Základy zabezpečení Mac OS X - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Seriály

Více seriálů



Software

Základy zabezpečení Mac OS X

9. května 2006, 00.00 | Mac OS X nabízí řadu bezpečnostních služeb a úrovní – patří sem jak šifrování e-mailových zpráv, tak i firewall; patří sem technologie File Vault a další. Na mnoho těchto služeb se v našem seriálu postupně podíváme podrobněji; dnes se soustředíme na tu nejzákladnější ochranu, již Mac OS X nabízí svým uživatelům: autentifikaci pomocí hesla, identifikaci uživatelů, a jejich autorizaci pro přístup k datům a spouštění programů.

Mac OS X nabízí řadu bezpečnostních služeb a úrovní – patří sem jak šifrování e-mailových zpráv prostřednictvím standardu S/MIME, tak i firewall, který chrání náš počítač před útoky prostřednictvím Internetu; patří sem technologie File Vault i protokol pro síťovou autentifikaci Kerberos.

Na mnoho těchto služeb se v našem seriálu postupně podíváme podrobněji; dnes se soustředíme na tu nejzákladnější ochranu, již Mac OS X nabízí svým uživatelům: autentifikaci pomocí hesla, identifikaci uživatelů, a jejich autorizaci pro přístup k datům a spouštění programů.

Aut... cože?

Pojmy autentifikace a autorizace se nezřídka používají jako synonyma, ba mnohdy ve zcela nesmyslných významech; neuškodí proto začít tím, že si podrobněji vysvětlíme, co vlastně který z nich znamená:

  • autentifikace je proces, v němž operačnímu systému (či obecně tomu, s kým komunikujeme) nějak prokážeme, že opravdu jsme ten, za koho se vydáváme. V případě operačních systémů je naším "průkazem" obvykle znalost hesla: ten, kdo zná uživatelské heslo, je pro systém autentickým uživatelem;
  • identifikace je "interní" záležitost: systém uživatele, který se úspěšně přihlásil (autentifikoval), nějakým způsobem označí (identifikuje), aby při dalších operacích věděl, o koho jde a aby uživatel nemusel znovu procházet autentifikací. Pro operační systém Mac OS X je takovou identifikací uživatelské číslo, ale to celkem vzato nepotřebujeme vědět, neboť v GUI (i v Terminálu) se na jeho místě zobrazuje vždy jméno;
  • konečně, ověření, zda je ta která operace přípustná, se říká autorizace: pro každou konkrétní operaci a každého konkrétního uživatele (na základě jeho čísla) systém ověří, zda uživatel má právo tuto akci vyvolat – uživatele k dané operaci autorizuje (nebo také ne).

V běžném životě je nejobvyklejším způsobem autentifikace osobní znalost, nebo ukázání nějakého průkazu: přijedeme-li do hotelu, kde máme reservovaný pokoj, buď nás tam znají, nebo jim ukážeme pas: autentifikace. Oni nám dají klíč (identifikace), a pomocí tohoto klíče se pak některé dveře dají a jiné nedají otevřít (autorizace).

Autentifikace v Mac OS X

Standardním způsobem autentifikace v Mac OS X je, jak jsme se už zmínili, heslo: znalost hesla je považována za dostatečnou autentifikaci uživatele. Tento systém je společný víceméně všem víceuživatelským systémům; Mac OS X jej zdědil z NeXTStepu, jenž sám jej získal z unixu.

Za běžných okolností se patrně s jiným způsobem autentifikace nesetkáme; stojí však za zmínku to, že Mac OS X standardně podporuje autentifikaci pomocí čipových karet, a také snad to, že pro autentifikaci užívá samostatný modul, který není součástí těch aplikací, jež autentifikaci potřebují (např. Finder, nebo třeba System Preferences pro přístup k "administrátorským" panelům). To přináší dvě výhody: především, nelze tento kód snadno napadnout (např. virus se k němu při rozumné konfiguraci systému vůbec nijak nedostane), a kromě toho jakékoli rozšíření autentifikačního systému je automaticky ihned k dispozici všude: pokud např. přidáme do systému doplněk, umožňující přihlášení pomocí otisku prstu, bude automaticky možné používat téhož systému pro autentifikaci ve Finderu i v System Preferences (i kdekoli jinde).

Vhodná a nevhodná hesla

Poměrně často se lze setkat s tím, že uživatelé se cítí bezpečni díky silnému systému ochrany (který prakticky nelze zlomit – bez znalosti hesla v podstatě není možné se k Mac OS X přihlásit (nemáme-li ovšem k počítači fyzický přístup; k tomu vizte následující odstavec).

Zapomínají však na "lidský faktor": pokud se někomu podaří uhádnout naše heslo, má ihned neomezený přístup ke všem našim datům (ve standardní konfiguraci včetně těch, jež jsou uložena v KeyChainu – jak toto risiko omezit si ukážeme v dalších dílech našeho seriálu, až se budeme KeyChainem zabývat podrobněji). Pokud tedy kupříkladu mám uživatelské konto "user" s heslem "user", může Mac OS X nabízet sebebezpečnější systém a sebespolehlivější ochranu, stejně budou má data chráněna asi tak stejně, jako kdybych používal windoze...

Je proto třeba dbát na to, abychom užívali kvalitních a špatně uhádnutelných hesel. Existuje mnoho nejrůznějších rad jak na to, abychom sami heslo nezapomněli, ale aby jej hacker neuhádl; to již značně přesahuje záběr tohoto seriálu, avšak zmíníme se alespoň o jedné z nejjednodušších, ale přitom poměrně efektivních technik: nevymýšlejte heslo, vymyslete vhodnou větu, jež vedle slov obsahuje také čísla (ideálně i zřejmou interpunkci). Tu si zapamatujte, a heslo odvoďte z ní. Taková věta by mohla být třeba "Bylo nás tam roku onoho 12 vlků, starých lodníků"; zvolíme-li třeba jen ten docela nejběžnější a nejjednodušší postup "všechna první písmena", ať si hacker hádá heslo "Bntro1v,sl"!

Překvapivě málokdo ví, že Mac OS X je standardně vybaven službou, jež do jisté míry dokáže vyhodnocovat kvalitu hesel, a dokáže také náhodně hesla generovat – to se může hodit, když si opravdu sami nevíme rady. Nejde bohužel o samostatnou aplikaci, takže není tak snadné se k ní dostat; kdykoli však vkládáme heslo např. při změně uživatelského konta, máme vpravo vedle políčka pro nové heslo k dispozici tlačítko, jímž ji lze přímo na místě vyvolat:

její použití pak již je jednoduché – můžeme si ověřit, že naše výše vymyšlené heslo považuje za docela slušné (pro nevhodná hesla se "kvalita" barví do červena :))

Pozor na fyzický přístup k počítači

Ačkoli jistě nemáme na monitoru nálepku s heslem, zvláště pak se s heslem administrátora (že ne? :)), je třeba mít na paměti, že pokud má někdo fysický přístup k našemu počítači, zabezpečení heslem je v zásadě... na nic. Tedy, samozřejmě, je skvělé jako ochrana proti tomu, aby šéf, když jde zrovna kolem, nemohl nakouknout do složky "práce" a zjistit, že v ní máme pouze tři hry stažené z Inetu, nebo aby si na domácím počítači manželka náhodou nepřečetla e-maily od milenky, či aby se nám synek jen tak mimochodem nehrabal v archivech pornografických fotografií; v takovýchto případech heslo slouží dobře.

Pokud se však k našemu počítači dostane někdo se skutečně zlými úmysly, je ochrana heslem málo platná: počítač lze restartovat do single-user režimu, v němž je v zásadě přístupné cokoli. V extrémním případě lze počítač otevřít, pevný disk vyndat, a jeho obsah přečíst jinde...

Proti tomu, kdo má (nebo může získat) fysický přístup k počítači, tedy existuje jediná ochrana – táž jako proti případnému zlovolnému administrátorovi: šifrování. Jakákoli skutečně důvěrná či citlivá data by měla být vždy, vždy, vždy zašifrovaná – s použitím kvalitního hesla a dobrého šifrovacího algoritmu (tedy nikoli v zašifrovaném archivu ZIP). Také si samozřejmě později ukážeme jak na to :)

Příště...

... si řekneme něco málo více o identifikaci, a dosti podrobně se podíváme na to, jak Mac OS X autorizuje naše pokusy o různé akce.

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Tipy a Triky  

 » Rubriky  » Software  

Diskuse k článku

 

Vložit nový příspěvek   Sbalit příspěvky

 

cestina

Autor: tomas Muž

Založeno: 09.05.2006, 02:31
Odpovědí: 0

fajn clanek, ale ta cestina je dost zla
nicmene se tesim na dalsi dily, uz ted jsem si po roce zase zmenil heslo a to za to stoji :)

Odpovědět na příspěvek

RE: cestina

Autor: nm Muž

Založeno: 09.05.2006, 08:53

Najde se tam sice nějaká přebývající čárka před slučovací spojkou nebo, ale ve srovnání s běžným standardem tohoto serveru je to článek jazykově i pravopisně skvělý, jak je ostatně u autora zvykem.

Odpovědět na příspěvek

RE: RE: cestina

Autor: Roman Šula Muž

Založeno: 09.05.2006, 08:58

Jsme server o češtině nebo o počítačích? Na jedničku umí česky snad jenom bůh, existuje-li, na dvojku ředitel školy, na trojku učitel češtiny, na čtyřku nejlepší žák...

Odpovědět na příspěvek

RE: RE: RE: cestina

Autor: Pepa Muž

Založeno: 09.05.2006, 14:17

Tak z této mentality jsme už doufám vyrostli, ne?

Odpovědět na příspěvek

RE: cestina

Autor: jf Muž

Založeno: 09.05.2006, 09:05

...inu, možná se čtenářstvu ta čeština nelíbí, protože je správná (sic občas dle starších pravidel, ale ty platí souběžně) -- to se dnes prakticky nevidí a tak jsou z toho "nervní" ... :-))

Odpovědět na příspěvek

RE: RE: cestina

Autor: Pepa Muž

Založeno: 09.05.2006, 11:21

Protože se nejedná o krásnou literaturu, ale o odborný článek, tak se předpokládá, že to bude pochopitelné, bez přemýšlení nad významy jednotlivých slov a větných konstrukcí.

Na důsledné používání archaického pravopisu (např. "reservovaný") si ale člověk u OČ musí zvyknout.

Odpovědět na příspěvek

RE: RE: RE: cestina

Autor: jf Muž

Založeno: 09.05.2006, 13:00

...odborný nemusí být automaticky nesrozumitelný... i když by to jistě řadě lidí vyhovovalo...

Odpovědět na příspěvek

RE: RE: RE: cestina

Autor: muffin Muž

Založeno: 09.05.2006, 16:43

To je tim, ze Ondrejova pracuje v museu a nema kozy ale kosy. ;-)

Odpovědět na příspěvek

RE: cestina

Autor: Glutexo Muž

Založeno: 30.10.2006, 19:07

reservovaný
risiko
zvl
áště pak se s heslem administrátora
fysický

---
A ještě něco dalšího, co už jsem znovu neobjevil... Hrůza.

Odpovědět na příspěvek

Rada

Autor: Michal Muž

Založeno: 09.05.2006, 07:15
Odpovědí: 0

Zdravim jen bych se rad dozvedel, zda-li je zde nekdo kdo by me mohl poradit s nasledujicim:
mala sit MAC OS X 10.3.9 Server a 6 az 8 klientu (uzivatelu) MAC OS X a Win2000 asi pul na pul. Pristup ke spolecnym datum a rad bych sledoval pokud nekdo smaze nebo modifikuje soubor (zapis do logu). Prosim ponekud "polopatictejsi" vyvetleni. Predem diky.

Odpovědět na příspěvek

RE: Rada

Autor: OC Muž

Založeno: 16.05.2006, 11:00

Pokud vím, standardně takováto služba v Mac OS X není na uživatelské úrovni k dispozici (leda programátorsky, vizte níže).

Do jisté míry (!) ji lze simulovat pomocí tzv. Folder Actions (český termín neznám :)) -- podívejte se na to, jaké možnosti Vám nabídne kontextové menu nad složkou ve Finderu.

Stoprocentně a bez jakýchkoli kompromisů lze tuto službu implementovat s využítím knihovny Kauth (Kernel Authorization), již, mimochodem, pro své vlastní účely využívá i Spotlight. Jste-li programátorem, můžete si to napsat sám (stačí vyhledat API pro "Kernel Authorization"). Jinak Vám to milerád zpracuji jako zakázkovou aplikaci, ale nebude to úplně levné: v případě zájmu se ozvěte na ocs@ocs.cz.

Odpovědět na příspěvek

chvalim

Autor: sundevil Muž

Založeno: 09.05.2006, 08:12
Odpovědí: 0

chvalim ta cestina je prece trochu mimo ale autor za to ani tak nemuze jak sefredaktro. davam za 5 jablek

Odpovědět na příspěvek

Aut... cože?

Autor: zoul Muž

Založeno: 09.05.2006, 08:23
Odpovědí: 0

Fakt by se nešlo držet termínu "autentizace"? Je na českém Internetu nejrozšířenější, používá ho většina odborné literatury a (alespoň mně) připadne ze všech tří variant nejlidštější.

Odpovědět na příspěvek

RE: Aut... cože?

Autor: jf Muž

Založeno: 09.05.2006, 08:59

autentizace??? A to je co? Ani spisovné slovo to není...

Jinak výskyt v českém internetu:

autentizace = 156 000

autorizace = 2 040 000

... autentizace ani pořádně nevyslovím... ;-)

Odpovědět na příspěvek

RE: RE: Aut... cože?

Autor: zoul Muž

Založeno: 09.05.2006, 09:05

Autentizace je podle mého názoru nejlepší překlad anglického authentication, tedy ověření identity. Podle googlu vede autentizace (141 tisíc) nad autentifikací (~ 32 tisíc) a autentikací (~ 13 tisíc).

Autorizace je úplně něco jiného, viz text článku.

Odpovědět na příspěvek

RE: RE: RE: Aut... cože?

Autor: jf Muž

Založeno: 09.05.2006, 09:15

Aha, přiznám se, že to slovo je mi tak cizí a připadá mi tak nesmyslné, že jsem ani nepochopil jeho možný význam...

Nechápu, proč v tomto případě hledat náhražku za zcela české a jednoznačně pochopitelné "ověření totožnosti" (u osob) a "ověření pravosti" (u certifikátů) -- ostatně, tak je to všude v českém lokalizovaném systému...

PS: "ověření" vs "autentizace" je 2 210 000 ku 141 000 ;-)

Odpovědět na příspěvek

RE: RE: RE: RE: Aut... cože?

Autor: zoul Muž

Založeno: 09.05.2006, 10:08

Asi je to otázka zvyku. Jednoslovný výraz je praktičtější v různých spojeních, například "autentizační protokol" je (zvlášť ve složitějších větách) skladnější než "protokol pro ověření totožnosti". Představte si třeba "autentizační protokol PAP", co s tím v kombinaci s ověřováním totožnosti? "protokol pro ověření totožnosti PAP" se dá pochopit dvěma způsoby a ani "protokol PAP pro ověření totožnosti" mi příliš nejde z huby.

Odpovědět na příspěvek

RE: RE: RE: RE: RE: Aut... cože?

Autor: jf Muž

Založeno: 09.05.2006, 10:28

...a co třeba "ověřovací protokol PAP" -- nemusí to být nutně vždy dvě slova, v jednoznačných případech lze i takto ... ale opravdu jde jen o zvyk a osobní přístup...

Odpovědět na příspěvek

RE: RE: RE: RE: Aut... cože?

Autor: Pepa Muž

Založeno: 09.05.2006, 11:17

1. Jak může člověk bez alespoň elementárních základů latiny krafat do tvarosloví?

2. To je ale kravina.

Odpovědět na příspěvek

RE: RE: RE: RE: RE: Aut... cože?

Autor: jf Muž

Založeno: 09.05.2006, 13:05

...přímo miluji podobně věcné příspěvky, úplná záplava argumentů a nových podnětů k diskuzi (diskusi :-)... tolika moudra jen ve dvou větách, to musel napsat někdo, kdo nezapře klasické vzdělání...

Odpovědět na příspěvek

RE: RE: RE: RE: RE: RE: Aut... cože?

Autor: Pepa Muž

Založeno: 09.05.2006, 14:16

Ale co mám argumentovat v okamžiku, kdy neumíte pořádně vyslovit "autentizace" přitom je to správně vytvořené podstatné jméno v rámci českého tvarosloví?

Odpovědět na příspěvek

RE: RE: RE: RE: RE: RE: RE: Aut... cože?

Autor: jf Muž

Založeno: 09.05.2006, 17:39

Hmm, a na to jste zase přišel jak? Asi vám uniklo toto: ":-)" -- to celou větu staví do jiného světla, pochopitelně to bylo myšleno nadneseně, jestli rozumíte, respektive, jestli chcete rozumět... i když má slovo správné tvarosloví, neznamená to ještě, že je to jediné správné a v daném kontextu výstižné ČESKÉ slovo... navíc, mícháte jablka s bramborami, takže nerad bych zabředl do nějaké nikam nevedoucí debaty (soudě i dle ostatních příspěvků)...

Odpovědět na příspěvek

Aut... a SvazekKlicu

Autor: ANo Muž

Založeno: 09.05.2006, 12:34
Odpovědí: 0

Ja mam nejradeji overeni totoznosti, pripadne autentizaci, to, ze se v cestine pouzivaji jine koncovky i u cizich slov nez v anglictine, je bezne:

http://interval
.cz/clanky/hrichy-pro-sil
eneho-korektora-autentiza
ce-autentikace-nebo-auten
tifikace/

Jinak KeyChainu se pise zvlast (Key Chain) (a cesky se mu rika Svazek Klicu - kdyz je tam cesky Termin_á_l, ale na tom zas tak nesejde).

Predem se za ty pripominky omlouvam jazykovym liberalum, ale tezko clanku vytykat neco jineho. Skoda jen, ze serial nevychazi tydne.

Odpovědět na příspěvek

RE: Aut... a SvazekKlicu

Autor: OC Muž

Založeno: 16.05.2006, 10:44

Key Chain se píše různě jak to zrovna vyjde, vizte kupříkladu "*Keychain* Access" :)

S těmi českými názvy je to těžké. Já se víceméně snažím užívat anglických, ovšem pokud je český anglickému hodně podobný (Terminal / Terminál), volím českou podobu pro lepší skloňování.

Další problém je rozhodnout, kde je hranice mezi specifickým jménem, jež má smysl uvádět v původním znění (Keychain, Disk Utility) a zcela obecným názvem, pro nějž samozřejmě má smysl pouze česká varianta (složka, soubor).

Samozřejmě, z hlediska co nejobecnější platnosti textu by bylo nejlepší důsledně používat obojí terminologie, jenže to by zase dalo důkladně na zadek splavnosti textu. Nebo psát články důsledně ve dvou variantách, pro ty, kdo užívají anglického systému, a pro ty, kdo užívají českého; to by ovšem musel MujMac jinak platit :)

Obávám se, že optimální řešení neexistuje :(

Odpovědět na příspěvek

Skoda jen, ze serial nevychazi tydne

Autor: OC Muž

Založeno: 16.05.2006, 10:52

(A propos, to se ví, mně by se také líbilo, kdyby seriály vycházely co týden. Ale to je už halt na redakci... mají tam ode mne hotové dva díly seriálu o bezpečnosti, a *devět* dílů seriálu o programování v Cocoa; všechno to už mohlo dáááávno vyjít, leží to tam už dlouho, poslední z těch článků jsem jim posílal asi před třemi týdny... :(( )

Odpovědět na příspěvek

RE: Skoda jen, ze serial nevychazi tydne

Autor: ANo Muž

Založeno: 16.05.2006, 18:43

Za ten Svazek klicu se omlouvam, to jsem zase jednou kecal, misto jedne moznosti, ktera v Mac OS X neni, (KeyChain) jsem nabidl jinou, ktera se tam take nepouziva (Key Chain), spravne je Keychain. V anglictine je to samozrejme key chain nebo keychain.

S temi serialy teda koukam. Ted kdyz to vim, tak mi to nevadi, daji se totiz cist predem (napr. http://www.mujmac.cz/art/
sw/OSXSECURITY_2.html) - a dokonce bez reklamy;).

Odpovědět na příspěvek

Open Firmware

Autor: Tomáš Bláha Muž

Založeno: 15.05.2006, 16:54
Odpovědí: 0

>Pokud se však k našemu počítači dostane někdo se >skutečně zlými úmysly, je ochrana heslem málo >platná: počítač lze restartovat do single-user >režimu, v němž je v zásadě přístupné cokoli.
A co Open Firmware password?

Odpovědět na příspěvek

RE: Open Firmware

Autor: OC Muž

Založeno: 16.05.2006, 10:33

Moc nepomůže, vizte hned následující větu po té, již citujete :)

Odpovědět na příspěvek

Štěstí

Autor: Demeter Muž

Založeno: 21.06.2006, 23:39
Odpovědí: 0

Autor má obrovské štěstí, že nepoužívá windoze, protože by jeho skvělá díla byla v permanentním ohrožení.

Odpovědět na příspěvek

 

 

Vložit nový příspěvek

Jméno:

Pohlaví:

,

E-mail:

Předmět:

Příspěvek:

 

Kontrola:

Do spodního pole opište z obrázku 5 znaků:

Kód pro ověření

 

 

 

 

Nejčtenější články
Nejlépe hodnocené články
Apple kurzy

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: