macOS Mojave平安加固分析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

macOS Mojave平安加固分析

申博_安全防护 申博 188次浏览 已收录 0个评论

一、概述

本文档以macOS 10.14体系为基础,供应针对macOS Mojave的基础加固指南,以加强体系平安性。在本加固指南中,不包罗一些能够影响操纵体系功用而且须要进一步测试的设置。我们对每一个条目举行了标注,分为“重要”和“可选”两类。个中的“可选”条目,我们也发起运用此设置,但体系的某些功用将会在运用设置后变成不可用,因而须要列位用户自行评价。

重要说明:本平安加固指南在加固历程当中,将指点用户强迫禁用SIP(体系完整性珍爱)。在加固完成后,请务必确保再次启用SIP。

二、通例发起

2.1 平安启动

在2018年的MacBook主机中,经由历程TouchBar内部新装置的T2芯片(包孕Secure Enclave),支撑平安启动(Secure Boot)功用。要搜检是不是已启用平安启动,须要在开机时同时按下COMMAND + R键。在输入固件暗码后,能够接见菜单栏中的“启动平安实用顺序”(Startup Security Utility)。若是MacBook中带有T2芯片(TouchBar),则能够看到“平安启动”(Secure Boot)和“外部启动”(External Boot)两个选项。我们强烈发起,在须要包管较高平安性的状况下,应挑选“平安启动”。在制止从外部介质启动时,应挑选“外部启动”。

2.2 终端珍爱

默许状况下,macOS已具有珍爱机制,比方:XProtect(歹意软件检测)、Secure Boot、代码署名考证、沙箱运用顺序和体系完整性珍爱。另外,若是启用了MDM(比方在macOS效劳器上),则能够经由历程分歧的战略设置装备摆设装备和治理装备。若是须要装置其他终端珍爱对象,应当评价该对象是不是支撑macOS装备。

2.3 日记和事宜收集

治理员能够依据现实须要,设置装备摆设macOS的审计框架。经由历程/Applications/Utilities/Console.app,能够检察到整合后的日记。默许状况下,macOS支撑以syslogd保卫顺序,经由历程UDP/514端口发送日记。然则,由于缺少对TLS/SSL的支撑,发起不要运用此项功用,估计Apple很快就会弃用这项功用。若是您地点的企业状况中不支撑包罗署理的macOS SISM,发起能够从当地整合日记,而且制止经由历程收集发送未经加密的日记。借助macOS供应的日记实用顺序,能够以平安的体式格局猎取此类日记,只需日记收集效劳器的吸收端翻开TCP端口(需支撑TLS/SSL)。比方,在MacBook上实行以下敕令,能够经由历程加密通道将每一个失利的sudo实验发送到日记效劳器:

log stream --style syslog --predicate 'process == "sudo" and eventMessage contains "incorrect password"' | openssl s_client -host <RemoteServer> -port <Port>

日记效劳器将收到相似的日记音讯,以下所示:

Filtering the log data using "process == "sudo" AND composedMessage CONTAINS "incorrect password""
Timestamp                       (process)[PID]
2018-10-24 17:23:33.842651+0200  localhost sudo[2002]:   MacBook_ERNW : 2 incorrect password attempts ; TTY=ttys002 ; PWD=/Users/MacBook_ERNW ; USER=root ; COMMAND=su

能够运用macOS登录项,来自动启动日记流。另外,治理员能够依据须要,运用过滤器来过滤现实须要的日记。

2.4 挪动装备治理

将MacBook与挪动装备治理体系(MDM,如macOS效劳器)衔接,能够强迫操纵体系必需布置指定的战略。另外,能够经由历程MDM解决方案来完成布置证书和衔接到运动目次(Active Directory)。

三、认证

3.1 确保规范帐户和默许帐户的平安性

macOS会一直强迫用户建立新帐户。即运用户以治理员权限帐户运转,也不会具有与“root”雷同的权限,这就是macOS称之为体系完整性珍爱(SIP)的机制。SIP将谢绝运用者对体系目次(比方:/System)的任何变动。

3.2 用户权限星散

发起用户运用分歧的帐户,离别举行治理和一样平常运动。而且,应当为特别义务和体系维护建立一个具有治理员权限的帐户,为一样平常运用历程建立一个一般帐户,从而制止进击者疾速提拔权限。

3.3 确保暗码平安

应确保一切用户都运用强暗码,强暗码的详细界说以下:

最小暗码长度最少为8个字符;

暗码必需同时包罗小写字母、大写字母、数字和特别字符;

不得运用任何默许暗码;

暗码必需具有6个以上分歧的字符;

同一个暗码最多运用180天;

用户名不得作为暗码的一部分;

新设置的暗码,与近来5次设置的汗青暗码不克不及雷同。

3.4 强迫暗码平安战略(重要)

治理员能够运用敕令行对象pwpolicy,来强迫实行暗码战略。以下敕令能够强迫实行上述战略:

pwpolicy -u -setpolicy "minChars=8 requiresAlpha=1 requiresNumeric=1 maxMinutesUntilChangePassword=259200 usingHistory=5 usingExpirationDate=1 passwordCannotBeName=1 requiresMixedCase=1 requiresSymbol=1"

3.5 双要素身份考证(可选)

从macOS 10.11和iOS 9最先,这些Apple装备就内置了双要素身份考证机制,能够珍爱用户的Apple ID。若是接见了任何须要登录Apple ID的内容,身份考证码就会被推送到另外一台装置了macOS 10.11以上版本或iOS 9以上版本体系的装备上。这一历程能够会影响用户的macOS装置,由于能够经由历程Apple ID重置装备的暗码。若是用户须要运用Apple ID实行种种义务,那末发起运用双要素身份考证。

3.6 自动登录和用户列表(重要)

发起禁用用户列表,如许会下降进击者正确预测登录凭证的能够性。

在“体系偏好设置”(System Perferences)中,挑选“用户和组”(Users & Groups),挑选“登录选项”(Login Options),将“自动登录”(Automatic Login)设置为禁用,将“显现登录窗口”(Display Login Window)设置为“用户名和暗码”(Name and Password),并禁用暗码提醒(Password Hints)。

3.7 登录导语(可选)

能够设置登录导语(Login Banner),从而在登录时显现包罗战略的信息。

sudo defaults write /Library/Preferences/com.apple.loginwindow LoginwindowText “text”

3.8 访客帐户(重要)

应当一直禁用访客帐户的一切内容,而且停用访客账户。

在“体系偏好设置”中,挑选“用户和组”,确保已禁用访客账户(Guest Users)。

3.9 限定Sudoers文件(重要)

要限定宽限期(Grace Period)并限定为单个ttys,应运用visudo敕令,编纂/etc/sudoers,增加以下内容:

Defaults timestamp_timeout=0
Defaults tty_tickets

3.10 自动锁定登录钥匙串(可选)

翻开钥匙串接见(Keychain Access),挑选登录钥匙串。挑选“编纂”(Edit),变动钥匙串设置“登录”。将“不运动[…]分钟后锁定”(Lock after […] minutes)的数值设置为10。勾选“就寝时锁定”(Lock when sleeping)选项。

注重:自动锁定钥匙串将会影响用户体验,每一个锁定保卫历程(比方:Wi-Fi效劳)都须要解锁。因而,Wi-Fi状况下的自动夜间备份将会受到影响。

四、通用设置装备摆设

4.1 修复以后体系漏洞(重要)

在实行本指南中的加固步伐之前,强烈发起先将以后体系晋级到最新且已装置补钉的状况。能够经由历程“Apple菜单” – “App Store” – “晋级”(Updates)来搜检以后体系的更新状况。

或许,也能够在敕令行中输入以下敕令:

$ softwareupdate -l

4.2 自动更新(重要)

发起一直启用自动更新,以自意向体系供应最新的平安修复顺序。能够经由历程以下敕令搜检是不是启用此设置:

$ defaults read /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates
1

若是启用了自动更新,则返回值应当为1,如上面输出所示。若是该设置不存在,能够经由历程以下敕令来手动设置:

sudo defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticallyInstallMacOSUpdates -int 1

4.3 Gatekeeper(重要)

Gatekeeper将搜检运用顺序是不是运用有用的Apple证书举行署名。经由历程以下体式格局来搜检运用顺序是不是具有署名:

spctl –a /Applications/test.app

若是要将其增加到Gatekeeper,能够运用以下敕令:

spctl --add test.app

或许直接实行下面的操纵:

右键单击,挑选“翻开”。

注重:在一些状况下,体系能够依然会谢绝翻开运用顺序。这时候,我们能够强行启动:

点击“体系偏好设置”,挑选“平安和隐私”(Security & Privacy),挑选“通例”(General)。然后翻开运用顺序。

4.4 实行代码署名机制(重要)

能够编纂/etc/sysctl.conf,在个中增加以下行:

vm.cs_force_kill=1  # Kill process if invalidated
vm.cs_force_hard=1  # Fail operation if invalidated
vm.cs_all_vnodes=1  # Apply on all Vnodes
vm.cs_enforcement=1 # Globally apply code signing enforcement

注重:此项变动须要禁用体系完整性珍爱,在加固后请手动启用。在新装置的体系上,sysctl.conf能够不存在,治理员能够建立该文件并从新启动体系。

4.5 禁用元数据文件建立(重要)

发起制止在macOS在长途卷(比方:收集存储、USB存储)上建立临时文件。下面的敕令能够阻挠此类行动:

defaults write com.apple.desktopservices DSDontWriteNetworkStores -bool true
defaults write com.apple.desktopservices DSDontWriteUSBStores -bool true

4.6 禁用生存到iCloud(重要)

以下敕令能够阻挠macOS将文件直接生存到任何iCloud效劳器:

sudo defaults write NSGlobalDomain NSDocumentSaveNewDocumentsToCloud -bool false

4.7 禁用诊断(重要)

要制止向Apple或App Developers发送数据,请禁用以下内容:

在“体系偏好设置”中,挑选“平安和隐私”,挑选“隐私”(Privacy),挑选“诊断和运用”(Diagnostics & Usage)。作废选中“向Apple发送诊断和运用数据”(Send diagnostic & usage data to Apple),作废选中“与运用开发者同享瓦解数据”(Share crash data with app developers)。

4.8 禁用Handoff(重要)

Apple Handoff是一项连结事情区同步的功用,但该功用须要向Apple发送数据,发起禁用这一功用。

在“体系首选项”(System Preferences)中,挑选“通例”(General),作废选中“许可在此Mac和iCloud装备之间切换”(Allow Handoff between this Mac and your iCloud devices),并将“近来项目”设置为“无”(None)。

4.9 FileVault(重要)

发起启动FileVault,以在装备上启用完整磁盘加密。该功用应当已默许启用。然则,在装置macOS以后再翻开FileVault会越发平安,由于此时的伪随机数天生器会具有越发随机的种子。

点击“体系偏好设置” – “平安和隐私” – “FileVault”,挑选“启用FileVault”。

*可选设置:

若是要在休眠时,从内存中删除加密密钥,并从内存中断电,能够运用以下敕令:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

注重:这项操纵能够会对用户体验产生影响,由于必需要在每次合盖/开盖后解密磁盘。因而,启动历程最多能够须要10秒钟时候。我们发起对平安性请求较高的盘算机设置此选项,其首选设置以下:

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

sudo pmset -a powernap 0
sudo pmset -a standby 0
sudo pmset -a standbydelay 0
sudo pmset -a autopoweroff 0

4.10 防火墙(重要)

发起启用具有完整功用的防火墙,并阻挠一切传入流量。

点击“体系偏好设置” – “平安和隐私” – “防火墙”,点击“翻开防火墙”(Turn on Firewall)。挑选“防火墙选项”(Firewall Options),设置“阻挠一切传入衔接”(Block All Incoming Connections),设置“启用隐身形式”(Enable Stealth Mode)。

4.11 须要治理员暗码(重要)

发起一直请求在考证治理员暗码后能力接见体系设置。

4.12 屏幕珍爱顺序和解锁(重要)

发起在不运动时,自动锁定屏幕。

点击“体系偏好设置” – “桌面和屏幕珍爱顺序”(Desktop & Screensaver) – “屏幕珍爱顺序”(Screensaver)。依据须要调解时候局限,我们发起将其设置为5分钟。

点击“体系偏好设置” – “平安和隐私” – “通例”,设置“就寝或屏幕珍爱顺序最先后马上须要暗码”(Require password immediately after sleep or screen saver begins)。

4.13 文件扩展名(重要)

要一直控制用户正在处置惩罚的文件范例,发起开启显现文件扩展名。

翻开“访达”(Finder),挑选“设置”(Settings) – “高等”(Advanced),挑选“显现一切文件扩展名”(Show all filename extensions)。

4.14 阻挠Safari翻开已知范例文件(重要)

若是用户运用Safari作为重要的浏览器,发起阻挠Safari鄙人载文件后翻开已知文件范例的文件。

翻开Safari,挑选“首选项”(Preferences),挑选“通例”(General),作废“下载后翻开平安文件”(Open safe files after downloading)。

4.15 设置严厉的全局Umask(可选)

严厉限定全局Umask默许运用用户未来建立的任何文件或目次的权限。我们能够运用以下敕令来调解全局Umask:

sudo launchctl config system umask 027

注重:这能够会破坏依赖于较少限定的umask的其他软件装置。

4.16 禁用长途Apple事宜(重要)

发起禁用长途Apple事宜效劳(默许禁用)。该效劳可用于经由历程收集对另外一台Mac上的软件实行操纵。因而,它应当一直被禁用。下面的敕令能够搜检是不是启用了长途Apple事宜:

sudo systemsetup –getremoteappleevents

应确保输出为:

Remote Apple Events: Off

若是启用,那末能够运用以下敕令来禁用:

sudo systemsetup -setremoteappleevents off

五、特定设置装备摆设

5.1 禁用蓝牙(可选)

由于此前存在一些针对蓝牙配对和身份检测的进击要领,因而发起在不须要运用蓝牙时禁用蓝牙。

点击“体系偏好设置” – “蓝牙”(Bluetooth),挑选“停用蓝牙”(Deactivate Bluetooth)。

注重:作废激活蓝牙,将会断开蓝牙键盘、蓝牙鼠标或蓝牙耳机等外接装备。

5.2 固件暗码(重要)

要防备单用户形式(Single User Mode)和可指导装备,发起设置充足庞杂的固件暗码。

在Mac启动时,按下Command + R,将Mac启动到规复形式(Recovery Mode)。挑选“实用顺序”(Utilities) – “固件暗码实用顺序”(Firmware Password Utility),然后设置一个充足庞杂的暗码。

注重:遗忘此暗码,能够会致使Mac完整不可用,并阻挠盘算机起动因而,存储该暗码的暗码治理器是一个有用的解决方案。另外,不管MacBook的现实键盘结构怎样,当实验接见固件平安组件时,将一直映照英语的默许设置。

5.3 Setuid和Setgid(可选)

转变二进制文件的Setuid位,是对照重要的一个设置。这能够会影响这些二进制文件的功用,但治理员一直能够打消这些步调。运用以下敕令,能够猎取一切SUID二进制文件的列表:

sudo find / -perm -04000 -ls
sudo find / -perm -02000 –ls

在这里,过滤掉我们认为“代码质量较差”或一般不信任的运用顺序(比方:鼠标外接装备驱动顺序)。以下敕令能够作废设置文件和目次的形貌权限:

chmod u-s #file
chmod g-s #file

5.4 禁用中心转储(重要)

要限定内核信息泄漏,请禁用中心转储功用。能够编纂/etc/sysctl.conf中的以下行:

kern.coredump=0

注重:此项变动须要禁用体系完整性珍爱,在加固后请手动启用。在新装置的体系上,sysctl.conf能够不存在,治理员能够建立该文件并从新启动体系。

由于Kerneldumps能够资助举行调试,因而能够临时启用:

sudo sysctl -w kern.coredump=1

5.5 禁用USB/蓝牙和其他大容量存储装备(可选)

在某些状况下,须要禁用将任何大容量存储插进去体系。这一点能够经由历程删除KEXT驱动顺序或运用企业级MDM对象来完成。

要完整禁用USB大容量存储装备,能够删除/System/Library/Extensions中的KEXT驱动顺序IOUSBMassStorageClass.kext(必需禁用SIP)。也能够经由历程删除前面所提到的文件夹中的IOBlueToothFamily来完整禁用蓝牙。删除KEXT驱动顺序后,须要在目次上实行以下敕令,以重修kernelcache:

touch /System/Library/Extensions

注重:由于没法插进去大容量存储装备,能够会影响MacBook的可用性。然则,USB键盘依然有用。

另外,一些商业软件 能够实行相似的端口阻挠,但我们还没有对其举行过任何测试。

六、收集和通讯平安

6.1 高等防火墙(可选)

发起治理员越发正确地监控运用了就溜。软件防火墙能够为分歧地位和分歧收集天生本身的划定规矩集。我们引荐一个更高等的防火墙,比方“Little Snitch”、“Radio Silence”和“Handoff”,这些都是完整成熟的当地防火墙(收费)。若是治理员愿望运用免费的防火墙,能够检察精简版的“Murus”。

· https://www.obdev.at/products/littlesnitch/index-de.html

· https://www.oneperiodic.com/products/handsoff/

· https://radiosilenceapp.com/

· http://www.murusfirewall.com/

6.2 禁用LAN叫醒(重要)

挑选“体系偏好设置” – “节能”(Energy Saver),作废“收集接见叫醒”(Wake for network access)。

6.3 禁用Apple文件协定AFP(重要)

这一协定相当于SMB协定,在macOS 10.11上默许被禁用。治理员能够在以下地位举行考证:

挑选“体系偏好设置” – “同享”(Sharing),挑选“文件同享”(File Sharing) – “选项”(Options),作废设置“运用AFP同享文件和文件夹”(Share Files and folders using AFP)。

注重:也能够经由历程敕令行完成禁用:

sudo launchctl unload -w /System/Library/LaunchAgents/AppleFileServer.plist

6.4 禁用不必要的效劳(可选)

治理员能够运用以下敕令,禁用不必要的效劳:

sudo launchctl unload -w /System/Library/LaunchAgents/<Service

注重:这能够会破坏体系的原有功用。要从新加载这些效劳,只需将上述敕令中的“unload”替换为“load”。

我们在本文的末了,增补了一个多是不必要效劳的清单。

更多效劳(Plistfiles)能够在以下目次中找到:

/System/Library/LaunchDaemons
/System/Library/LaunchAgents
/Library/LaunchDaemons
/Library/LaunchAgents
/Users//Library/LaunchDaemons
/Users//Library/LaunchAgents

6.5 禁用同享(重要)

默许状况下,会禁用同享。治理员能够在这里举行考证:

点击“体系偏好设置” – “同享”,作废个中一切不须要的选项。

6.6 经由历程NTP启用收集时候同步(重要)

体系时钟关于日记文件来讲非常重要。要确保时钟一直正确,而且未被破坏,能够运用以下敕令:

sudo systemsetup -setnetworktimeserver "time.euro.apple.com"
sudo systemsetup -setusingnetworktime on
echo "restrict default ignore" >> /etc/ntp.conf

七、隐私

7.1 盘算机名/主机名(重要)

发起平布主机称号,由于个中包罗用户名和以后操纵体系信息(MacBook → Mac OS)。因而,能够运用以下敕令来变动经由历程收集显现的称号:

sudo scutil --set ComputerName ExampleName
sudo scutil --set LocalHostName ExampleName

7.2 限定告白追踪(重要)

要限定装备的追踪,请禁用以下内容:

点击“体系偏好设置” – “平安和隐私” – “隐私” – “告白”(Advertising),选中“限定告白追踪”(Limit Ad Tracking)。

7.3 追踪效劳(重要)

发起禁用追踪效劳。若是用户决议运用追踪效劳,则能够仅禁用Spotlight发起。

点击“体系偏好设置” – “平安和隐私” – “隐私” – “地位效劳”(Location Services),挑选“体系效劳”(System Services) – 详细信息(Details),作废选中“Spotlight发起”(Spotlight Suggestions)。

附录:发起禁用的效劳清单

下面列出了效劳文件和发起禁用的响应功用。若是没有特别须要,不发起启用下面的效劳。

com.apple.AppleFileServer.plist  AFP
ftp.plist  FTP
org.apache.httpd.plist  HTTP Server
epcc.plist       Remote Apple Events
com.apple.xgridagentd.plist       Xgrid
com.apple.xgridcontrollerd.plist        Xgrid
com.apple.InternetSharing.plist  Iternet Sharing
com.apple.dashboard.advisory.fetch.plist  Dashboard Auto-Update
com.apple.UserNotificationCenter.plist     User notifications
com.apple.RemoteDesktop.PrivilegeProxy.plist       ARD
com.apple.RemoteDesktop.plist        ARD
com.apple.IIDCAssistant.plist      iSight
com.apple.blued.plist   Bluetooth
com.apple.RemoteUI.plist   Remote Control
com.apple.gamed.plist        Game Center

申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明macOS Mojave平安加固分析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址