Account nascosto

[Delta89]

Ciao a tutti!
E' possibile creare un account da amministratore nascosto anche agli altri amministratori?
Come capire se già esiste sul Mac?

[Kernel Panic]

Da amministratore puoi nascondere un account già esistente ....

>>> https://support.apple.com/en-us/HT203998

>>> https://support.apple.com/it-it/HT203998

Per avere una lista completa degli account utente >>> http://osxdaily.com/2016/07/05/list-use ... -line-mac/

[faxus]

È abbastanza facile scoprirlo per un altro utente, in ogni caso...

Se se ne ha il sospetto.
O valutando la disponibilità di spazio su disco.
O con varie info da Recovery.
Anche sotto i 500.

Se si tratta di nascondere dati e attività, non è un metodo sicuro.
Come altre tecniche di rendere invisibili o nascondere in cartelle insospettabili.

L'unica vera robusta sicurezza è la criptazione o l'immagine disco protetta da password.
Ove ci fosse anche l'esigenza di non palesarne l'esistenza, si potranno combinare le varie tecniche

[Kernel Panic]

.... O con varie info da Recovery.

Come si potrebbe scoprire da Recovery?

[Kundalini]

.... O con varie info da Recovery.

Come si potrebbe scoprire da Recovery?

entrando in Recovery > Utility macOS > Terminale e poi

Codice: Seleziona tutto

ls /Volumes/Macintosh\ HD/Users

?

[MacAlbe]

Quante cose si imparano e sto imparando su iMaccanici!
Altro che Aranzulla!!!!!

[Kundalini]

Se la mia ipotesi è esatta c'è anche il comando per quelli sotto i 500. Devo cercare negli appunti...

[Kernel Panic]

.... entrando in Recovery > Utility macOS > Terminale e poi ....

Scusa, quel comando ti rivelerebbe anche un eventuale account nascosto?
E c'è bisogno di scomodare Terminale su Recovery invece che direttamente dal volume di avvio principale?

[faxus]

...

Codice: Seleziona tutto

ls /Volumes/Macintosh\ HD/Users

Anche

Se la mia ipotesi è esatta c'è anche il comando per quelli sotto i 500. Devo cercare negli appunti...

Sotto i 501, tutti, anche di sistema ecc

Codice: Seleziona tutto

dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'

Solo quelli utente aggiunti 400-500

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

Tutti meno quelli preceduti da trattino basso (sistema ecc)

Codice: Seleziona tutto

dscl . list /Users | grep -v '_'

Descrizione completa, lista dettagliata

Codice: Seleziona tutto

dscacheutil -q user

[faxus]

... E c'è bisogno di scomodare Terminale su Recovery invece che direttamente dal volume di avvio principale?

Per un non utente amministratore esperto, sì.

Io avvierei in modalità utente singolo.
Se dovessi fare un'indagine forense (ma ci sono anche strumenti più potenti).
O dovessi impicciarmi senza lasciare la pur minima traccia (addirittura cambiando qualcosina...

Neanche a parlare di avviare da sistema esterno in modalità disco di destinazione.

Se scomodi Terminale è come indossare l'anello di Sauron

[faxus]

... Altro che lopossinoammazzà

Se lo nomini un'altra volta ti tolgo il saluto...

[Kundalini]

Codice: Seleziona tutto

dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

Tutti meno quelli preceduti da trattino basso (sistema ecc)

Codice: Seleziona tutto

dscl . list /Users | grep -v '_'

Descrizione completa, lista dettagliata

Codice: Seleziona tutto

dscacheutil -q user

Riconosco i primi due comandi, me li ero segnati ai tempi in cui si dava la caccia a Pirrit
I due successivi, peraltro indicati anche nel link di OSXDaily segnalato da KP, contribuiranno ad aggiornare la lista.

E c'è bisogno di scomodare Terminale su Recovery invece che direttamente dal volume di avvio principale?

Be', la domanda era:

Come si potrebbe scoprire da Recovery?

[Kernel Panic]

Be', la domanda era:

Come si potrebbe scoprire da Recovery?

Effettivamente ....




E visto che li avete elencati tutti, mettiamoci anche questo, il più semplice (maiuscola o minuscola non fa differenza) ....

Codice: Seleziona tutto

Users

Codice: Seleziona tutto

users

Se lo nomini un'altra volta ti tolgo il saluto...

Esagerato, figurati che a me mette allegria ..... .

[faxus]

... E visto che li avete elencati tutti, mettiamoci anche questo, il più semplice (maiuscola o minuscola non fa differenza) ....

Codice: Seleziona tutto

Users

Codice: Seleziona tutto

users

...

Users non è un comando elencato in man.

Lo è users con la "u" minuscola.
Comando che elenca gli utenti che al momento hanno effettuato l'accesso.

- In realtà poco più che whoami, essendo non molto frequente la presenza di due utenti con accesso contemporaneo.
- Poi Terminale fornisce egualmente la risposta anche immetti Users con la "u" maiuscola.

In pratica chiede di elencare le utenze attive, senza "_", presenti nel negletto /var/run/utmpx.
Ci troverai, quindi, praticamente sempre chi chiede, Console e TTYs

[faxus]

Se lo nomini un'altra volta ti tolgo il saluto...

Esagerato, figurati che a me mette allegria ..... .

Esagerato?

È lui che esagera, il lopossinoammazzà.
MacAlbe è un vecchio amico simpatico.
Se avessi voluto esagerare gli avrei detto che se lo nomini un'altra volta ti meno...