斗破苍穹续集,唐家三少

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

管理員寶典：三招教你獲得或防止對OSX的訪問

任職系統(tǒng)管理員有時可不是份輕松的差事。由于要管理諸多設(shè)備、網(wǎng)絡(luò)和用戶，很容易被搞得精疲力竭，因而不是忽視某個隱藏的設(shè)置，就是將某個配置保護(hù)得過于嚴(yán)格了一點(diǎn)。

十年的湛江網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。成都營銷網(wǎng)站建設(shè)的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整湛江建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“湛江網(wǎng)站設(shè)計”,“湛江網(wǎng)站推廣”以來，每個客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

獲得對OS X的管理員訪問權(quán)

然而，無論走哪個極端，都不可避免地導(dǎo)致出現(xiàn)兩種場景中的一種：一旦鉆了漏洞的空子，未授權(quán)用戶就會被授予更高的權(quán)限;或者環(huán)境實(shí)在太安全了，連IT部門都失去了一度無限制的訪問權(quán)。

具有諷刺意味的是，在我IT職業(yè)生涯的早期階段，我在一路學(xué)習(xí)組策略(Group Policy)或蘋果的服務(wù)器管理員工具(Server Admin Tools)時，數(shù)次碰到過這一幕。而我得到的教訓(xùn)是：想最清楚地知道如何搞定某技術(shù)，一定要明白如何破解該技術(shù)。

本文介紹的三種方法不僅可以用來重新獲得對管理員帳戶的訪問權(quán)，同時還能了解如何防止別人企圖也這么做。

1. 恢復(fù)分區(qū)

它是如何發(fā)生的?

這個過程非常簡單。從斷電狀態(tài)，開啟Mac電源，按住蘋果編鐘前面的[Option]鍵。一直按住此鍵，直到Startup Manager(啟動管理器)裝入。下一步，選擇Recovery Partition(恢復(fù)分區(qū))。啟動進(jìn)入到恢復(fù)分區(qū)后，依次選擇Utilities(實(shí)用工具)| Terminal(終端)。輸入命令“resetpassword”(注意沒有雙引號)，按回車鍵，即可調(diào)出密碼重置實(shí)用工具。之后，選擇含有你想重置的某個帳戶的那只驅(qū)動器，從下拉式菜單中選擇一個用戶。為該帳戶指定一個新密碼，確認(rèn)密碼，然后點(diǎn)擊Save(保存)按鈕。重啟電腦，一旦裝入OS X，只要輸入帳戶名稱和剛重置的密碼，即可獲得管理訪問權(quán)。

誰能執(zhí)行這項(xiàng)操作?

實(shí)際接觸得到節(jié)點(diǎn)的人都能夠執(zhí)行這個重置方法。

如何才能防止這個操作?

幸好，有兩種這樣的方法可以防止這個操作。首先，啟用Firmware Password(固件密碼)，這也可以從恢復(fù)分區(qū)中的Utilities(實(shí)用工具)| Firmware Password Utility(固件密碼實(shí)用工具)來啟用，它會設(shè)置一個EFI引導(dǎo)密碼，防止用戶引導(dǎo)進(jìn)入到除默認(rèn)引導(dǎo)驅(qū)動器之外的任何設(shè)備。

其次，啟用FileVault 2，這是蘋果的全盤加密功能，這可以保護(hù)密碼遠(yuǎn)離與非加密帳戶同樣的密碼重置例程，那是由于FV2處理密碼重置的方式獨(dú)立于操作系統(tǒng)。這意味著，雖然用戶有可能更改管理員帳戶的密碼，但由于身份驗(yàn)證在FV2中處理起來有點(diǎn)不同，用戶將首先需要用之前的密碼(他/她不知道該密碼)來驗(yàn)證身份，驗(yàn)證通過后才能獲得系統(tǒng)訪問權(quán)。#p#

2. 單一用戶模式

它是如何發(fā)生的?

從斷電狀態(tài)引導(dǎo)Mac時，按住蘋果編鐘前面的[Command]+[S]組合鍵，這會導(dǎo)致電腦引導(dǎo)進(jìn)入到單一用戶模式(SUM)。

SUM旨在用作一種工具，幫助IT人員及開發(fā)人員排查影響OS X的問題，尤其是與引導(dǎo)有關(guān)的那些問題。它確實(shí)有另一個優(yōu)點(diǎn)(或者說缺點(diǎn))：以root訪問權(quán)(又叫超級用戶)啟動，這讓命令可以在管理員層面加以執(zhí)行。節(jié)點(diǎn)自動引導(dǎo)進(jìn)入到SUM，不需要登錄信息。

如果運(yùn)行下面的命令，用戶可以重置Apple Setup運(yùn)行時環(huán)境，讓它回到出廠設(shè)置，促使電腦在隨后的重啟過程中再次運(yùn)行這個過程。完成安裝過程還意味著，將創(chuàng)建一個新的管理員帳戶，因而危及系統(tǒng)的安全性。

mount -uw /?

rm /var/db/.AppleSetupDone?

shutdown -h now

誰能執(zhí)行這項(xiàng)操作?

就像恢復(fù)分區(qū)一樣，實(shí)際接觸得到節(jié)點(diǎn)的人都能夠執(zhí)行這個重置方法。

如何才能防止這個操作?

同樣，設(shè)置固件密碼將確保試圖獲得訪問權(quán)的人都必須提供固件密碼，之后才能看到啟動管理器、進(jìn)入SUM。

另外，F(xiàn)ileVault 2允許訪問SUM，但是用戶需要首先通過FV2的登錄窗口驗(yàn)證身份。

3. Apple ID

它是如何發(fā)生的?

從System Preferences(系統(tǒng)選擇項(xiàng))裝入Users & Groups(用戶與用戶組)選擇項(xiàng)面板，將列出某臺電腦中本地存儲的所有帳戶。選擇一個帳戶時，可以勾選標(biāo)為“Allow user to reset password using Apple ID”(允許用戶使用Apple ID重置密碼)的復(fù)選框。

這個選項(xiàng)的目的是，擁有與Apple ID關(guān)聯(lián)的用戶帳戶的任何人在登錄屏幕出現(xiàn)時都能重置密碼，只要輸入其Apple ID，使用該帳戶驗(yàn)證身份。

附帶提一下，雖然可以、而且鼓勵將Apple ID和iCloud 作為獨(dú)立帳戶分開來，可是在許多情況下，它們是同一個帳戶。這增添了另一條攻擊途徑。因?yàn)槿f一Apple ID登錄信息泄密，iCloud帳戶就可以被用來訪問位于iCloud的Find My iPhone應(yīng)用程序，與該帳戶關(guān)聯(lián)的其他設(shè)備就有可能在管理員(或設(shè)備所有人)不知情的情況下被人從設(shè)備列表上遠(yuǎn)程刪除，等到發(fā)覺時，往往為時已晚。

誰能執(zhí)行這項(xiàng)操作?

只有知道允許使用Apple ID重置這個復(fù)選框已啟用的帳戶所需要的ID登錄信息的那些人才能執(zhí)行。不過，危險可能遠(yuǎn)程或本地出現(xiàn);也可以被有權(quán)訪問用Apple ID帳戶注冊的電子郵件帳戶的任何人所執(zhí)行。

如何才能防止這個操作?

明顯的選擇就是不要勾選帳戶的Apple ID密碼重置復(fù)選框。不過，這個選項(xiàng)的用途比負(fù)面因素多得多，而且取決于你的環(huán)境及/或企業(yè)政策。

一種更現(xiàn)實(shí)的方法就是，遵循密碼最佳實(shí)踐，比如選擇至少14個字符的強(qiáng)密碼，鍵與鍵間隔很寬(使用大小寫字母、數(shù)字和字符)。你還應(yīng)該每過45天至90天更改這個密碼，并確保至少在前六次變更中沒有使用同一個密碼。

將與Apple ID關(guān)聯(lián)的電子郵件帳戶與公司或個人帳戶分開來，這也是個好主意。

最后，為Apple ID和iCloud實(shí)施分為兩步的驗(yàn)證也有望阻止企圖繞過限制的大多數(shù)行為。

切記：電腦執(zhí)行某一項(xiàng)任務(wù)的方式不止一種，需要做好調(diào)查工作，以測試系統(tǒng)。這對于加強(qiáng)電腦的安全，并繼續(xù)提高負(fù)責(zé)管理及維護(hù)電腦的人員的安全意識將大有幫助。

對于獲得OS X的訪問權(quán)或阻止訪問權(quán)還有其他什么高招?歡迎留言交流。

英文：Pro tip: Three ways to gain (or prevent) admin access to OS X

文章名稱：管理員寶典：三招教你獲得或防止對OSX的訪問
網(wǎng)站鏈接：http://m.fisionsoft.com.cn/article/dhccddj.html

新聞中心

其他資訊