• Articolo

Interoperabilità

Gestire la password di directory principale di Macintosh

Chris Stoneff

 

In un riepilogo delle:

  • Elevazione dei privilegi in Macintosh
  • Attivare l'account principale
  • Rendendo il comando sudo disponibili agli utenti articolo

La situazione di base in un Macintosh esecuzione OS X non è a differenza di Windows Vista con account controllo utente (UAC) ancora abilitato: vengono eliminati dei diritti di amministratore, l'account principale o di amministratore è disattivato e sono chiesto di elevare le autorizzazioni quando viene eseguita un'operazione che richiede privilegi di amministratore. In Windows Vista, è probabilmente noto come gestire e utilizzare l'account di amministratore in caso di necessità. Ma se non ha familiarità con Macintosh, potrebbe non essere immediatamente evidente.

In un MAC in per eseguire funzioni amministrative soprattutto in terminal, è necessario per poter eseguire il comando sudo, che richiede l'autenticazione. È facile, modo Macs configurati all'esterno della finestra, tutto ciò che è necessario eseguire nuovamente la propria password per l'autenticazione necessaria.

Troppo semplice, alcune si pronuncia, poiché esattamente come in Windows, significa che la password viene individuata o rubata o cracked fornisce l'accesso del sistema localmente o tramite SSH, l'intruso può richiedere sopra la casella esattamente come se si dispone di principale abilitato (principale è equivalente all'amministratore del sistema di Windows). Anche peggio ancora, se pirati informatici avvia una shell utilizzando "–s sudo", praticamente nulla verrà immesso nel Registro del sistema.

Come si consentire Macintosh utenti i diritti sono necessari in base alle necessità e migliorare la protezione allo stesso tempo? Abilitazione affatto sufficiente per l'account principale.

Per impostazione predefinita, OS X è disattivato, l'account principale che segue misure di protezione generico. Il problema è che in questo stato, come illustrato in precedenza, un utente necessario solo nuovamente propria credenziali per ottenere i privilegi elevati. Per garantire che gli utenti non possono semplicemente nuovamente proprie credenziali per accedere a livello principale (amministratore), è necessario abilitare l'account principale, assegnare una password account "Root". A tale scopo, utilizzare l'utilità di directory o da un terminale, eseguire il comando seguente:

sudo passwd root

Quindi seguire le istruzioni per immettere una nuova password (vedere la Figura 1 ). Non dimenticare di modificare regolarmente la password.

fig1.gif

Nella figura 1 creazione di una password per la directory principale fare clic su Immagine per una visualizzazione ingrandita

Con l'account principale è attivato, gli utenti possono immettere non è più semplice nuovamente i propri password per ottenere i privilegi di livello principale (amministratore). In questo modo, più granularità nell'impostazione dei privilegi, perché ora un account con privilegi elevato separato deve essere chiamato per eseguire funzioni amministrative. Questo account può essere gestito e protetta in modo indipendente dell'account utente normale da utilizzare soluzioni di terze parti per casuale e in modo sicuro memorizzare la password di account e fornire un'interfaccia delegata e controllata per ottenere la password come necessario.

Che è eseguita occupa di, è necessario assicurarsi che il comando sudo sia disponibile a coloro che serve. Tenere presente i tre livelli di utenti in utenti, amministratori e principale X: del sistema operativo. Per impostazione predefinita, gli utenti non possono inviare comandi di sudo; possono solo gli utenti amministratori e nodo principale. Se si non desidera agli utenti di disporre di autorizzazioni di amministratore, ma si desidera poter problema sudo comandi quando necessario, sarà necessario attivare sudo per gli utenti nel sistema OS X. È possibile eseguire questa operazione modificando il file privata, e così via/sudoers per includere utenti specifici o uncommenting la riga di esempio nella Figura 2 che inizia con la rotellina di % e quindi aggiungendo gli utenti al gruppo di rotellina.

fig2.gif

Nella figura 2 sudo di attivazione per gli utenti specificati fare clic su Immagine per una visualizzazione ingrandita

Seguendo gli elementi indicati di seguito, è possibile consentire la password di principale dei sistemi Macintosh per essere gestite da processi automatizzati che genera in modo casuale una nuova password su un periodicamente o il recupero della password seguenti. Pertanto i sistemi possono rimanere compatibili con dell'azienda criteri nonché supervisione disporre via PCI (pagamento scheda settore) Data Security Standard, Sarbanes-Oxley (SOX), Health Insurance Portability e Accountability Act (HIPAA) e altri utenti. Si interromperà anche gli utenti e amministratori da essere in grado di unthinkingly elevare i privilegi da semplicemente ridigitare la propria password.

Elena Stoneff è un Product Manager in Software Lieberman, uno sviluppatore di software protezione e sistemi di gestione. Il più unità non è solo per sapere come qualcosa funziona un certo modo, ma perché.