Hlavní navigace

MAC OS X je taky unix (11): Bezpečnost

Adam Šindelář

Ještě jednou vás dnes vítám u dalšího dílu seriálu Mac OS X je taky unix. V minulých deseti dílech jsme prozkoumali historii, jádro i grafickou slupku tohoto operačního systému, jehož popis bych chtěl dnešním dílem uzavřít. Podíváme se ještě na bezpečnost tohoto systému, možnosti nasazení na serveru a na specifika, která takové nasazení přináší. Příští týden se ještě jednou shledáme u dílu dodatků a poznatků, které se mi nepodařilo vměstnat do předchozích článků.

Bezpečnost OS X

Je Mac OS X zranitelný virovou infekcí? Může se do počítače nic netušícího uživatele dostat zákeřný útočník? Zkrátka a jednoduše, je Mac OS X bezpečný operační systém? Na takovou otázku neexistuje jednoduchá odpověď; samozřejmě, že téměř jakýkoliv operační systém může být neprodyšně zabezpečen zkušeným administrátorem, znalým cest rytířů Jedi a Zenových mnichů. Přesto se o některých OS tvrdí, že jsou bezpečnější než jiné. Pojďme se tedy podívat, jak Apple obstojí v několika základních oblastech bezpečnosti.

Uživatelské účty

Bezpochyby jedním z nejdůležitějších faktorů ochrany poskytované uživateli je výchozí nebo tovární nastavení jeho stroje. Vzpomeňme linuxové distribuce poskytující uživateli rootovský přístup k celému systému nebo populární systém Windows, který se do nedávné doby instaloval s vypnutým firewallem.

Je mi potěšením oznámit, že v této oblasti odvedli inženýři Apple svou práci dobře – Mac OS X rozlišuje tři základní druhy uživatelského účtu. Nejvyšší účet v systému je standardní unixový root, který je ovšem v základním nastavení neaktivní a nelze se na něj přihlásit. První uživatel počítače má zpravidla administrátorský účet, který ho opravňuje instalovat a měnit aplikace a jiné prvky systému Mac OS X, případně Mac OS (je-li také nainstalován). Administrátor, ač všemocný pán světa OS X, nemá právo číst nebo měnit soubory ostatních uživatelů ani jakkoliv zasahovat do unixových součástí systému (které navíc ani nevidí). Je v moci administrátora použít příkaz sudo k jakékoliv činnosti, klidně i k aktivaci root účtu. Poslední, běžný uživatelský účet může mít různé pravomoci, obvykle je mu však umožněno volně spouštět aplikace systému a lokálně (do své domovské složky) instalovat své vlastní programy.

Mac OS X

Vadou na kráse je schopnost Mac OS X bootovat do single user módu. V tomto módu, velmi podobném první init úrovni ve většině linuxových systémů, má uživatel oprávnění root. Možná šokující pro mnohé z vás bude, že pro přístup do tohoto módu není vyžadováno heslo. Stejně tak je možno lokálně resetovat administrátorské heslo počítače pomocí instalačního CD. Tento systém vznikl očividně jako kompromis mezi bezpečností a uživatelskou přívětivostí systému, a ponechal tak OS X do jisté míry otevřený lokálním bezpečnostním rizikům.

Firewall

OS X má v základu aktivní firewall ipfw známý z BSD systémů. Ten blokuje prakticky veškerý provoz směrem do počítače, kromě vybraných služeb aktivovaných uživatelem. Samozřejmě je možné firewall nastavit složitěji, ale tento výchozí stav je ve většině případů plně vyhovující. Efektivita ipfw je dobře prověřená testem času – jedná se o stejný firewall nasazovaný na vysoce vytížených FreeBSD serverech všude po Internetu.

Mac OS X
Mac OS X

Aktuálnost oprav

Apple vydává každý měsíc bezpečnostní update systému, který se automaticky instaluje pomocí systémové Update Utility a který obvykle zahrnuje kritické opravy jak unixových, tak i macových součástí systému, stejně jako dalších aplikací od Apple (iLife, iWork…). Rychlost opravy objevené bezpečností chyby je obvykle poměrně dobrá, navíc nic nebrání uživateli zkompilovat si bezpečnostní patche pro open source součásti systému ručně. Na druhou stranu se tato frekvence údržby nedá srovnávat s některými linuxovými nástroji, například v Gentoo nebo v Debianu, které jsou schopné systém updatovat denně.

Mac OS X

Soukromí uživatele

V Mac OS X má uživatel možnost použít několikero nástrojů pro zabezpečení svých dat. Jednou z možností je použití funkce File Vault, která 128bitovým klíčem zašifruje domovskou složku uživatele. Možná praktičtějším přístupem je vytvoření šifrované Disk Image o nastavitelné velikosti – tento přístup s sebou nese mnoho výhod včetně snadného zálohování a vysoké úrovně ochrany vybraných souborů. Tato funkce společně s možnostmi jako Private Browsing nebo Stealth Mode u firewallu přispívají k pocitu bezpečnosti. Uživatel by se však neměl nechat unést. Mac OS X, ač jednoznačně nadprůměrně zabezpečený, není skutečně důveryhodná platforma o nic víc, než je Linux skutečná real-time platforma.

Virové infekce, adware, spyware

Se vzrůstající popularitou platformy Macintosh je téměř jisté, že se časem vyskytnou pokusy o zákeřný software, který byl doposud výhradní doménou MS Windows. Je pravdou, že v Mac OS X nepochybně existují bezpečnostní nedodělky, které by mohly sloužit jako brána pro případný malware. Dalším faktorem je neinformovanost (nebo, jak by řekli někteří, blbost) uživatele, která je samozřejmě všude stejná. Přesto jsem přesvědčen že situace, která dnes panuje ve světě Windows, se Maců v takové míře nedotkne, zejména díky modernímu a čistému návrhu systému a jeho unixovým kořenům, které už z principu možnosti podobného softwarového odpadu značně omezují.

Serverové nasazení

Mac OS X je jako každý Unix plně kompetentní serverový systém. I standardní uživatelskou verzi systému lze bez problémů nasadit na server, router nebo firewall. Už v základu obsahuje plně zkonfigurovaný Samba server, Router, Apache i FTP servery. K dispozici jsou Perl, PHP i celá řada dalších nástrojů a jediné, co by snad mohlo případnému serveru chybět ke štěstí, je nějaká SQL databáze, kterou není problém doinstalovat. Systémové komponenty však nejsou všechno – ve firemním nebo korporačním prostředí je požadována snadná konfigurovatelnost, bezchybná spolupráce se světem Windows a technická podpora. Proto existuje také systém Mac OS X Server, který kromě základní sady utilit obsahuje také nástroje pro snadné sestavení rozsáhlé sítě počítačů na Linuxu, Windows i Mac OS, včetně síťového přihlašování, fileservingu a groupware pro všechny tři platformy.

Praktičnost tohoto nasazení do jisté míry vyvažuje nižší výkon ve srovnání s čistokrevným Unixem, a daří se jí tedy v komerčním sektoru často vytlačovat ostatní Unixy z pozice serverů. Hlavní zaměření však bezpochyby zůstává v oblasti klientských stanic a možnost nasazení systému v serverovém prostředí je spíše vedlejším efektem jeho unixového základu.

Shrneme-li bezpečnostní otázky OS X do krátkého zhodnocení, dostaneme nadprůměrně bezpečný operační systém, který se sice nedá považovat za zen systémového zabezpečení, ale rozhodně překoná mnohé linuxové distribuce. Příští týden se ještě naposledy setkáme u dodatků, odkazů a zdrojů, čímž náš seriál zakončíme. Užívejte léta, budu se těšit zase za týden.

Našli jste v článku chybu?

21. 2. 2006 13:51

...pro pořádek (neregistrovaný)
Petr Baláš: to, že jste si nedokázal nainstalovat překladač je váš problém, určitě se to nějak vyřešit dalo... v Mac OS X jsou lokalizace STRIKTNĚ oddělené od kódu (potencionální problém je ve versování gui a kódu-tady Apple totálně selhal-to však ABSOLUTNĚ nesouvisí s českou lokalizací...), bezpečností aktualizace vychází i pro český systém se zpožděním max NĚKOLIK DNÍ (obvykle do týdne) ... takže opravdu nevím, co tady šíříte za paniku... lokalizovaný systém používám od počátku bez problému..…

4. 8. 2005 10:03

J.P. (neregistrovaný)
sorry, přehlédl :) thread smažte.
Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Obchod budoucnosti je bez front, košíků i pokladen

Obchod budoucnosti je bez front, košíků i pokladen

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky