Aggiungi il comando a sudo in OS X - o come correggere un'importante incoerenza di sicurezza in OS X

Naviga le tue risposte
3

OS X fornisce Accesso Portachiavi, che è un ottimo modo per salvare password di app e siti web diversi. Quando si desidera visualizzare una password tramite la GUI di accesso portachiavi, viene richiesta la password dell'amministratore. Tuttavia, OS X fornisce anche un comando per esportare tutte le password di accesso portachiavi a un file di testo, non crittografato: 

security dump-keychain -d login.keychain > keychain.txt

Questo comando non richiede sudo privilegi.

Quindi ho due domande:

  • Come posso aggiungere il requisito di privilegio sudo al comando security .
  • Questo comportamento è inteso o è una notevole incoerenza in merito ai problemi di sicurezza di Apple?
posta user5365075 02.05.2016 - 18:37
fonte

1 risposta

4

Il comando security funziona come previsto e sta seguendo gli stessi criteri di accesso a portachiavi seguiti da qualsiasi altro programma.

  • L'accesso al portachiavi di un utente è non una funzione di amministrazione - il portachiavi dell'utente appartiene a loro, quindi l'accesso di amministratore è irrilevante. D'altra parte, il portachiavi di sistema (/Library/Keychains//System.keychain) è "di proprietà" del sistema, quindi l'accesso di amministratore potrebbe essere necessario per esso e / o per i suoi elementi.

  • Per accedere al portachiavi dell'utente, è necessario prima sbloccarlo. login.keychain viene normalmente crittografato con la password di accesso dell'utente e viene automaticamente sbloccato al momento dell'accesso. Se non fosse già sbloccato, security attiva una richiesta di sblocco per la password.

  • Ogni elemento nel portachiavi ha il proprio criterio di accesso. È possibile visualizzarli nell'utilità Accesso Portachiavi facendo doppio clic sull'elemento portachiavi, quindi selezionando la scheda Controllo accesso. security obbedisce a questi controlli di accesso: se è impostato su "Consenti a tutte le applicazioni di accedere a questo elemento", security eseguirà il dump dell'oggetto senza richiedere nulla; se è impostato su "Conferma prima di consentire l'accesso" (e security non è nell'elenco "Consenti sempre ..."), security attiverà una richiesta di accesso all'elemento (e se "Chiedi password portachiavi "è selezionato anche, il prompt richiederà la password del portachiavi).

Potrebbe essere possibile richiedere i diritti di amministratore per eseguire security , ma non lo consiglierei. In primo luogo, potrebbe interrompere qualsiasi parte del sistema operativo che dipende dall'esecuzione di security (anche se non ne conosco), e in secondo luogo non impedirebbe ad altri programmi di scaricare il portachiavi, poiché altri programmi sono soggetti a le stesse politiche di accesso.

    
risposta data 03.05.2016 - 02:14
fonte

Leggi altre domande sui tag

La scala di grigi aumenterà o diminuirà il consumo della batteria? Come installo .NET Core su OSX?