Mac OS X: Mac电脑安全基础

ypmqqvbkey

Mac电脑安全基础

Securing your Mac basic

　　
　　版权信息: 本着开放交流的原则欢迎转载，除非明确声明"谢绝转载"等字样. 所有文章/图片/代码(除转载和翻译)，版权均属文章作者.
转载请遵守下面规则:
1）保持文章的完整性；2）不得以盈利为目的； 3）完整标注文章作者［Tony Liu@中国在线教育］和文章中标注的所有版权信息。
其它事宜，如:需要商业用途或以盈利为目的的、或者部分转载的等等，请与本作者联系: TonyLiu2CA@yahoo.com
前言
　　计算机使用安全对于所有用户都是一个关心和头痛的问题，下面就来说说Mac电脑使用中如何获得最好的安全性
　　这里分三个方面来说说：

• 硬件（Hardware）
  
• 用户数据（User Data）
  
• 系统环境（System Environment）
  

　　
硬件（Hardware）:
　　防止被偷: 多数Mac电脑，即便是台式机的iMac都有使用安全锁的插孔。这一点对笔记本电脑尤其重要，虽然它不能100%安全，但是至少可以增强安全性，至少大街上还是很少看到抗着大钳子的小偷。尤其对于旅行的笔记本电脑，或者你暂居在一个不十分安全地方，比如集体宿舍等，那么妥善保护硬件是一个富有挑战的事情。

还有一方面就是你的防止因为硬件问题，导致自己数据的丢失，对于普通用户，主要依靠备份来避免损失，这方面Mac提供的时间机器提供了异常方便、强大和易用的工具。

在日常使用中也要注意保护自己的电脑，尤其是对可移动设备，比如笔记本电脑，最好是合上显示屏后等盖子上面的Apple标示处的灯灭了，再移动它，否则电脑硬盘很容易损坏。当然更别提要防水和其它的撞击了。我已经有两个同事，给自己的笔记本喝了杯咖啡，而损失惨重。
用户数据（User Data）：
　　提到保护数据，首先用户会想到密码，这个很自然，从我们开始登陆电脑开始，就要有用户名和密码，日常生活中要求最高的，要说就是银行等和钱有关系的业务了，网上银行肯定是需要用户帐号和密码；其次，至少是商业数据；当然还有数不清的日常帐号，什么WiFi密码，iTunes帐户，email, 淘宝呀,通讯类的QQ呀等等。生活在网络环境，首先要学会的就是要管理好自己的帐户密码。一般来说，最好保持3个常用有效密码，并且分类管理，比如按照使用服务的安全级别划分，最低保密级别的可以是email和论坛等的密码，较高的比如购物类网站等，最高的当然是和你的个人信息以及资金有关的。有一些工具可以测试你的密码是否足够安全，而Mac系统本身就提供这个工具，在你生成用户或者更改用户密码的时候，那个小钥匙就是这个用途的。
另外还有一种软件可以帮助用户管理密码，它的基本原理是，用户使用一个主密码，建立一个密码库，把自己的用户／密码／注释等信息储存其中，只有知道主密码的才能打开这个密码库。不仅有商业软件，而免费的工具也提供相当强大的加密手段，而他人几乎不可能破解. 比如Robo Password Manager, KeePass PasswordSafe等，还有提供在线密码管理服务的，如果你不了解该公司的运作和背景，建议还是不要轻易把自己机密级别高的放在上面。
其实，Mac系统本身就提供密码的安全管理工具，它就是Keychain－钥匙链，这个名字恰如其分地描述了它的功能，而且它的功能相当强大，无论是你使用网上的密码，还是访问网络服务器等等，它都可以记录密码并在以后自动应用，除了Apple系统的所有程序，好多程序也支持Keychain。而这个Keychain的主密码就是该用户的登陆密码，它的储存方式安全，以致于，各种原因用户密码和Keychain密码不相符时，也无法打开Keychain。所以其它人复制走你的Keychain文件当然也无法打开它. 这个文件储存在用户Home文件夹中的~/Library/Keychain/中，一般叫login.Keychain名，当然了，Keychain使用不当，可能会给用户使用中带来一些麻烦。用户可以使用/Application/Utilities/Keychain.app工具对它进行管理，变更密码，检查完整性，生成新的钥匙链文件，删除钥匙链文件等等操作。

光有密码还不行，还有有切实的措施保护用户的其它数据，比如文档，照片，银行对帐单等等用户数据[Personal Data(love leters,pcitures, music, video), Identiy/Valuable data stored(online account, financial records, legal record, medical records, etc.)]，你可以使用第三方的软件，比如Cryptix就是一种加密软件，而Mac系统提供了一个简单而实用的方式，就是使用存档加密方式，保存你的数据，而这个方式使用一种DMG文件的方式加以管理。用户可以把一个文件夹存档，甚至是一个分区内的所有内容，而这些功能可以在Disk Utility里面找到。
对于GUI方式的使用就不多说，下面举命令行的例子:

echo -n aa | hdiutil create -size 1m -encryption AES-256 -fs HFS+ -volname "Links" -type UDIF ./Desktop/Test.dmg

hdiutil attach Test.dmg

hdiutil detach /Volumes/Links

　　上面三个命令的简单解释：第一个命令建立一个1MB的加密可读写存档文件，文件名是Test.DMG, 密码是aa；第二句是把这个文件安装到文件系统中，以便用户操作；第三句是卸载它并保存更改数据。
　　
　　Mac系统还提供一种更高级别的加密方式，也就是FileVault，开启它之后，系统可以把用户的Home目录全部完整地使用上面说的DMG方式存储，而没有密码的人是没有可能打开它的。系统为了管理的需求，设置了一个系统的主密码，知道主密码的人可以解密所有的FileVault用户。这也同样产生问题，如果忘了密码和主密码，那没有人能救你了。而性能的损失可能也是一个小问题，同样是性能因素，可能你无法把有些应用的数据存储在自己的home目录里面了，比如iMovie等。

那么Mac系统是否提供磁盘分区级别的机密方式呢？目前来说还不提供，不过有第三方的系统可以提供者方面的支持, 比如：Check Point Full DiskEncryption，PGP Whole Disk Encryption，和Truecrypt等等.

不过Mac提供一种电脑级别的安全措施，使用Firmware Password，它可以阻止其它用户从其它设备启动该电脑，比如DVD, 外置硬盘, 网络启动设备，或者进入目标模式，它会提示输入该固件密码，当然用户可以取消这个设置。这个功能可以从随机的Mac系统DVD盘中找到Firmware Password Utility.

有了上面的用户数据保护措施，还不够，用户还要进行日常的数据备份，这就是时间机器（Time Machine）的用途，有了数据备份，用户的数据不仅可以防止被随意存取，而且也不怕各种原因丢失宝贵的数据了。当然备份数据也要妥善保管，否则可能是另外一个不安全的隐患。
系统环境（System Environment）：
　　系统环境主要是说，在网络环境中注意自己的系统不要被外界控制，成为僵尸电脑("Zombie PC" ). 在Windows世界里，病毒的侵扰可以说是令用户深恶痛绝，而杀毒系统也是被人称为最大的病毒。在Mac世界里，用户们的确比在Windows里面要安全很多，但是，并不是绝对安全，如果使用／配置不当，Mac用户电脑同样有变成"Zombie PC"的可能, 比如下载安装来路不明的软件，就是最常见的一个不良习惯。其实，Mac用户一定要避免Windows用户的习惯，使用电脑做什么都要找相应的软件，在Mac上大多数的用户需求已经包括在系统中了，要先从Mac系统中找现成软件使用，如果真的没有对应功能软件，再另寻它途。
还有就是系统配置方面的注意事项，最好打开Firewall, 虽然说它并不是最好的；还有关闭不必要的服务，比如File Sharing, Screen Sharing, Remote Management, 和Remote Login等等，如果一定要开放，那么一定要慎重考虑用户的权限。对于企业用户来说，开启并设置默认管理员用户并限制最终用户权限的管理方式，是比较可靠可行的安全管理，这和Windows的是基于同样的理念的。
如果你一定认为，杀毒软件是必不可少的，那么各大杀毒软件公司基本都有专门Mac版本的，而免费的来说，目前只有ClamXav还比较可靠了。
用户还要定期检查并更新系统，这个更新程序也是系统内置的，它可以检查并安装系统和Apple大多数的软件的更新，而对于第三方的软件，用户也要养成更新的习惯，比如MS Office for Mac，就有自己的更新程序。


通过上面所属的三个范畴的安全措施的正确实施，可以说用户就可以放心地使用Mac电脑了。


后记：
　　文中有很多细节问题，这里没有详细讲述，有的可能可以引出长篇论述，有的在我的其它blog文章中也略有谈及，所以不赘述。



TonyLiu in Calgary

2010-03-28