آشنایی با تنظیم هاي پیشرفته امنیتی در Mac از طریق CLI

آشنایی با تنظیم هاي پیشرفته امنیتی در Mac از طریق CLI
  • 1391/10/7
  • محمد مهدی واعظی نژاد
  • 1

امروزه، خوشبختانه سيستم عامل مك به دليل محيط گرافيكي و قابليت هاي جالب آن، مورد محبوبيت زيادي در بين كاربران ايراني قرار گرفته و حتي در شبكه بعضي از سازمان ها نيز از آن استفاده مي شود. بنابراين لزوم توجه به رعايت نكات امنيتي در اين سيستم عامل، به دليل حفاظت از اطلاعات، از اهميت ويژه اي برخوردار است. در اين مقاله، به 13 مورد از مهمترين دستورات امنيتي اشاره مي شود كه  با اجرای هر کدام از این فرمان ها در محیط ترمینال، می توان به افزایش امنیت مک کمک کرد.

 

امنیت در مک

رابط خط فرمان که CLI (Command Line Interface) ناميده مي شود، در تمام سیستم عامل ها وجود دارد. Terminal در سیستم عامل مک، نقش CLI را بازی می کند. ترمينال مك، به سبب اینکه این سیستم عامل بر پایه Unix طراحی شده است، شباهت زیادی به خط فرمان لینوکس داشته و حدود ۹۰٪ از فرمان هاي یونیکس و لینوکس در آن قابل اجراست.

ترمینال مک از طریق منوی Utilities در دسترس بوده و از لحظه ای که باز می شود، آماده به کار است. توسط CLI و به کمک کاربر اصلي سيستم (Root)، مي توان به تمام سطوح سیستمی دسترسی داشته و تغییرات بنیادین در مک ایجاد نمود. اين سیستم عامل، بین حروف بزرگ و کوچک تفاوت قائل می شود (Case Sensitive) و بايد در اجرای فرمان ها دقت لازم را به عمل آورد.

بهتر است بدانيد كه برای انجام بعضی از فرمان هاي سیستمی و یا دسترسی به بخش هايي از سیستم، نیاز به داشتن سطح دسترسی کاربر اصلي مي باشد. به همین منظور، دستوراتي که نیازمند سطح دسترسی بالا هستند را می توان توسط فرمان sudo و تحت دستور کاربر اصلي، اجرا نمود. همچنين، فرمان هایی که مربوط به قطعات سخت افزاری هستند، تنها پشتیبانی نرم افزاری قطعه مورد نظر را از سیستم حذف كرده و تأثیری بر روی آن سخت افزار ندارند.

فرمان sudo براي اجراي دستوراتي كه با هسته و فايل هاي اساسي سيستم درگير هستند، تحت قدرت كاربر root است كه مدير سيستم، مي تواند فرامين سيستم را به جاي ورود با كاربر root، توسط كاربر معمولي با استفاده از اين دستور انجام دهد. مك به منظور افزايش امنيت سيستم، تمامي استفاده هايي كه از فرمان sudo انجام شده است را ضبط مي كند.

۱- به روز رسانی سیستم عامل و نصب بسته هاي به روز رسانی

پس از توليد و انتشار يك نرم افزار، شركت توليد كننده متوجه اشكالاتي در برنامه نويسي آن نرم افزار گرديده و تلاش مي كند تا آن را ترميم نمايد. بنابراين، نرم افزارهاي كوچكتري كه در اصطلاح به آن ها وصله امنيتي (Patch) گفته مي شود، براي اصلاح نرم افزار قبلي ارايه مي شود كه كاربران نيز بايد آن ها را از سايت مرتبط با آن نرم افزار دريافت كرده و بر روي سيستم هاي خود نصب نمايند. در صورتي كه اين كار انجام نشود، نفوذگران مي توانند با همان اشكالات موجود در برنامه نويسي، به كامپيوترهايي كه از آن نرم افزار استفاده مي كنند، حمله نمايند.

از جمله مهمترين اين نرم افزارها كه بايد به صورت مرتب به روز شده و وصله هاي امنيتي آن نصب گردد، سيستم عامل مي باشد. شركت Apple كه حقوق انحصاري مك را در اختيار داشته و مالك آن محسوب مي شود، به محض کشف حفره های امنیتی در اين سيستم عامل، اقدام به توزیع بسته به روز رسانی جدید می کند. تنظیمات به روزرسانی مک از طریق منوي System Preferences تحت عنوان Software Update در دسترس است كه مي توان مدت زمان بررسی خودکار را جهت به روز رسانی، بین حالت هاي روزانه، هفتگی و ماهانه تغییر داده و با انتخاب گزینه Download updates automatically این امکان را به مك داد تا بسته های به روز رسانی را مخفیانه دانلود کرده و براي نصب آن ها اطلاع دهد. با زدن دکمه Check now نيز مي توان از به روز بودن مک اطمینان حاصل نمود.

لازم به ذكر است كه پس از عرضه نسخه 10.0.0 سیستم عامل مک در سال ۲۰۰۱ با نام Cheetah، نسخه های بعدی اين سیستم عامل، با تغییر رقم دوم به بازار آمده و تحت نام هایی از خانواده گربه سانان معرفي گرديدند. به عنوان مثال، نسخه 10.6 با نام Snow Leopard  و 10.7 با نام Lion شناخته می شود. بسته های به روز رسانی كه توسط Apple برای هر کدام از نسخه های مک منتشر می شود نیز با تغییر رقم سوم نسخه سیستم عامل شناسایی می شود. براي نمونه، سیستم عاملی با نسخه 10.7.1 نمایانگر سیستم عامل نسخه 10.7 می باشد که اولین بسته به روز رسانی بر روی آن نصب گردیده است.

امنیت در مک

بايد توجه داشت كه به روز رساني سيستم عامل، درصد بالايي از مشكلات امنيتي شبكه را حل مي كند.

sudo softwareupdate –download –all –install

۲- ترمیم خودکار سطوح دسترسی

بدافزارها، ويروس ها و نصب بعضي از نرم افزارها ممكن است كه باعث ايجاد تغييراتي در تنظيمات پيش فرض سطوح دسترسي برخي از فايل هاي سيستم عامل شود. بنابراين، لازم است كه اين مجوزها و سطوح دسترسي به فايل هاي سيستمي را برطرف نموده و به حالت قبل بازگردانيد.

انجام اين كار براي ثبات و محافظت از كامپيوتر امري ضروري به شمار مي رود.

sudo diskutil repairPermissions /Volumes/$Target_Boot_Drive

در صورتي كه از چند كاربر براي يك سيستم استفاده مي شود بهتر است تا سطح دسترسي پوشه كاربر را نيز با سطح دسترسي همان كاربر تنظيم كرد.

براي اين كار نيز مي توان فرمان زير را در ترمينال وارد كرده و به جاي username، نام كاربري كاربر مورد نظر را قرار داد.

sudo chmod go-rx /Users/username

۳- غیر فعال کردن Wi-Fi

اگرچه راه اندازي شبکه‌های وایرلس همچون Wi-Fi برای دسترسی به منابع شبكه، بدون اتصال هرگونه سیمی بسیار مناسب است اما همین بستر می‌تواند تبدیل به محیطی آسیب‌پذیر جهت نفوذ به شبکه‌، سرور و کامپيوترهای متصل به آن شود. زيرا در ارتباط Wi-Fi، رديابي كردن اطلاعات بین دستگاه هاي كاري متحرك و Access point نزدیک آن براي نفوذگران بسيار آسان مي باشد.

امروزه مهمترین چالش در مقابل گسترش شبکه‌های بی‌سیم Wi-Fi ، محافظت از آن ها در برابر دسترسی‌های غیرمجاز، جلوگيري از نفوذ مخفیانه به داخل شبکه و بهره‌برداری از منابع آن می‌باشد.

sudo srm -rf /System/Library/Extensions/IO80211Family.kext

sudo touch /System/Library/Extensions

۴- غیر فعال کردن Bluetooth

Bluetooth يك فناوري است كه امكان مبادله اطلاعات بين دستگاه ها، بدون نياز به كابل را فراهم مي كند. در حقيقت، Bluetooth يك استاندارد الكترونيكي است كه توليد كنندگان را ملزم مي نمايد تا به منظور ايجاد پتاسيل فوق در محصولاتشان، تجهيزات و امكانات خاصي را درون دستگاه هاي الكترونيكي تعبيه نمايند كه با رعايت نكات مندرج در اين استاندارد، دستگاه هاي توليد شده قادر به تشخيص و ارتباط با يكديگر، با استفاده از اين تكنولوژي خواهند بود.

 Bluetooth نيز همانند بسياري از تكنولوژي هاي ديگر مي تواند تهديدهاي امنيتي خاص خود را براي استفاده كنندگان به دنبال داشته باشد. هنگامي كه از ارتباطات بی‌سیم همچون Bluetooth استفاده نمی‌شود ولي اين قابليت همچنان بر روي سيستم فعال است، سيستم مي تواند در برابر حملات آسيب پذير باشد. ويروس ها و بسياري از برنامه هاي مخرب مي توانند از طريق اين فناوري، به سيستم نفوذ نموده و اقدام به سرقت اطلاعات و ايجاد مشكلات امنيتي براي كاربران نمايند.

sudo srm -rf /System/Library/Extensions/IOBluetoothFamily.kext

sudo srm -rf /System/Library/Extensions/IOBluetoothHIDDriver.kext

sudo touch /System/Library/Extensions

۵- غیر فعال کردن سنسور مادون قرمز (InfraRed)

سنسورهاي مادون قرمز، قطعات الكترونيكي هستند كه توسط تشعشعات مادون قرمز، كار كرده و بيشتر براي آشكار سازي اهداف متحرك از آن ها استفاده مي شود.

لازم به ذكر است كه همه اشياء، اشعه مادون قرمز از خود منتشر مي كنند كه اين تشعشع از ديد انسان نامرئي است ولي مي تواند با وسايل الكترونيكي كه براي اين هدف ساخته شده اند، آشكار شود.

يك قانون مهم در امنيت وجود دارد و آن اين است كه اگر از يك تكنولوژي استفاده نمي شود بايد آن را غير فعال نمود تا از آن به عنوان نقطه آسيبي براي نفوذ به سيستم ها استفاده نشود.

sudo srm -rf /System/Library/Extensions/AppleIRController.kext

sudo touch /System/Library/Extensions

۶- غیر فعال کردن خروجی و ورودی صدا 

يكي از مهمترين نكات در خصوص امنيت، كنترل دسترسي به ورودي هاي فيزيكي و اعمال محدوديت براي آن ها مي باشد.

sudo srm -rf /System/Library/Extensions/AppleUSBAudio.kext

sudo srm -rf /System/Library/Extensions/IOAudioFamily.kext

sudo touch /System/Library/Extensions

 

۷- غیر فعال کردن دوربین ویدیویی

از دوربين ويديويي براي تهيه تصاوير ويديويي استفاده مي شود. بعضي از ويروس هاي جديد، قابليت روشن نمودن دوربين ويديويي و ارسال فيلم هاي تهيه شده را بدون اجازه كاربر دارند.

sudo srm –rf /System/Library/Extensions/IOUSBFamily.kext/Contents/PlugIns /AppleUSBVideoSupport.kext

sudo touch /System/Library/Extensions

۸- غیر فعال کردن پورت های USB

پورت هاي USB، درگاه هاي الكترونيكي هستند كه امكان مبادله اطلاعات بين انواع حافظه ها (Flash، Hard disk، Memory، sd card و …) را فراهم مي كنند.

بسياري از بدافزارها، از طريق پورت هاي USB به سيستم منتقل مي شوند همچنين با استفاده از روش ها و ابزارهايي مي توان توسط اين پورت، سيستم را راه اندازي دوباره نموده و بدون دانستن رمز عبور كاربر اصلي سيستم (Root)، اقدام به تغيير آن نمود. بنابراين، غير فعال كردن پورت هاي USB براي ايجاد ملاحظه هاي امنيتي، يك امر ضروري به شمار مي رود.

sudo srm -rf /System/Library/Extensions/IOUSBMassStorageClass.kext

sudo touch /System/Library/Extensions

۹- غیر فعال کردن پورت FireWire

Firewire يا i-Link كه به IEEE 1394 نيز معروف است، يك استاندارد واسط براي گذرگاه سريال در رايانه هاي شخصي است كه امكان برقراري تبادل اطلاعات را فراهم مي سازد.

درگاه هاي Firewire كه به طور پيش فرض و پيش ساخته، تقريباً در تمامي رايانه هاي Macintosh وجود دارد معمولاً براي اتصال دوربين هاي ويديويي ديجيتال و دستگاه ها و رسانه هاي ذخيره سازي اطلاعات استفاده مي شود.

sudo srm -rf /System/Library/Extensions/IOFireWireSerialBusProtocolTransport.kext

sudo touch /System/Library/Extensions

۱۰- عدم نمایش آخرین برنامه های استفاده شده در Finder

از طريق Finder مي توان برنامه ها و فايل ها را در مك، جستجو كرده و به راحتي به آن ها دسترسي داشت.

sudo defaults write com.apple.recentitems Applications -dict MaxAmount 0

۱۱- غیر فعال کردن Dashboard

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.dashboard.advisory.fetch.plist

12- غیر فعال کردن Bonjour

Bonjour یکی از سرویس های اختصاصی اپل است که از آن به منظور اشتراک گذاری موسیقی، فایل و چاپگر در شبکه های محلی استفاده می شود. این سرویس که به صورت مداوم در حال دریافت اطلاعات از شبکه است، می تواند تهدید امنیتی برای مک محسوب شود. بنابراين اگر از آن استفاده نمی شود، بهتر است غیر فعال گردد.

به منظور غیر فعال کردن Bonjour می توان ۲ دستور زیر را در Terminal وارد کرد.

 sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist

 sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponderHelper.plist

 

13- غیر فعال کردن Remote Desktop

این سرویس همانند همتای ویندوزی خود این امکان را به کاربران می دهد تا از راه دور سیستم خود را کنترل کنند.

برای حفظ امنیت سيستم عامل، بهتر است كه سرویس‌های غیر ضروری آن را غیر فعال کرد. شکی نیست كه انجام اين كار، باعث افزايش کارایی سیستم و امنیت کلی آن خواهد شد.

اين سرويس، با وارد کردن ۲ دستور زیر در Terminal غیر فعال مي شود.

 sudo launchctl unload -w /System/Library/LaunchAgents/com.apple.RemoteDesktop.plist

 sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.RemoteDesktop.PrivilegeProxy.plist

 14- هشدار در صفحه ورود

اولین گام سیستم در جداسازی کاربران را می توان صفحه ورود كاربران به سیستم عامل دانست، همان جایی که كاربران را ملزم به وارد کردن كلمه عبور و نام کاربری به منظور ورود به سیستم عامل مي كند. در صورتی که بر روي سیستم، اطلاعات محرمانه سازمان نگهداری می شود، می توان با نشان دادن یک پیام هشدار، کاربری که قصد ورود غیرمجاز به سیستم را دارد از تبعات این عمل مطلع ساخت.

     sudo defaults write /Library/Preferences/com.apple.loginwindow LoginwindowText “Warning Text”

“Warning Text” همان پیام اخطار است.

امنیت در مک

در پايان، براي جلوگيري از مشاهده دستورات وارد شده در ترمينال و سوء استفاده از آن ها براي بازگرداندن به حالت قبل بايد تمامی فرمان هايي كه در محيط ترمينال وارد شده اند را پاك نمود. دستور history –c فرمان مفیدی برای پاک کردن رد پای کارهای انجام شده در ترمینال است.

دیدگاه خود را وارد کنید
1 دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *