Уязвимости учетных записей

Как обсуждалось ранее в этом уроке, система Lion использует разные типы учетных записей пользователей: стандартные пользователи, администраторы, пользователь guest, пользователи только для общего доступа и пользователь root. Для большей гибкости в управлении доступом пользователей компания Apple сделала эти различные типы учетных записей доступными. Так как каждый тип учетной записи предназначен для обеспечения различных уровней доступа, необходимо знать о потенциальных рисках безопасности каждого типа учетной записи.

Стандартные пользователи

Данный тип учетных записей является максимально безопасным, если задан подходящий пароль. Эти пользователи могут использовать почти все ресурсы и средства компьютера Mac, но не могут изменить ничего, что может повлиять на операционную систему. Можно еще больше ограничить эту учетную запись, используя управляемые настройки средств родительского контроля, как обсуждалось ранее в этом уроке.

Администраторы

Так как это исходная учетная запись, создаваемая при начальной настройке компьютера Mac с помощью Ассистента миграции (Setup Assistant), многие используют ее в качестве основного типа учетной записи. Это необходимо и оправдано, так как позволяет изменять все, что требуется для управления системой. Недостатком является то, что пользователь может изменить или установить такое программное обеспечение, которое сделает систему незащищенной или неустойчивой.

Для повседневного использования можно применять дополнительные учетные записи администраторов, но это не всегда лучшее решение, так как все учетные записи администраторов создаются равноценными в правах. Другими словами, все учетные записи администраторов могут вносить любые изменения в систему, включая удаление или изменение пароля других учетных записей администраторов. Администраторы могут также изменять права для любой другой учетной записи, либо отключая текущих администраторов, либо превращая стандартных пользователей в администраторов. Более того, запуск вредоносных программ от имени администратора может нанести серьезный вред операционной системе.

Однако самое важное заключается в том, что любой администратор может включить учетную запись root или изменить пароль учетной записи root с помощью утилиты Служба каталогов (Directory Utility), расположенного в папке Система/Библиотеки/ Core Services (/System/Library/Core Services). По этим причинам необходимо ограничивать число учетных записей администраторов.

Пользователь guest

Пользователям guest по умолчанию разрешен доступ к компьютеру через сетевой общий доступ без пароля. Кроме того, гостям можно разрешить входить в систему локально, не вводя пароль. Хотя домашняя папка пользователя guest удаляется всякий раз, когда он выходит из системы, очевидный риск безопасности состоит в том, что любой пользователь получает доступ, эквивалентный доступу стандартной учетной записи (в том числе доступ к папкам Общие [Public], Почтовый ящик [Drop Box], Сайты [Sites] и Общий доступ [Shared]). Такой пользователь может выполнять некоторые потенциально опасные приложения или заполнять жесткий диск нежелательными файлами. Пользователь guest может также перезапустить или выключить Mac, что позволяет скомпрометировать систему во время запуска.

К счастью, можно ограничить учетную запись guest и, используя средства родительского контроля, запретить ей выполнять несанкционированные приложения или перезапускать Mac. Кроме того, можно изменить полномочия доступа на папках Общий доступ (Shared) и Почтовый ящик (Drop Box), чтобы запретить учетной записи guest копировать какие-либо объекты на жесткий диск. Изменения прав доступа к файлам и папкам рассматриваются в уроке 3.

Пользователи только для общего доступа

Пользователям только для общего доступа по умолчанию разрешен доступ по сети к папкам Общие (Public) и Почтовый ящик (Drop Box), поэтому аналогично учетной записи guest они могут потенциально заполнить жесткий диск нежелательными файлами. С другой стороны, пользователи только для общего доступа не могут войти в систему локально и им может быть задан пароль, поэтому работа пользователей только для общего доступа обычно более безопасна, чем использование учетной записи guest для общего доступа к файлам. Можно еще больше усилить контроль над этими пользователями, настроив права доступа к файлам и папкам. Однако при настройке полномочий можно случайно предоставить пользователям только для общего доступа слишком широкие полномочия. Настройка служб общего доступа к файлам рассматривается в уроке 7.

Пользователь root

Учетная запись пользователя root, называемого также Администратор системы (System Administrator), по умолчанию отключена на клиенте Lion. Это сделано вполне обоснованно: учетная запись root имеет неограниченный доступ ко всем объектам Mac, и пользователи root могут делать с системой все, что захотят. Потенциал для недобросовестной активности с доступом root неограничен. Для начального доступа к учетной записи root требуется учетная запись администратора, поэтому ограничение административного использования является ключом к защите учетной записи root.

Примечание. Любой, кто имеет доступ к системе восстановления Lion Recovery, может также сбросить пароль учетной записи пользователя root. Если вы заботитесь о безопасности, то настоятельно рекомендуется задать пароль прошивки, чтобы запретить свободный доступ к системе восстановления Lion Recovery. Процесс установки пароля прошивки рассматривается в разделе «Использование пароля прошивки» далее в этом уроке.