• Artículo

Interoperabilidad

Administrar la contraseña de raíz en el MAC

Chris Stoneff

 

En resumen:

  • Elevación de privilegios en el MAC
  • Habilitar la cuenta raíz
  • Poner el comando sudo a disposición de usuarios artículo

La situación básica en un Macintosh ejecuta OS X no es a diferencia de Windows Vista con la control de cuentas de usuario (UAC) habilitado todavía: se quita de los derechos de administrador, la cuenta raíz o el administrador está deshabilitada, y se le pide que elevar los derechos cuando lo haga algo que requiere privilegios de administrador. En Windows Vista, probablemente sabe cómo administrar y utilizar la cuenta de administrador cuando lo necesite. Pero si es nuevo en el MAC, puede no ser evidente inmediatamente.

En un MAC para realizar funciones administrativas (especialmente en Terminal Server), debe poder emitir el comando sudo, lo que requiere autenticación. Es fácil, vuelva a la forma de equipos Mac se configuran de fábrica, todo lo que necesita hacer es escribir la su propia contraseña para proporcionar la autenticación es necesaria.

Demasiado fácil, algunos diría, porque igual que con Windows, significa que si la contraseña es estimada o robada o adivinar y proporciona acceso a su sistema local o a través de SSH, el atacante tiene sobre el cuadro exactamente como si tuviera raíz habilitado (la raíz es equivalente al administrador de Windows). Peor aún, si los intrusos iniciar un shell mediante "–s sudo", prácticamente no hay nada se incluirán en el registro del sistema.

¿Cómo dar los MAC usuarios los derechos que necesiten según sea necesario y mejorar la seguridad al mismo tiempo? Oddly suficiente, al habilitar la cuenta raíz.

De forma predeterminada, OS X tiene la cuenta raíz deshabilitada, que sigue a las medidas de seguridad genérica. El problema es volver a que en este estado, como se mencionó anteriormente, un usuario necesita sólo escribir sus propias credenciales para obtener privilegios elevados. Para asegurarse de que los usuarios simplemente no pueden volver a especificar sus propias credenciales para obtener acceso de nivel raíz (administrador), se debe habilitar la cuenta raíz si asigna una contraseña a la cuenta "raíz". Para ello, utilice la herramienta Active o bien, desde un Terminal Server, ejecute el comando siguiente:

sudo passwd root

A continuación, siga las indicaciones que escriba una contraseña nueva (consulte la figura 1 ). No olvide cambiar la contraseña regularmente.

fig1.gif

La figura 1 crear una contraseña para la raíz (haga clic en la imagen de una vista más grande)

Vuelva a con la cuenta raíz habilitada, los usuarios pueden ya no basta con escribir la su propio contraseña para obtener privilegios de nivel raíz (administrador). Esto permite una mayor granularidad en la configuración de privilegios porque ahora se debe llamar a una cuenta con privilegios elevados independiente para realizar funciones administrativas. Esta cuenta puede administrar y proteger independientemente de la cuenta de usuario normal utilizando las soluciones de terceros para aleatorio y segura almacenar la contraseña de cuenta y proporciona una interfaz de delegados y auditada para obtener la contraseña que sea necesario.

Ahora que toma se encarga de, debe asegúrese de que el comando sudo está disponible para los usuarios que necesita. Tenga en cuenta los tres niveles de usuarios de los usuarios del sistema OPERATIVO X:, administradores y raíz. De forma predeterminada, los usuarios no pueden emitir comandos de sudo; sólo los usuarios de administradores y raíz pueden. Si no desea que los usuarios tienen permisos de administrador, pero desea que puedan problema sudo comandos cuando sea necesario, tendrá que habilitar sudo para los usuarios en su sistema OS X. Se puede hacerlo bien modificar el archivo sudoers/etc./privada para incluir a usuarios específicos o uncommenting la línea de ejemplo en la figura 2 que comienza con 'rueda %' y, a continuación, agregando los usuarios al grupo de rueda.

fig2.gif

La Figura 2 sudo habilitar para los usuarios especificados (haga clic en la imagen de una vista más grande)

Siguiendo los elementos descritos aquí, puede permitir que la contraseña de raíz de los sistemas de MAC administrarse mediante procesos automatizados que aleatoriamente podrían generar una contraseña nueva en una forma periódica o recuperación de contraseña siguientes. Por lo tanto los sistemas pueden permanecer compatibles con su organización directivas, así como gobierno poner hacia delante por el estándar de seguridad de datos del sector de tarjetas pago (PCI), Sarbanes-Oxley (SOX), la portabilidad de seguros de salud y Accountability Act (HIPAA) y otros usuarios. También detendrá a los usuarios y administradores de poder unthinkingly elevar sus privilegios mediante simplemente volver a escribir su propia contraseña.

Carlos Stoneff es director de producto en Software Lieberman, un desarrollador de software de administración de seguridad y sistemas. Su unidad mayor no es sólo saber cómo funciona algo cierto modo, pero por qué.