Há apenas uma conta raiz em todos os computadores com OS X e ela é desativada por padrão. Ele não possui uma senha e você não pode fazer login como root, a menos que use especificamente o Directory Utility e ative-o. É perigoso, porque quando logado como root, o sistema ignora todas as autorizações - nem sequer pede uma senha. Nesse aspecto, um computador OS X é realmente sem raízes , o que é uma coisa boa ™.
As contas de administrador são simplesmente contas padrão que também estão no grupo de administradores . Qualquer ação no OS X executada por um usuário conectado é verificada no banco de dados de autorização (você pode ver suas regras em /System/Library/Security/authorization.plist para verificar se nenhuma autenticação é necessária ou é suficiente para ser autenticada como o proprietário da sessão (usuário padrão que está conectado) ou você deve ser membro do grupo de administradores.Ele fornece um controle muito refinado.Portanto, três possibilidades podem ocorrer, por exemplo, em Preferências do Sistemaao clicar no cadeado bloqueado. Ao clicar, ele pode simplesmente ser desbloqueado sem autenticação, pode oferecer uma caixa de diálogo de autenticação com o nome da conta já inserido (o que significa que você deve confirmar que você é) ou pode oferecer uma caixa de diálogo de autenticação com os campos nome da conta e senha em branco (o que significa que você não é administrador, por favor chame um administrador para digitar suas credenciais).
Uma regra prática é que qualquer coisa que possa afetar outros usuários no computador (alteração em todo o sistema) exigirá autenticação administrativa. Mas é mais complexo que isso. Usuários padrão, por exemplo, podem instalar aplicativos da Mac App Store na pasta / Applications (que é uma alteração em todo o sistema), mas não podem ignorar o GateKeeper para executar aplicativos não assinados, mesmo que apenas dentro de seus próprios dados. Os usuários padrão não podem chamar o sudo, que tem um efeito colateral ruim de não exigir autenticação em uma janela de 10 a 15 minutos depois disso. Um script habilmente projetado solicitará uma autenticação de administrador para algo que você aprove, mas depois disso fará todo tipo de coisas malucas que você não conhece.
Os usuários padrão também podem ser gerenciados por meio de controles dos pais ou perfis de configuração e podem ter políticas de senha aplicadas. Os usuários administrativos não podem fazer isso.
O System Integrity Protection aborda o fato de as pessoas clicarem nos pacotes do instalador e fornecerem senhas tão facilmente que os usuários se tornaram o elo mais fraco. O SIP apenas tenta manter o sistema funcionando, nada mais (e às vezes falha nisso também).
Você não acreditaria em quantas pessoas eu vi que têm apenas um usuário no computador (que também é uma conta de administrador) e mesmo sem uma senha de conta, apenas para perceber uma ligeira diminuição no aborrecimento na forma de uma atividade da janela de login.
Não posso concordar com sua opinião de que é doloroso mudar para uma conta de administrador quando necessário. Se você estiver no Terminal, precisará apenas su myadminacct antes de fazer qualquer coisa, incluindo sudo ou iniciar o Finder como outro usuário executando /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder .
Na GUI, bem, as atualizações da Mac App Store (incluindo atualizações do OS X) não requerem autenticação de administrador. Esses pacotes de instalador que acabam na pasta Downloads, incluindo atualizações do Adobe Flash, sim, você deve ter muito cuidado antes de abrir os trabalhos extras e garantir o triplo de que eles vêm do lugar certo e não estão cheios de maldade.
É por isso que acho que usar um Mac com uma conta padrão é melhor e mais seguro do que com um administrador, porque me protege de meus próprios erros e descuidos. Mesmo a maioria dos usuários experientes não inspeciona todos os scripts baixados linha por linha para ver se há algo suspeito acontecendo.
Espero que os controles possam ficar ainda mais rígidos no futuro, por exemplo, introduzindo condições ou agendamentos quando um aplicativo (ou script ou qualquer executável) puder ser executado ou ter acesso à rede ou que um executável possa nem mesmo ser iniciado se eu não o permitiu explicitamente (caixa de diálogo de autenticação) no mês passado.
xattr
comando no Terminal.A segurança é melhor implementada como uma estratégia de várias camadas e de vários vetores .
O Princípio do Menor Privilégio (POLP) é apenas mais uma engrenagem na máquina que mantém seu computador seguro.
Tudo o que você listou é bom, mas nada impede que alguém assuma o controle do seu computador com uma exploração como o Dropped Drive Hack .
Como um firewall impede que um usuário insira um USB com uma exploração de controle remoto incorporada na unidade?
Como o SIP impede que um keylogger capture as teclas digitadas?
Como o SIP é importante quando pode ser facilmente desabilitado pelo administrador?
Como você impede a instalação de software não autorizado / licenciado ilegalmente? Uma conta de usuário restrita garantirá que os usuários que não deveriam instalar o software não estejam instalando o software.
Sua última linha de defesa está usando uma conta que não é uma conta de administrador, para que você possa atenuar a ameaça colocando outra camada de segurança (autenticação do usuário) quando um malware tenta se instalar.
Venho dizendo isso pelo que parece eras agora:
"Segurança" não é um produto que você compra ou um interruptor no qual você liga; é uma prática , é uma mentalidade , aproveitar todas as ferramentas possíveis para minimizar seu risco.
fonte
É geralmente considerado uma prática recomendada usar uma conta que não tenha mais privilégios do que o necessário. O que isso significa geralmente é que você deve usar uma conta com o menor nível de privilégio possível e elevar seus privilégios quando for necessário para uma tarefa específica que exija os privilégios mais altos.
No entanto, isso fica irritante rapidamente. A razão para isso é que o que parece uma tarefa simples para você ou para mim ("Eu só queria ligar o Wi-Fi") é visto como uma operação privilegiada para o sistema operacional ("Você deseja ativar um dispositivo de rede e permitir que a máquina para ser colocado em alguma rede aleatória ").
Encontrar um equilíbrio entre conveniência e segurança é muito mais difícil do que parece, e meu sentimento pessoal é que o OS X faz um trabalho muito melhor do que outros sistemas operacionais existentes, como o Windows.
Se você executa como administrador o tempo todo, pode clicar acidentalmente em um email que contém algum link para um site que contém crapware, e ele executa automaticamente um script que faz alguma reconfiguração sem o seu conhecimento. Mas se você estiver executando como um usuário não privilegiado, assim que o script for executado, o sistema operacional exibirá uma caixa de diálogo dizendo "esse script malicioso deseja fazer algo no seu computador. Confirme digitando sua senha". Isso geralmente causaria alarme ou surpresa, se não for algo que você esperaria ver naquele momento.
Além disso - mais importante, você configura um computador para outra pessoa. Alguém que não tenha conhecimentos de informática em sua família. É uma excelente idéia dar a eles um login sem privilégios e manter a senha de administrador, assim, da próxima vez que clicarem em qualquer lixo antigo (como é o seu costume), NÃO PODEM infestar o computador com crapware. Às vezes, eles reclamam quando você faz isso, mas você só precisa lembrá-los de que tinham 35 barras de ferramentas instaladas no IE 6 e, toda vez que faziam uma pesquisa no google, recebiam páginas de pop-ups pornográficos, antes de concordar de má vontade que seja uma boa ideia A desvantagem é que eles ligam para você com mais frequência para desbloquear o computador deles quando desejam atualizar o plug-in Flash.
Como já foi dito: segurança é uma atitude, não um simples interruptor que você pode ativar.
fonte
Deixe-me ver como seus motivos funcionariam ou não:
Contas de administrador não são raiz. Embora verdadeiros, eles podem ligar
sudo
e talvez até tenham a senha pronta para entrada (ousudo
foi configurada para não solicitar senha).SIP (System Integrity Protection): Esta é apenas uma camada que não é suficiente para todos os ataques. Pode ser desativado? Melhor ainda!
Argumento de spyware: Bem, talvez. Privilégios ainda não estão separados o suficiente. Mas, mesmo assim, ainda é uma limitação.
As linhas de defesa básicas abrangem todo o sistema: o nº 1 diz que aplicativos executados em contas de administrador podem ganhar raiz.
Mudando? É sabido que você pode executar tarefas relacionadas a administradores de contas padrão, desde que insira a senha da conta de administrador. Não é necessário fazer uma troca real de contas.
fonte
sudo
nome " " nesse código. Eu não sei como você fez isso enumeração real embora (Eu também estou acostumado a Quora que faz isso automaticamente tipo de agora)Se você tem outros membros da família que não possuem conhecimentos de informática, ou deseja restringir o acesso deles (por exemplo, filhos), ou se é um empregador que deseja restringir o acesso a funcionários que podem usar a máquina, então sim; ainda existem razões para ter contas não administrativas no osx para uso diário.
Se você possui um computador e deseja controlá-lo, use uma conta administrativa.
Se você não deseja que outros usuários possam "administrar" nada, as contas não administrativas são muito úteis. Além disso, você nunca sabe quando pode precisar emprestar a máquina do manguito, dado um momento em que alguém pergunta "ei, eu poderia simplesmente pedir emprestado ao seu Mac para fazer algo muito rapidamente?" eles para o que alguns consideram uma conta de 'semi-convidado' para a qual você criou e adaptou permissões.
fonte
Provavelmente existem outros motivos, mas aqui está o meu: não é possível colocar restrições na conta de administrador. É útil ter restrições para impedir que você visite sites indesejáveis ou perigosos.
fonte