Malé novinky o velkých věcech

Mac OS
Foto: Apple
Poslat odkaz Tipy pro bezpečnou práci s Mac OS X na facebook Poslat odkaz Tipy pro bezpečnou práci s Mac OS X na twitter

V rámci sobotních triků se podíváme na bezpečnost operačního systému v praxi. Teorii by jste měli již znát z hesla Bezpečnost Mac OS X ve slovníku. Kompletní popis najdete v příručce, kterou za tímto účelem připravil Apple, na těchto stránkách si jen ukážeme, jaké body v zabezpečení operačního systému by  jste měli alespoň zvážit. (Zdaleka ne vše je nutné vypnout a bude vhodné pro konkrétní nastavení, ale je třeba k tomu zaujmout erudované stanovisko):

Zabezpečení při instalaci

  • Bezpečně promazání Mac OS X disku před instalací - ověříte tím také to, že máte v pořádku disk
  • Instalujte Mac OS X za disk s Extended formátem -jinak vám instalace nebude fungovat nebo nebude fungovat optimálně
  • Neinstaluje zbytečné aplikace - jakákoliv aplikace přináší bezpečnostní riziko, pokud se jim chceme vyhnout, toto je nejlepší způsob
  • Nepřenášejte tajné informace v Setup Assistentovi - Totéž platí i pro osobní údaje, na Setup Assistenta platí totéž co na ostatní aplikace - Jablíčko - Q.
  • Nepřipojujte se k internetu - Tím je myšleno minimalizujte připojení k internetu, protože po instalaci máte čerstvý systém bez bezpečnostních patchů, je proto vhodné si aktualizace stáhnout přes jiný počítač (který je již má všechny v pořádku) , případně z jiného OS.
  • Administrátorské účty vytvářejte s těžko uhodnutelnými jmény - vyhněte se jménům admin, administrátor atd.
  • Pro administrátorské (ale i jiné) účty vytvářejte komplexní hesla - doporučuje se alespoň 12 znaků, a používat i speciální znaky. (Z praktických důvodů moc nedoporučuji používat diakritiku, ale z bezpečnostních důvodů ji naopak lze jen doporučit) Systém samotný pracuje s hesly v UTF-8 kódování.
  • Nevkládejte nápovědu pro heslo - usnadníte tak jeho uhodnutí i nežádoucím osobám. Na druhou stranu, můžete zde uvést upozornění typu: Hledej v bankovní schránce číslo 134.
  • Nastavte přesný čas a NTP server - přesný čas je klíčový pro zjišťování informací o tom, kdy se co událo. Dejte však pozor na nastavení NTP serveru, který musí být opravdu důvěryhodný.
  • Vypněte automatické přihlašování - nemá smysl se zabývat bezpečností, když komukoliv stačí jen pustit počítač
  • Použijte interní Software Update server  - Mac OS X Server umožňuje vytvoření interního Software Update serveru. Toto opatření je vhodné pro firmy, protože jednotlivé počítače nemusí stahovat x set megabitové aktualizace a zahltit tak síť. V domácím prostředí pochopitelně postrádá smysl.
  • Aktualizujte systémový software pouze s ověřenými balíčky - každá aktualizace má informaci o kontrolním součtu (checksum). Ten musí být pochopitelně stejný jak u Apple, tak u balíčku.
  • Opravte disková práva po instalaci software nebo softwarových aktualizacích - každá instalace je v podstatě sada instrukcí, která může měnit nastavení počítače. Je proto vhodné zkontrolovat, zda neměnila něco co neměla.

Omezení přístupu k hardware

  • Omezte fyzický přístup do místností s počítači
  • Pokud počítač nepoužíváte, uzamkněte jej v zabezpečené skříni
  • Zrušte podporu Wi-Fi v systému - odstraněním příslušného modulu v kernelu
  • Zrušte podporu Bluetooth v systému - odstraněním příslušného modulu v kernelu
  • Zrušte možnost nahrávání audia - odstraněním příslušného modulu v kernelu
  • Zrušte možnost nahrávání videa - odstraněním příslušného modulu v kernelu
  • Zrušte podporu USB - odstraněním podpory Mass Storage v systému
  • Zrušte podporu FireWire - odstraněním podpory FireWire v systému

Globální nastavení

  • Nastavte heslo k EFI firmware
  • Nastavte upozornění u přihlašovacího okna  - v některých zemích se nejedná o trestný čin, pokud vám přistoupí k počítači, který nemá žádné upozornění
  • Nastavte upozornění při přístupu přes příkazový řádek - v některých zemích se nejedná o trestný čin, pokud vám přistoupí k počítači, který nemá žádné upozornění

Nastavení předvoleb

  • Administrátor má vlastní přihlašovací konto, které nepoužívá k vlastní práci
  • MobileMe účet je nastaven pouze pro uživatel bez přístupu k citlivým údajům
  • MobileMe by mělo být nastaveno tak, aby nepublikovalo žádná data (viz předchozí bod)
  • Účty uživatelů by měly být nastaveny bezpečně - mimo jiné by měly používat FileVault, šifrovanou virtuální paměť, bezpečná hesla atd.
  • Vzhled by měl být nastaven bezpečně - například naposledy používané položky by se neměly ukazovat, aby neprozrazovaly co v systému používáte. Není to 100%, ale ztíží to práci útočníkům
  • Bezpečně nastavte předvolby Bluetooth
  • Bezpečně nastavte předvolby CD & DVD - z pochopitelných důvodů by zasunutí CD/DVD nemělo způsobit spuštění programu.
  • Bezpečné nastavení data a času - již jsme o tom mluvili v souvislosti s NTP serverem
  • Bezpečné nastavení panelu Desktop & Screen Saver - nastavení krátkého intervalu pro spuštění spořiče obrazovky, vyžadování hesla po zapnutí spořiče atd.
  • Nepoužívat mirroring - jen tak umožníte jiným vidět to, co máte zrovna na obrazovce
  • Skrýt Dok - nikdo nemusí vidět, jaké aplikace používáte
  • Úspora energie - nikdy nenechávejte usínat počítač, dostává se tak do nespravovatelného stavu. Můžete vypnout displej, vypnout pevný disk, ale počítač by měl vždy pracovat - toto jsou tipy pro zabezpečení počítače, nikoliv pro ušetření peněz za provoz.
  • Vypněte Dashboard
  • Zrušte jazykové sady, které nepotřebujete - Jediná nutná jazyková sada je Angličtina a v našich zemích Čeština. Další sady, pokud nemáte specifické požadavky, nemusí být součástí systému a při instalaci je možné je neoznačovat.
  • Jestliže nepoužíváte Bluetooth klávesnici nebo myš, Bluetooth vypněte. Pokud ano, zakažte Bluetooth zařízením, aby probouzely počítač.
  • Nepoužívejte počítač jako fax, Ujistěte se, že tiskárny na které tisknete jsou v bezpečném místě. Data, která na nich vytisknete mohou být přístupná komukoliv, kdo jde okolo.
  • Věnujte pozornost nastavení sítě - zrušte podporu zařízení, které nepoužíváte, vypněte sdílení, nastavte firewall
  • Nastavte si rodičovskou ochranu (Parental control) - tu lze použít nejen vůči ratolestem, ale také jako omezení spouštění aplikací pro jakéhokoliv uživatele.
  • Nastavte vhodné bezpečnostní předvolby
  • Nastavte sdílení
  • Nastavte aktualizaci Software
  • Nastavte bezpečně ovládací panel Zvuk - zejména hlasitost mikrofonu by se měla nastavit na nulu
  • Vypněte rozpoznávání řeči a funkce text-to-speech - Dávat příkazy počítači můžete jen tehdy, jste-li v zabezpečené oblasti, stejně tak nechat přečíst počítač obsah obrazovky může způsobit nechtěné prozrazení údajů
  • Nastavte si správný disk po startu a nezapomeňte, že pokud nemáte nastaveno heslo EFI, může kdokoliv zvolit jiný startovací disk, případně může počítač připojit v Target Disk režimu.
  • Nastavte si Time Machine - ačkoliv má Time Machine nesporné výhody, je nutné si také uvědomit, že zálohování se provádí bez zásahu uživatele a prakticky kdykoliv. Je tedy nutné zabezpečit také příslušný záložní disk.

Nastavení individuálních účtů

  • Administrátorský a uživatelské účty pro každého administrátora
  • Vytvoření standardní a spravovaného účtu pro každého neadministrátora
  • spravované účty používají rodičovskou ochranu
  • Sudo uživatelé mají omezení na příkazy, které mohou spouštět
  • LDAPv3 je nastaven bezpečně
  • AD je nastaveno bezpečně
  • Používejte Password Assistenta pro generování komplexních hesel
  • Používejte autentifikaci pomocí smart karty, tokenu nebo biometrického zařízení
  • Používejte silná pravidla pro hesla
  • Zabezpečte login keychain
  • Zabezpečte položky keychain
  • Vytvořte si svazky klíčů (keychains)pro speciální účely
  • Používejte přenosný disk pro ukládání svazků klíčů (keychains)

Nastavení  přístupu

  • Nastavte POSIX přístupová páva podle skupin uživatelů
  • Prohlížejte a upravte nastavení složek
  • Omezte práva na domovské složky uživatelů
  • Zrušte setuid bity některý programů - jejich seznam získáte příkazem sudo find / -perm -04000 -ls

Nastavení aplikací

  • Nastavte Mail tak, aby používal SSL (jak pro příchozí, tak pro odchozí poštu)
  • Zrušte náhledy zprávy v Mailu
  • Zrušte automatické doplňování
  • Zablokujte vyskakovací okna
  • Povolte Cookies pouze navštívených stránek
  • Vypněte otevírání bezpečných souborů v Safari
  • Ověřujte platnost certifikátů
  • Vyžádejte si certifikát pro MobileMe
  • Zakódujte iChat komunikaci
  • Vytvořte silné heslo pro iTunes
  • Zabezpečte vzdálený přístup přes VPN
  • Zapněte si ochranu firewallem
  • Nastavte IPFW2 firewall
  • Implementujte IPFW pravidla
  • Povolte logování firewallu
  • Implementujte inkluzivní pravidla
  • Nastavte restriktivnější pravidla
  • Nastavte systém aby nahrál IPFW pravidla
  • Bonjour
  • Nastavte BTMM přístup přes předvolby Bezpečnosti
  • Nastavte sdílení obrazovky přes VPN s heslem
  • Vypněte sdílení obrazovky, pokud to je možné
  • Vypněte sdílení souborů, pokud je to možné
  • Vypněte sdílení tiskárny, pokud je to možné
  • Vypněte sdílení skeneru, pokud je to možné
  • Vypněte www server, pokud je to možné (sdílení WWW)
  • Vypněte vzdálený přístup, pokud je to možné
  • Pokud musíte mít přístup přes SSH, nastavte použití klíče (vypněte možnost použít heslo)
  • Nastavte ARD pro správu vzdálených úloh, pokud je to možné ARD vypněte
  • Vypněte Remote Apple Events, pokud je to možné
  • Vypněte Xgrid sdílení, pokud je to možné
  • Vypněte sdílení Internetu , pokud je to možné
  • Vypněte sdílení Bluetooth, pokud je to možné

Pokročilé prvky zabezpečení systému

  • Vytvořte autorizační práva ve slovníku pro autorizaci uživatelů
  • Vytvořte digitální podpis
  • Povolte bezpečnostní audit
  • Nastavte bezpečnostní audit
  • Vygenerujte zprávu bezpečnostní auditu
  • Povolte lokální logovování
  • Povolte vzdálené logování
  • Instalujte nástroje pro kontrolu integrity souborů
  • Vytvořte základní nastavení pro kontrolu integrity
  • Instalujte antivir
  • Nastavte antivir aby automaticky stahoval virovou databázi
Publikováno: 30.11.2009

 

 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License