il d'une bizarrerie du service de partage d'écran?
  2. Si ceci est un acte criminel, la désactivation de la connexion à distance par root ne devrait-elle pas empêcher quelque chose comme ceci?
  3. S'il s'agit d'un bogue connu, a-t-il été corrigé? Je reprends contact avec softwareupdate.

Éditez avec une question de suivi plutôt plaisantée: où chercher si un logiciel de crypto-extraction a été installé?

macos  security  macos-sierra  screen-sharing 
Jerry Seeger
source
Êtes-vous allé dans «Préférences Système> Partage» et assurez-vous que le «Partage d'écran» est désactivé. Je doute que votre Mac soit infecté.
JakeGould
Cela avait été activé; Je l'ai désactivé sur la ligne de commande comme je l'ai mentionné ci-dessus. Lorsque je l'ai réactivé, j'ai vu l'activité avec l'UID 0. Je n'aurais rien pensé de tout cela sans l'utilisateur root.
Jerry Seeger
"Bizarre, car je n'étais pas vraiment en partage d'écran à l'époque, mais le service était activé pour plus de commodité." Absolument rien à craindre.
JakeGould

Réponses:

0

Le partage d'écran fait partie de la gestion à distance. La gestion à distance nécessite un accès root (vous pouvez modifier à distance les configurations que root doit modifier). Pour que le partage d'écran fournisse un accès via l'interface graphique à root, il doit également disposer d'un accès root.

Il est normal que le partage d'écran s'exécute en tant que démon racine (UID de zéro).

Cela en soi n'indique pas un acte criminel.

Est-ce un bug connu? Je ne l'ai pas trouvé dans la liste (en tant que bogue connue) sur le site Web d'Apple.

Souhaitez-vous être lésé par la mise à niveau puisque la mise à niveau ne coûte rien? Non, je lance LAMP sur High Sierra. Votre serveur prendra-t-il en charge la mise à niveau vers High Sierra? Sans connaître le matériel, je ne peux pas répondre à cela, mais un voyage sur le site Web d’Apple le fera.

Everett
source
Merci! Mettre à niveau vers High Sierra n’est pas pratique, car il s’agit d’un mac sans tête qui se trouve à des centaines de kilomètres de moi, mais je suis heureux de savoir que le partage d’écran ne donne pas un accès root à Bad People.
Jerry Seeger
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.