آشنایی با تنظیم های پیشرفته امنیتی در Mac از طریق CLI

روزه، خوشبختانه سیستم عامل مک به دلیل محیط گرافیکی و قابلیت های جالب آن، مورد محبوبیت زیادی در بین کاربران ایرانی قرار گرفته و حتی در شبکه بعضی از سازمان ها نیز از آن استفاده می شود. بنابراین لزوم توجه به رعایت نکات امنیتی در این سیستم عامل، به دلیل حفاظت از اطلاعات، از اهمیت ویژه ای برخوردار است. در این مقاله، به ۱۳ مورد از مهمترین دستورات امنیتی اشاره می شود که با اجرای هر کدام از این فرمان ها در محیط ترمینال، می توان به افزایش امنیت مک کمک کرد.

رابط خط فرمان که CLI (Command Line Interface) نامیده می شود، در تمام سیستم عامل ها وجود دارد. Terminal در سیستم عامل مک، نقش CLI را بازی می کند. ترمینال مک، به سبب اینکه این سیستم عامل بر پایه Unix طراحی شده است، شباهت زیادی به خط فرمان لینوکس داشته و حدود ۹۰٪ از فرمان های یونیکس و لینوکس در آن قابل اجراست.

ترمینال مک از طریق منوی Utilities در دسترس بوده و از لحظه ای که باز می شود، آماده به کار است. توسط CLI و به کمک کاربر اصلی سیستم (Root)، می توان به تمام سطوح سیستمی دسترسی داشته و تغییرات بنیادین در مک ایجاد نمود. این سیستم عامل، بین حروف بزرگ و کوچک تفاوت قائل می شود (Case Sensitive) و باید در اجرای فرمان ها دقت لازم را به عمل آورد.

بهتر است بدانید که برای انجام بعضی از فرمان های سیستمی و یا دسترسی به بخش هایی از سیستم، نیاز به داشتن سطح دسترسی کاربر اصلی می باشد. به همین منظور، دستوراتی که نیازمند سطح دسترسی بالا هستند را می توان توسط فرمان sudo و تحت دستور کاربر اصلی، اجرا نمود. همچنین، فرمان هایی که مربوط به قطعات سخت افزاری هستند، تنها پشتیبانی نرم افزاری قطعه مورد نظر را از سیستم حذف کرده و تأثیری بر روی آن سخت افزار ندارند.

فرمان sudo برای اجرای دستوراتی که با هسته و فایل های اساسی سیستم درگیر هستند، تحت قدرت کاربر root است که مدیر سیستم، می تواند فرامین سیستم را به جای ورود با کاربر root، توسط کاربر معمولی با استفاده از این دستور انجام دهد. مک به منظور افزایش امنیت سیستم، تمامی استفاده هایی که از فرمان sudo انجام شده است را ضبط می کند.

۱- به روز رسانی سیستم عامل و نصب بسته های به روز رسانی

پس از تولید و انتشار یک نرم افزار، شرکت تولید کننده متوجه اشکالاتی در برنامه نویسی آن نرم افزار گردیده و تلاش می کند تا آن را ترمیم نماید. بنابراین، نرم افزارهای کوچکتری که در اصطلاح به آن ها وصله امنیتی (Patch) گفته می شود، برای اصلاح نرم افزار قبلی ارایه می شود که کاربران نیز باید آن ها را از سایت مرتبط با آن نرم افزار دریافت کرده و بر روی سیستم های خود نصب نمایند. در صورتی که این کار انجام نشود، نفوذگران می توانند با همان اشکالات موجود در برنامه نویسی، به کامپیوترهایی که از آن نرم افزار استفاده می کنند، حمله نمایند.

از جمله مهمترین این نرم افزارها که باید به صورت مرتب به روز شده و وصله های امنیتی آن نصب گردد، سیستم عامل می باشد. شرکت Apple که حقوق انحصاری مک را در اختیار داشته و مالک آن محسوب می شود، به محض کشف حفره های امنیتی در این سیستم عامل، اقدام به توزیع بسته به روز رسانی جدید می کند. تنظیمات به روزرسانی مک از طریق منوی System Preferences تحت عنوان Software Update در دسترس است که می توان مدت زمان بررسی خودکار را جهت به روز رسانی، بین حالت های روزانه، هفتگی و ماهانه تغییر داده و با انتخاب گزینه Download updates automatically این امکان را به مک داد تا بسته های به روز رسانی را مخفیانه دانلود کرده و برای نصب آن ها اطلاع دهد. با زدن دکمه Check now نیز می توان از به روز بودن مک اطمینان حاصل نمود.

لازم به ذکر است که پس از عرضه نسخه ۱۰٫۰٫۰ سیستم عامل مک در سال ۲۰۰۱ با نام Cheetah، نسخه های بعدی این سیستم عامل، با تغییر رقم دوم به بازار آمده و تحت نام هایی از خانواده گربه سانان معرفی گردیدند. به عنوان مثال، نسخه ۱۰٫۶ با نام Snow Leopard و ۱۰٫۷ با نام Lion شناخته می شود. بسته های به روز رسانی که توسط Apple برای هر کدام از نسخه های مک منتشر می شود نیز با تغییر رقم سوم نسخه سیستم عامل شناسایی می شود. برای نمونه، سیستم عاملی با نسخه ۱۰٫۷٫۱ نمایانگر سیستم عامل نسخه ۱۰٫۷ می باشد که اولین بسته به روز رسانی بر روی آن نصب گردیده است.

باید توجه داشت که به روز رسانی سیستم عامل، درصد بالایی از مشکلات امنیتی شبکه را حل می کند.

sudo softwareupdate –download –all –install

۲- ترمیم خودکار سطوح دسترسی

بدافزارها، ویروس ها و نصب بعضی از نرم افزارها ممکن است که باعث ایجاد تغییراتی در تنظیمات پیش فرض سطوح دسترسی برخی از فایل های سیستم عامل شود. بنابراین، لازم است که این مجوزها و سطوح دسترسی به فایل های سیستمی را برطرف نموده و به حالت قبل بازگردانید.

انجام این کار برای ثبات و محافظت از کامپیوتر امری ضروری به شمار می رود.

sudo diskutil repairPermissions /Volumes/_Boot_Drive

در صورتی که از چند کاربر برای یک سیستم استفاده می شود بهتر است تا سطح دسترسی پوشه کاربر را نیز با سطح دسترسی همان کاربر تنظیم کرد.

برای این کار نیز می توان فرمان زیر را در ترمینال وارد کرده و به جای username، نام کاربری کاربر مورد نظر را قرار داد.

sudo chmod go-rx /Users/username

۳- غیر فعال کردن Wi-Fi

اگرچه راه اندازی شبکه‌های وایرلس همچون Wi-Fi برای دسترسی به منابع شبکه، بدون اتصال هرگونه سیمی بسیار مناسب است اما همین بستر می‌تواند تبدیل به محیطی آسیب‌پذیر جهت نفوذ به شبکه‌، سرور و کامپیوترهای متصل به آن شود. زیرا در ارتباط Wi-Fi، ردیابی کردن اطلاعات بین دستگاه های کاری متحرک و Access point نزدیک آن برای نفوذگران بسیار آسان می باشد.

امروزه مهمترین چالش در مقابل گسترش شبکه‌های بی‌سیم Wi-Fi ، محافظت از آن ها در برابر دسترسی‌های غیرمجاز، جلوگیری از نفوذ مخفیانه به داخل شبکه و بهره‌برداری از منابع آن می‌باشد.

sudo srm -rf /System/Library/Extensions/IO80211Family.kext

sudo touch /System/Library/Extensions

۴- غیر فعال کردن Bluetooth

Bluetooth یک فناوری است که امکان مبادله اطلاعات بین دستگاه ها، بدون نیاز به کابل را فراهم می کند. در حقیقت، Bluetooth یک استاندارد الکترونیکی است که تولید کنندگان را ملزم می نماید تا به منظور ایجاد پتاسیل فوق در محصولاتشان، تجهیزات و امکانات خاصی را درون دستگاه های الکترونیکی تعبیه نمایند که با رعایت نکات مندرج در این استاندارد، دستگاه های تولید شده قادر به تشخیص و ارتباط با یکدیگر، با استفاده از این تکنولوژی خواهند بود.

Bluetooth نیز همانند بسیاری از تکنولوژی های دیگر می تواند تهدیدهای امنیتی خاص خود را برای استفاده کنندگان به دنبال داشته باشد. هنگامی که از ارتباطات بی‌سیم همچون Bluetooth استفاده نمی‌شود ولی این قابلیت همچنان بر روی سیستم فعال است، سیستم می تواند در برابر حملات آسیب پذیر باشد. ویروس ها و بسیاری از برنامه های مخرب می توانند از طریق این فناوری، به سیستم نفوذ نموده و اقدام به سرقت اطلاعات و ایجاد مشکلات امنیتی برای کاربران نمایند.

sudo srm -rf /System/Library/Extensions/IOBluetoothFamily.kext

sudo srm -rf /System/Library/Extensions/IOBluetoothHIDDriver.kext

sudo touch /System/Library/Extensions

۵- غیر فعال کردن سنسور مادون قرمز (InfraRed)

سنسورهای مادون قرمز، قطعات الکترونیکی هستند که توسط تشعشعات مادون قرمز، کار کرده و بیشتر برای آشکار سازی اهداف متحرک از آن ها استفاده می شود.

لازم به ذکر است که همه اشیاء، اشعه مادون قرمز از خود منتشر می کنند که این تشعشع از دید انسان نامرئی است ولی می تواند با وسایل الکترونیکی که برای این هدف ساخته شده اند، آشکار شود.

یک قانون مهم در امنیت وجود دارد و آن این است که اگر از یک تکنولوژی استفاده نمی شود باید آن را غیر فعال نمود تا از آن به عنوان نقطه آسیبی برای نفوذ به سیستم ها استفاده نشود.

sudo srm -rf /System/Library/Extensions/AppleIRController.kext

sudo touch /System/Library/Extensions

۶- غیر فعال کردن خروجی و ورودی صدا

یکی از مهمترین نکات در خصوص امنیت، کنترل دسترسی به ورودی های فیزیکی و اعمال محدودیت برای آن ها می باشد.

sudo srm -rf /System/Library/Extensions/AppleUSBAudio.kext

sudo srm -rf /System/Library/Extensions/IOAudioFamily.kext

sudo touch /System/Library/Extensions

۷- غیر فعال کردن دوربین ویدیویی

از دوربین ویدیویی برای تهیه تصاویر ویدیویی استفاده می شود. بعضی از ویروس های جدید، قابلیت روشن نمودن دوربین ویدیویی و ارسال فیلم های تهیه شده را بدون اجازه کاربر دارند.

sudo srm –rf /System/Library/Extensions/IOUSBFamily.kext/Contents/PlugIns /AppleUSBVideoSupport.kext

sudo touch /System/Library/Extensions

۸- غیر فعال کردن پورت های USB

پورت های USB، درگاه های الکترونیکی هستند که امکان مبادله اطلاعات بین انواع حافظه ها (Flash، Hard disk، Memory، sd card و …) را فراهم می کنند.

بسیاری از بدافزارها، از طریق پورت های USB به سیستم منتقل می شوند همچنین با استفاده از روش ها و ابزارهایی می توان توسط این پورت، سیستم را راه اندازی دوباره نموده و بدون دانستن رمز عبور کاربر اصلی سیستم (Root)، اقدام به تغییر آن نمود. بنابراین، غیر فعال کردن پورت های USB برای ایجاد ملاحظه های امنیتی، یک امر ضروری به شمار می رود.

sudo srm -rf /System/Library/Extensions/IOUSBMassStorageClass.kext

sudo touch /System/Library/Extensions

۹- غیر فعال کردن پورت FireWire

Firewire یا i-Link که به IEEE 1394 نیز معروف است، یک استاندارد واسط برای گذرگاه سریال در رایانه های شخصی است که امکان برقراری تبادل اطلاعات را فراهم می سازد.

درگاه های Firewire که به طور پیش فرض و پیش ساخته، تقریباً در تمامی رایانه های Macintosh وجود دارد معمولاً برای اتصال دوربین های ویدیویی دیجیتال و دستگاه ها و رسانه های ذخیره سازی اطلاعات استفاده می شود.

sudo srm -rf /System/Library/Extensions/IOFireWireSerialBusProtocolTransport.kext

sudo touch /System/Library/Extensions

۱۰- عدم نمایش آخرین برنامه های استفاده شده در Finder

از طریق Finder می توان برنامه ها و فایل ها را در مک، جستجو کرده و به راحتی به آن ها دسترسی داشت.

sudo defaults write com.apple.recentitems Applications -dict MaxAmount 0

۱۱- غیر فعال کردن Dashboard

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.dashboard.advisory.fetch.plist

12- غیر فعال کردن Bonjour

Bonjour یکی از سرویس های اختصاصی اپل است که از آن به منظور اشتراک گذاری موسیقی، فایل و چاپگر در شبکه های محلی استفاده می شود. این سرویس که به صورت مداوم در حال دریافت اطلاعات از شبکه است، می تواند تهدید امنیتی برای مک محسوب شود. بنابراین اگر از آن استفاده نمی شود، بهتر است غیر فعال گردد.

به منظور غیر فعال کردن Bonjour می توان ۲ دستور زیر را در Terminal وارد کرد.

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponderHelper.plist

۱۳- غیر فعال کردن Remote Desktop

این سرویس همانند همتای ویندوزی خود این امکان را به کاربران می دهد تا از راه دور سیستم خود را کنترل کنند.

برای حفظ امنیت سیستم عامل، بهتر است که سرویس‌های غیر ضروری آن را غیر فعال کرد. شکی نیست که انجام این کار، باعث افزایش کارایی سیستم و امنیت کلی آن خواهد شد.

این سرویس، با وارد کردن ۲ دستور زیر در Terminal غیر فعال می شود.

sudo launchctl unload -w /System/Library/LaunchAgents/com.apple.RemoteDesktop.plist

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.RemoteDesktop.PrivilegeProxy.plist

۱۴- هشدار در صفحه ورود

اولین گام سیستم در جداسازی کاربران را می توان صفحه ورود کاربران به سیستم عامل دانست، همان جایی که کاربران را ملزم به وارد کردن کلمه عبور و نام کاربری به منظور ورود به سیستم عامل می کند. در صورتی که بر روی سیستم، اطلاعات محرمانه سازمان نگهداری می شود، می توان با نشان دادن یک پیام هشدار، کاربری که قصد ورود غیرمجاز به سیستم را دارد از تبعات این عمل مطلع ساخت.

sudo defaults write /Library/Preferences/com.apple.loginwindow LoginwindowText “Warning Text”

“Warning Text” همان پیام اخطار است.

در پایان، برای جلوگیری از مشاهده دستورات وارد شده در ترمینال و سوء استفاده از آن ها برای بازگرداندن به حالت قبل باید تمامی فرمان هایی که در محیط ترمینال وارد شده اند را پاک نمود. دستور history –c فرمان مفیدی برای پاک کردن رد پای کارهای انجام شده در ترمینال است.