OS X'te sudo'ya komut ekleme - veya OS X'te büyük bir güvenlik tutarsızlığının nasıl düzeltileceği

OS X, çeşitli uygulamaların ve web sitelerinin şifrelerini kaydetmenin harika bir yolu olan Keychain Access'i sunar. Keychain Access GUI ile bir şifre görüntülemek istediğinizde, yönetici şifreniz istenir. Bununla birlikte, OS X ayrıca tüm Anahtarlık Erişim parolalarını şifrelenmemiş bir metin dosyasına vermek için bir komut sağlar:

security dump-keychain -d login.keychain > keychain.txt

Bu komut sudoayrıcalıklar gerektirmez .

Bu yüzden iki sorum var:

• Nasıl ekleyebilir sudoiçin ayrıcalık gereksinimi securitykomutu.
• Bu davranış amaçlanıyor mu veya Apple'daki güvenlik endişeleriyle ilgili büyük bir tutarsızlık mı?

securityKomut beklendiği gibi çalıştığını ve herhangi bir diğer program takip edecek aynı anahtarlık erişim politikaları takip ediyor.

• Bir kullanıcının anahtarlığına erişmek bir yönetici işlevi değildir - kullanıcının anahtarlığı kendilerine aittir, bu nedenle yönetici erişimi alakasızdır. Öte yandan, Sistem anahtarlığı (/Library/Keychains//System.keychain) sisteme aittir, bu nedenle yönetici erişimi ve / veya öğeleri için gerekli olabilir .

• Kullanıcının anahtarlığına erişmek için önce kilidi açılmalıdır. login.keychain normalde kullanıcının giriş şifresiyle şifrelenir ve giriş yaptıklarında otomatik olarak kilidi açılır. Zaten kilitli değilse security, şifrenin kilidini açması için bir komut istemi tetikler.

• Anahtarlıktaki her öğenin kendi erişim politikası vardır. Bunları Anahtarlık Erişimi yardımcı programında, anahtarlık öğesini çift tıklatıp ardından Erişim Kontrolü sekmesini seçerek görebilirsiniz. securityBu erişim kontrollerine uyun: "Tüm uygulamaların bu öğeye erişmesine izin ver" olarak ayarlanmışsa, securityherhangi bir şey sormadan öğeyi terk edecektir; "Erişime izin vermeden önce onayla" olarak ayarlanmışsa (ve security"Her zaman izin ver ..." listesinde değilse), securityöğeye erişim için bir bilgi istemi tetikler (ve "Anahtarlık parolasını sor" da seçili ise, bilgi istemi anahtarlık şifresini gerektirecektir).

Yönetici haklarının çalıştırılması gerekebilir securityancak bunu tavsiye etmem. Birincisi, işletim sisteminin çalışmasına bağlı olan herhangi bir bölümünü kırabilir security(bilmememe rağmen) ve ikincisi, diğer programlar aynı erişime tabi olduğu için herhangi bir programın anahtarlığı boşaltmasını engellemez. politikaları.