Повышаем безопасность и конфиденциальность данных в компьютерах Mac и системе macOS
[ Материал не закончен и постоянно обновляется ]
Сборник советов по обеспечению безопасности современных компьютеров Mac от Apple на базе операционной системы macOS (ранее OS X) 10.12 "Sierra". А также шаги по повышению конфиденциальности в интернете.
Этот гид предназначен для опытных пользователей, желающих следовать корпоративным стандартам безопасности. Но данное руководство подходит и для начинающих пользователей заинтересованных в улучшении их конфиденциальности и безопасности при работе на Mac.
Система будет безопасна настолько, насколько ее администраторы способны это сделать. И это не какая-то единственная техноголия, программное обеспечение или особенная техника, которая гарантирует превосходную безопасность компьютера. Современный компьютер и операционная система очень сложны и требуют многочисленных последовательных шагов для значительного улучшения безопасности и конфиденциальности.
Автор не несет ответственности если какой-то из пунктов приведет к выходу из строя вашего Mac.
Прим. переводчика: но если у вас возникли проблемы с вашим компьютером, то мы сможем помочь :-)
Если у вас есть замечание или улучшение одного из пунктов руководства, то напишите об этом в комментарии.
Содержание
- Основные рекомендации
- Установка пароля прошивки
- Подготовка и установка macOS
- Проверка целостности установки
- Виртуализация
- Первый запуск
- Администратор и базовый аккаунты пользователя
- Полное шифрование диска
- Брэндмауэр (Firewall)
- Брэндмауэр на уровне приложений
- Брендмауэр для тертьего лица
- Фильтрация пакетов на уровне ядра
- Службы
- Советы по Spotlight
- Homebrew (менеджер недостающих пакетов для macOS)
- DNS
- hosts-файл
- Dnsmasq
- тест проверки DNSSEC
- DNSCrypt
- Captive portal
- Сертификация ключей
- OpenSSL
- Curl
- Web
- Privoxy
- Браузер
- Google Chrome
- Firefox
- Safari
- Браузеры и конфиденциальность
- Плагины
- PGP/GPG
- OTR
- Tor
- VPN
- Вирусы и вредоносные программы
- Система защиты целостности
- Gatekeeper и XProtect
- Пароли
- Резервные копии
- WI-FI
- SSH
- Физический доступ
- Мониторинг системы
- OpenBSM аудит
- DTrace
- Исполнение
- Сеть
- Белые бинарные списки
- Разное
- Взаимосвязанное програмное обеспечение
- Дополнительные ресурсы
Основные рекомендации
- Определите источник угроз
- Что пытаетесь защитить и от кого? Ваш неприятель именуется из трех букв (если так, то можете рассмотреть использование OpenBSD), является сторонним сетевым наблюдателем или представляет постоянную угрозу для вас?
- Изучайте, распознавайте угрозы, а также уменьшайте количество уязвимых мест для них.
- Установите новейшие обновления
- Установите новейшие обновления для операционной системы и программного обеспечения
- Обновление
macOS
могут быть установлены через приложение AppStore. Можно установить обновления через командную строку - введите командуsoftwareupdate
. В обоих случаях создавать аккаунт не требуется. - Подпишитесь на рассылку новостей от программного обеспечения, которое часто используете. Например, Apple security-announce.
- Зашифруйте конфиденциальный данные
- В дополнению к общему шифрованию данных на диске, создайте один или несколько зашифрованных контейнеров для хранения ключей, паролей, документов и других данных. Это позволит снизить ущерб в случае компрометации данных или их утечки.
- Периодически делайте резервные копии системы
- Регулярно создавайте резервные копии данных и будьте готовы восстановить систему после компрометации данных.
- Всегда шифруйте резервные копии перед копированием их на носитель или облачный сервис.
- Проверяйте работоспособность резервных копий. Например, через доступ к некоторым файлам.
- Не запускайте сомнительные программы
- В конце концов, безопасность системы может быть снижена его администратором.
- Устанавливайте новое и незнакомое программное обеспечение с осторожностью. Это относится также к бесплатным и "open-source" программам.
Прошивка
Установка пароля прошивки (пароль EFI) предотвращает загрузку вашего Mac с любого другого устройства кроме загрузочного диска. Он также может быть необходим при каждом запуске.
Этот пороль будет полезен если ваш компьютер потерян или украден и для защиты против непосредственного доступа к памяти (DIrect Memory Access), который может прочитать ваш пароль FileVault и ввести изменения в ядро модулей, таких как pcileech. Единственный способ сбросить пароль прошивки через Apple Store или с помощью SPI-программатора, таких как Bus Pirate или другой IC-флэш программатор.
- Запустите компьютер удерживая
Command + R
для входа в режим восстановления (Recovery Mode) - Когда появится окно восстановления, выбираем Firmware Password Utility из меню Utilities.
- В окне Firmware Utility выбираем пункт Turn On Firmware Password.
- Вводим пароль. Затем вводим пароль повторно, подтверждая его.
- Выбираем Set Password.
- Выбираем Quit Firmware Utility, чтобы закрыть Firmware Password Utility.
- Переходим в меню Apple и выбираем Restart or Shutdown.
Пароль прошивки активируется при следующем запуске. Для подтверждения пароля, удерживайте Alt
во время запуска - вам будет предложено ввести пароль.
Управлять паролем прошивки можно через утилиту firmwarepasswd
из загруженной операционной системы. Например, для запроса прошивки при попытке загрузиться с другого устройства:
$ sudo firmwarepasswd -setpasswd -setmode command
Введите пароль и перезапустите Mac.
Использование Dediprog SF600 для удаления пароля прошивки. Смотри HT204455, LongSoft/UEFITool и chipsec/chipsec для дополнительной информации.
Подготовка и установка macOS
Есть несколько способов установить систему macOS.
Самый простой способ запустить MacBook в режиме восстановления (Recovery Mode). Для этого необходимо после включения компьютера удерживать кнопки Command + R
. Образ системы может быть загружен и использован непосредственно от Apple. Однако данный метод открывает доступ к серийному номеру и другой идентификационной информацию передаваемой по сети в виде обычого текста, которую может быть нежелательно открывать по соображениям безопасности.
Альтернативный вариант установки macOS это предвариетльное скачивание системы из App Store или другого источника и создание образа инсталируемой системы.
Проверка целостности установки
Приложение для установки macOS имеет кодовую подпись, которая должна быть подтверждена, чтобы убедиться в подлинности копии. Для этого можно использовать команды pkgutil --check-signature
или codesign -dvv
.
Ниже представлены два примера проверки кодовой подписи и целостности установочного пакета macOS :
$ pkgutil --check-signature /Applications/Install\ macOS\ Sierra.app Package "Install macOS Sierra.app": Status: signed by a certificate trusted by Mac OS X Certificate Chain: 1. Apple Mac OS Application Signing SHA1 fingerprint: B9 3B DA AA F1 A8 84 6B 34 BA 32 33 26 35 CB 2B 84 85 3D A8 ----------------------------------------------------------------------------- 2. Apple Worldwide Developer Relations Certification Authority SHA1 fingerprint: FF 67 97 79 3A 3C D7 98 DC 5B 2A BE F5 6F 73 ED C9 F8 3A 64 ----------------------------------------------------------------------------- 3. Apple Root CA SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60
Также можно использовать команду codesign
для проверки кодовой подписи приложения:
$ codesign -dvv /Applications/Install\ macOS\ Sierra.app Executable=/Applications/Install macOS Sierra.app/Contents/MacOS/InstallAssistant Identifier=com.apple.InstallAssistant.Sierra Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20200 size=297 flags=0x200(kill) hashes=5+5 location=embedded Signature size=4167 Authority=Apple Mac OS Application Signing Authority=Apple Worldwide Developer Relations Certification Authority Authority=Apple Root CA Info.plist entries=30 TeamIdentifier=K36BKF7T3D Sealed Resources version=2 rules=7 files=137 Internal requirements count=1 size=124
Источник macOS-Security-and-Privacy-Guide переведен сотрудниками macMachine