Proteggi il file hosts

Question

Proteggi il file hosts

#1 da (5 voti)

2

Ho l'impressione che non ci sia un modo reale per proteggere completamente il file hosts senza creare un account utente none-admin sul mio Mac e impostando la password dell'account admin su uno che non ricorderò.

Quindi, vorrei modificare il mio file hosts difficile come un'alternativa migliore.

Ho letto che è possibile impostare un flag immutable del sistema su file specifici che dovrebbero essere disabilitati prima che i file possano essere modificati.

Quindi ovviamente sarebbe ancora possibile modificare il file hosts, ma almeno lo renderebbe un po 'più complicato.

È un approccio consigliato? o c'è un modo migliore per raggiungerlo?

security command-line terminal hosts

posta pealo86 30.04.2017 - 13:02

fonte

1 risposta

Leggi altre domande sui tag security command-line terminal hosts

Qual è il motivo per cui l'iPhone si asciuga dopo un paio di voci errate della password? [chiuso] MacOS supporta un filesystem di tipo Snapshot?

score 5 · Accepted Answer

Proteggere con 'schg', il flag immutabile del sistema, è una potenziale soluzione, a seconda della quantità di protezione di cui hai bisogno. Puoi impostare il flag schg usando

sudo chflags schg /etc/hosts

La rimozione della protezione dipende dal livello di sicurezza del kernel. Esegui sysctl kern.securelevel :

1 significa che devi avviare la modalità utente singolo per eseguire chflags noschg /etc/hosts ,
0 significa che puoi semplicemente sudo chflags noschg /etc/hosts .

Invece di schg, puoi utilizzare la flag con restrizioni di System Integrity Protection in El Capitan e versioni successive. È possibile avviare Recovery HD per impostare il flag utilizzando chflags restricted /etc/hosts .

Questo protegge il file dalle modifiche mentre SIP è abilitato, che è abilitato di default e può essere disabilitato solo avviando il Recovery HD e eseguendo csrutil disable .

Verifica lo stato di SIP eseguendo csrutil status : se è abilitato, qualsiasi file con il flag con restrizioni non può essere modificato senza disabilitare SIP da Recovery o installatori firmati con il certificato di Aggiornamento Software di Apple (anche root non può modificare il file ).