Algumas regras de segurança para usuários Mac OS X

Caros amigos, a algum tempo venho observando alguns usuários de mac que vem me perguntando sobre algumas dicas sobre segurança quando o assunto é o Mac OS X.

Bom, vou descrever 8 regras básicas sobre segurança.

#1 Regra : Crie um usuário administrador.

Para aqueles que vêem do mundo Unix isso já é uma regra normal mas, para os novatos no mundo Unix isso pode não ser tão lógico e básico como podemos imagina. O princípio por traz dessa regra é que um usuário “normal” não precisa ter todas as permissões possíveis e quando necessário podemos nos tornar o usuário Admin e tomar as medidas necessárias.

Assim, no System Preferences > Accounts > Users : Deixe desmarcado a opção que torna o usuário um administrador.

#2 Regra: System Preferences – Algumas dicas.

O System Prefenreces pode ajudar o usuário a previnir acesso de pessoas não autorizadas a seu computado. Para que isso aconteça de forma automática basta que o usuário habilite algumas opções no System Preferences > Security.

Nesta opção basta deixar marcados as caixas que representam a opção para pedir uma senha quando o cumputador voltar do sleep; a que desabilita o logon automático de um usuário; a que pde senha para desbloquear qualquer sistemas de segurança e sempre usar memória virtual segura.

#3 Regra: Desabilite todos os serviços que você não use.

Isso para o mundo Unix é uma coisa normal mas, pode ser uma coisa pouco feita. No nosso caso vamos novamente usar o System Preferences > Sharing e desabilitamos todos os serviços que não usamos.

#4 Regra: SSH

No uso desta ferramenta muito difundida entre os administradores de redes, podemos observar algumas cautelas quando estão referidas aos usuários do Mac OS X. No arquivo de configuração localizado no diretório /etc/ existe um arquivo chamado sshd_config que deve receber alguma atenção.

Vamos a algumas mudanças: Primeiro devemos muudar o protocolo que será usado para a conexão. O ssh permite que se utilize as duas versões do seu protocolo, ou seja, versão 1 e 2, no entanto devemos deixar somente o protocolo 2 habilitado

#Protocol 1,2

Protocol 2

A porta também pode ser trocada para garantir que somente o usuário conhecedor do serviço acesse o serviço, assim podemos trocá-la para uma porta que nos lembre o serviço mas que não seja próxima.

#Port 22

Port 2200

Configurar que somente usuários permitidos possam acessar o nosso serviço de ssh assim, podemos deixar a configuração da seguinte forma.

AllowUsers rodrigo

Quando trocamos a porta de acesso ao serviço, podemos causar algum problema de acesso e de “levantamento” do serviço então, no arquivo /etc/service devemos trocar a porta do ssh para que represente a nova porta (2200)

#5 Regra: Firewall

O Mac OS X traz por padrão o firewall desabilitado, então cabe ao usuário habilitar esta ferramenta que pode tornar ainda mais segura a sua experiência com o Max OS X.

Mais uma vez, no System Preference escolhemos a a opção sharing e então a opção Firewall e então precione start para iniciar o firewall.

É bom lembrar que o firewall utilizado no Mac OS X é o usuado no FreeBSD entre outros BSDs, o ipfw, maiores informações em um futuro post sobre o ipfw e como auterar esta configuração no Mac OS X.

#6 Regra: O KeyChains

O Mac OS X tem uma das ferramentas mais interessante que sempre uso, o keychains ou chaveiro, é utilizado para guardar muitas informações de forma seguran e criptografadas. Nesta ferramenta é possível armazenar certificados digitais, senhas, notas protegidas por senhas e até senhas para acesso automático a sites.

Dentro da pasta de Applicativos esta o programa que pode ser acessado com facilidade quando colocado no Dock. Esperiment!!!¡¡¡¡¡

#7 Regra: Crie senhas seguranças.

No próprio Keychains existe uma ferramenta para criar senhas de uma forma mais segura. Esta ferramenta pode criar automaticamente a senha ou mostrar o nível de segurança de sua senha.

#8 Regra: Mantenha o controle físico.

Sempre esteja atento para onde você deixa o seu equipamento. Claro que mesmo com todos estes cuidados nada adianta se levarem o seu equipamento. Para isso depois vou postar uma solução para quem tem a possibilidade de ter acesso a um web e que possa buscar por um assunto específico, assim podemos criar um script para que execute uma tarefa se este arquivo form encontrado. Facilitando assim a busca pelo equipamento ou que delete suas informações.

Bom, não devemos tomar como finais estas regras mostradas aqui mas, sempre que possível vamos colocar outras dicas.

Advertisements

5 thoughts on “Algumas regras de segurança para usuários Mac OS X

  1. Nocyvo says:

    opa blz?
    seria uma espécie d troca de banner ou links…
    possívelmente de informações comuns também
    qlq idéia que tiver pode ser analisada tmb

    vlw

  2. Yuri Ribeiro Sucupira says:

    Bacanas as suas dicas, principalmente porque elas continuam valendo, mesmo depois de mais de 2 anos, rs.

    Pelo que pude perceber no Mac OS X Snow Leopard, a única coisa que mudou mesmo (entre os itens que você enumerou) é que o arquivo de configuração do SSH agora vem com apenas o “protocol 2” habilitado, por padrão. Mas de resto continuamos tendo que fazer as mesmas modificações (ativar o firewall, desabilitar o login automático etc.).

  3. Fernandes Macedo says:

    Olá Rodrigo..quanto ao script do ultimo item acima…vc poderia ajudar numa ideia…como por exemplo caso o alguem tenta adivinhar a senha, e com um numero de certas tentativas apagar todos os perfis que existe em Unix..

    • Rodrigo Rocha says:

      Fernando,
      Não sei como fazer do jeito que você falou mas, já vi um post de um cara, não lembro o endereço, onde ele colocou no servidor da casa dele um arquivo chamado apagar.txt e fez um script em bash mesmo e colocou no cron, depois agendou a tarefa a ser feita em um determinado período. Desta forma o script checava a presença do arquivo no servidor através da Internet, se ele encontrasse o arquivo ele “formatava” a pasta home do user.
      Eu cheguei a fazer um parecido, esse apaguei, que me enviava o endereço IP da máquina quando se conectava. É tranquilo de fazer e tem muita informação na web. Fora isso, já tem alguns app que monitoram isso e enviam o IP e a imagem do larápio.

  4. Hamilton Moss de Souza says:

    Não é uma dica ou uma dúvida, mas acho que é um assunto de interesse de usuários do MAC. Trata-se de caso de incompatibilidade de interesse público: o do site Smiles da Gol – Varig. Eles recentemente obrigam que o acesso ao site para emissão de passagens seja feito pelo Microsoft Explorer. Excluíram, portanto, milhares de usuários de MAC. Abaixo um trecho da resposta da Gol – Varig, confirmando este abuso:

    “Em atenção à Manifestação acima, informamos que após a reformulação do site Smiles efetuada entre os dias 02/12/2010 e 06/12/2010, o acesso ao ambiente identificado (logado) e as solicitações em sua conta só são possíveis através do navegador Internet Explorer, por somente este atender as necessidades operacionais da Gol –Varig S.A. Outros navegadores populares como Mozilla Firefox e Google Chrome e aplicativos de I-phone como Opera e Safári apresentam conflito no acesso ao nosso banco de dados”

    Eles acham muito natural que isto seja assim e disseram que não tem obrigação de oferecer acesso a todos os navegadores. No site da Gol, entretanto, que vende passagens, todos os navegares são aceitos. Pelo jeito eles consideram favor a emissão de passagens aos usuários do Smiles que são proprietários de MAC. Estou em contato com a ANAC e com o PROCON para reverter este abuso. Coloco aqui este aviso para que outros consumidores que porventura se encontrem nesta situação possam também se motivar a tomar suas providências.

    Hamilton Moss de Souza
    mosshs@hotmail.com

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s