Partager via


Interopérabilité

Gérer le mot de passe racine sur votre Mac

Chris Stoneff

 

À une vue d'ensemble :

  • Élévation des privilèges sur le Mac
  • Activer le compte de racine
  • Mettre à la commande sudo disposition d'utilisateurs article

La situation de base sur un Macintosh exécutant OS X n'est pas Contrairement à Windows Vista avec contrôle (compte d'utilisateur) toujours activée : vous sont supprimés de vos droits administrateur, le compte racine ou administrateur est désactivé et vous êtes invité à élever les droits lorsque vous effectuez quelque chose qui requiert des privilèges d'administrateur. Dans Windows Vista, vous savez probablement comment faire pour gérer et utiliser votre compte d'administrateur lorsque vous en avez besoin. Mais si vous utilisez pour le Mac, il peut être ne pas être immédiatement évident.

Sur un Mac, pour effectuer des fonctions d'administration (en particulier dans Terminal Server), vous devez pouvoir exécuter la commande sudo qui nécessite l'authentification. C'est simple, la manière Mac est configurés de la zone, il vous suffit est retapez le votre propre mot de passe pour fournir l'authentification nécessaire.

Trop facile, certains serait disons, car comme avec Microsoft Windows, cela signifie que si votre mot de passe est deviner ou volé ou décoder et il fournit accès à votre système localement ou via SSH, l'agresseur pouvez tirer sur votre zone que si vous avez racine activé il (racine est équivalente à l'administrateur de Windows). Pire encore, si pirates initier une interface de « –s sudo », pratiquement rien est entrée dans le journal système.

Comment vous accordez à vos utilisateurs de Mac les droits nécessaires ils besoin sur une en fonction des besoins et améliorer la sécurité en même temps ? Étrange suffisamment à activer le compte de racine.

Par défaut, OS X possède le compte racine désactivé, qui suit des mesures de sécurité générique. Le problème est que dans cet état, comme indiqué ci-dessus, un utilisateur devez uniquement retaper ses propres informations d'identification pour obtenir des privilèges élevés. Pour vous assurer que les utilisateurs ne peuvent pas ressaisir simplement leurs propres informations d'identification pour obtenir l'accès racine (administrateur), vous devez activer le compte racine en accordant la compte « racine » un mot de passe. Pour ce faire, utilisez l'utilitaire Directory ou, à partir d'un terminal, exécuter la commande suivante :

sudo passwd root

Puis suivez les invites pour entrer un nouveau mot de passe (voir figure 1 ). N'oubliez pas de modifier le mot de passe régulièrement.

fig1.gif

La figure 1 création d'un mot de passe pour racine (cliquez sur l'image pour l'agrandir)

Avec le compte racine est activé, les utilisateurs peuvent n'est plus simplement Resaisissez leur propre mot de passe pour obtenir des privilèges de niveau racine (Administrateur). Cela permet de granularité plus dans la définition des privilèges parce que maintenant un compte séparé élevé doit être appelé pour effectuer des fonctions d'administration. Ce compte peut être géré et sécurisé indépendamment du compte d'utilisateur normal à l'aide des solutions tierces pour aléatoire et en toute sécurité stocker le mot de passe du compte et fournir une interface déléguée et auditée pour obtenir le mot de passe si nécessaire.

Maintenant que qui est pris soin de, vous devez Assurez-vous que la commande sudo est disponible pour ceux qui vous avez besoin. Gardez à l'esprit les trois niveaux d'utilisateurs du système d'exploitation X:les utilisateurs, administrateurs et racine. Par défaut, les utilisateurs ne peut pas émettre des commandes sudo ; seuls les utilisateurs administrateurs et racine peuvent. Si vous ne voulez vos utilisateurs d'avoir des autorisations d'administrateur mais vous souhaitez qu'il en problème sudo commandes lorsque cela est nécessaire, vous devrez peut-être activer sudo pour les utilisateurs sur votre système OS X. Vous pouvez le faire en modifiant le fichier privés/etc./sudoers pour inclure des utilisateurs spécifiques ou en uncommenting la ligne exemple figure 2 qui commence par « Roue % » puis en ajoutant vos utilisateurs au groupe de roulette.

fig2.gif

La figure 2 sudo Activation pour les utilisateurs spécifiés (cliquez sur l'image pour l'agrandir)

En suivant les éléments décrites ici, vous pouvez autoriser le mot de passe racine de vos systèmes Mac soit géré par des processus automatisés aléatoire génère un nouveau mot de passe sur un régulièrement ou la récupération du mot de passe suivants. Par conséquent vos systèmes peuvent rester compatible avec votre société stratégies ainsi gestion placer suite à la PCI (paiement carte de secteur d'activité) Data Security Standard, Sarbanes-Oxley (SOX), le Health Insurance Portability et Accountability Act (HIPAA) et d'autres personnes. Vous êtes également interrompre les utilisateurs et administrateurs de pouvoir unthinkingly élever leurs privilèges en simplement retaper son propre mot de passe.

Chris Stoneff est responsable de produit à Logiciel Lieberman, un développeur de logiciels Gestion des systèmes et de sécurité. Son lecteur plu n'est pas simplement pour savoir comment un élément fonctionne une certaine manière, mais pourquoi.