Bezpečnost OS X
Je Mac OS X zranitelný virovou infekcí? Může se do počítače nic netušícího uživatele dostat zákeřný útočník? Zkrátka a jednoduše, je Mac OS X bezpečný operační systém? Na takovou otázku neexistuje jednoduchá odpověď; samozřejmě, že téměř jakýkoliv operační systém může být neprodyšně zabezpečen zkušeným administrátorem, znalým cest rytířů Jedi a Zenových mnichů. Přesto se o některých OS tvrdí, že jsou bezpečnější než jiné. Pojďme se tedy podívat, jak Apple obstojí v několika základních oblastech bezpečnosti.
Uživatelské účty
Bezpochyby jedním z nejdůležitějších faktorů ochrany poskytované uživateli je výchozí nebo tovární nastavení jeho stroje. Vzpomeňme linuxové distribuce poskytující uživateli rootovský přístup k celému systému nebo populární systém Windows, který se do nedávné doby instaloval s vypnutým firewallem.
Je mi potěšením oznámit, že v této oblasti odvedli inženýři Apple svou práci dobře – Mac OS X rozlišuje tři základní druhy uživatelského účtu. Nejvyšší účet v systému je standardní unixový root, který je ovšem v základním nastavení neaktivní a nelze se na něj přihlásit. První uživatel počítače má zpravidla administrátorský účet, který ho opravňuje instalovat a měnit aplikace a jiné prvky systému Mac OS X, případně Mac OS (je-li také nainstalován). Administrátor, ač všemocný pán světa OS X, nemá právo číst nebo měnit soubory ostatních uživatelů ani jakkoliv zasahovat do unixových součástí systému (které navíc ani nevidí). Je v moci administrátora použít příkaz sudo k jakékoliv činnosti, klidně i k aktivaci root účtu. Poslední, běžný uživatelský účet může mít různé pravomoci, obvykle je mu však umožněno volně spouštět aplikace systému a lokálně (do své domovské složky) instalovat své vlastní programy.
Vadou na kráse je schopnost Mac OS X bootovat do single user módu. V tomto módu, velmi podobném první init úrovni ve většině linuxových systémů, má uživatel oprávnění root. Možná šokující pro mnohé z vás bude, že pro přístup do tohoto módu není vyžadováno heslo. Stejně tak je možno lokálně resetovat administrátorské heslo počítače pomocí instalačního CD. Tento systém vznikl očividně jako kompromis mezi bezpečností a uživatelskou přívětivostí systému, a ponechal tak OS X do jisté míry otevřený lokálním bezpečnostním rizikům.
Firewall
OS X má v základu aktivní firewall ipfw známý z BSD systémů. Ten blokuje prakticky veškerý provoz směrem do počítače, kromě vybraných služeb aktivovaných uživatelem. Samozřejmě je možné firewall nastavit složitěji, ale tento výchozí stav je ve většině případů plně vyhovující. Efektivita ipfw je dobře prověřená testem času – jedná se o stejný firewall nasazovaný na vysoce vytížených FreeBSD serverech všude po Internetu.
Aktuálnost oprav
Apple vydává každý měsíc bezpečnostní update systému, který se automaticky instaluje pomocí systémové Update Utility a který obvykle zahrnuje kritické opravy jak unixových, tak i macových součástí systému, stejně jako dalších aplikací od Apple (iLife, iWork…). Rychlost opravy objevené bezpečností chyby je obvykle poměrně dobrá, navíc nic nebrání uživateli zkompilovat si bezpečnostní patche pro open source součásti systému ručně. Na druhou stranu se tato frekvence údržby nedá srovnávat s některými linuxovými nástroji, například v Gentoo nebo v Debianu, které jsou schopné systém updatovat denně.
Soukromí uživatele
V Mac OS X má uživatel možnost použít několikero nástrojů pro zabezpečení svých dat. Jednou z možností je použití funkce File Vault, která 128bitovým klíčem zašifruje domovskou složku uživatele. Možná praktičtějším přístupem je vytvoření šifrované Disk Image o nastavitelné velikosti – tento přístup s sebou nese mnoho výhod včetně snadného zálohování a vysoké úrovně ochrany vybraných souborů. Tato funkce společně s možnostmi jako Private Browsing nebo Stealth Mode u firewallu přispívají k pocitu bezpečnosti. Uživatel by se však neměl nechat unést. Mac OS X, ač jednoznačně nadprůměrně zabezpečený, není skutečně důveryhodná platforma o nic víc, než je Linux skutečná real-time platforma.
Virové infekce, adware, spyware
Se vzrůstající popularitou platformy Macintosh je téměř jisté, že se časem vyskytnou pokusy o zákeřný software, který byl doposud výhradní doménou MS Windows. Je pravdou, že v Mac OS X nepochybně existují bezpečnostní nedodělky, které by mohly sloužit jako brána pro případný malware. Dalším faktorem je neinformovanost (nebo, jak by řekli někteří, blbost) uživatele, která je samozřejmě všude stejná. Přesto jsem přesvědčen že situace, která dnes panuje ve světě Windows, se Maců v takové míře nedotkne, zejména díky modernímu a čistému návrhu systému a jeho unixovým kořenům, které už z principu možnosti podobného softwarového odpadu značně omezují.
Serverové nasazení
Mac OS X je jako každý Unix plně kompetentní serverový systém. I standardní uživatelskou verzi systému lze bez problémů nasadit na server, router nebo firewall. Už v základu obsahuje plně zkonfigurovaný Samba server, Router, Apache i FTP servery. K dispozici jsou Perl, PHP i celá řada dalších nástrojů a jediné, co by snad mohlo případnému serveru chybět ke štěstí, je nějaká SQL databáze, kterou není problém doinstalovat. Systémové komponenty však nejsou všechno – ve firemním nebo korporačním prostředí je požadována snadná konfigurovatelnost, bezchybná spolupráce se světem Windows a technická podpora. Proto existuje také systém Mac OS X Server, který kromě základní sady utilit obsahuje také nástroje pro snadné sestavení rozsáhlé sítě počítačů na Linuxu, Windows i Mac OS, včetně síťového přihlašování, fileservingu a groupware pro všechny tři platformy.
Praktičnost tohoto nasazení do jisté míry vyvažuje nižší výkon ve srovnání s čistokrevným Unixem, a daří se jí tedy v komerčním sektoru často vytlačovat ostatní Unixy z pozice serverů. Hlavní zaměření však bezpochyby zůstává v oblasti klientských stanic a možnost nasazení systému v serverovém prostředí je spíše vedlejším efektem jeho unixového základu.
Shrneme-li bezpečnostní otázky OS X do krátkého zhodnocení, dostaneme nadprůměrně bezpečný operační systém, který se sice nedá považovat za zen systémového zabezpečení, ale rozhodně překoná mnohé linuxové distribuce. Příští týden se ještě naposledy setkáme u dodatků, odkazů a zdrojů, čímž náš seriál zakončíme. Užívejte léta, budu se těšit zase za týden.
