Agregue un comando para sudo en OS X, o cómo solucionar una inconsistencia importante de seguridad en OS X

3

OS X proporciona acceso a Llaves, que es una excelente manera de guardar contraseñas de diferentes aplicaciones y sitios web. Cuando desee ver una contraseña a través de la GUI de Keychain Access, se le pedirá la contraseña de administrador. Sin embargo, OS X también proporciona un comando para exportar todas las contraseñas de Keychain Access a un archivo de texto, sin cifrar:

security dump-keychain -d login.keychain > keychain.txt

Este comando no requiere privilegios sudo .

Tengo dos preguntas:

  • ¿Cómo puedo agregar el requisito de privilegio sudo al comando security ?
  • ¿Se pretende este comportamiento o es una inconsistencia importante con respecto a las preocupaciones de seguridad en Apple?
pregunta user5365075 02.05.2016 - 18:37

1 respuesta

4

El comando security funciona como se esperaba y sigue las mismas políticas de acceso al llavero que seguiría cualquier otro programa.

  • El acceso al llavero de un usuario es no una función de administración: el llavero del usuario les pertenece, por lo que el acceso de administrador es irrelevante. Por otro lado, el llavero del sistema (/Library/Keychains//System.keychain) es "propiedad de" el sistema, por lo que el acceso de administrador podría ser necesario para él y / o sus elementos.

  • Para obtener acceso al llavero del usuario, primero debe estar desbloqueado. login.keychain normalmente se cifra con la contraseña de inicio de sesión del usuario y se desbloquea automáticamente cuando inicia sesión. Si aún no estaba desbloqueado, security generará una solicitud para que la contraseña la desbloquee.

  • Cada elemento del llavero tiene su propia política de acceso. Puede verlos en la utilidad Acceso a Llaveros haciendo doble clic en el elemento del llavero y luego seleccionando la pestaña Control de acceso. security obedece a estos controles de acceso: si está configurado en "Permitir que todas las aplicaciones accedan a este elemento", security volcará el elemento sin pedir nada; si está configurado en "Confirmar antes de permitir el acceso" (y security no está en la lista "Permitir siempre ..."), security activará un mensaje para acceder al elemento (y si "Solicitar contraseña del llavero "también está seleccionado, la solicitud requerirá la contraseña del llavero).

Es posible que se requieran derechos de administrador para ejecutar security , pero no lo recomendaría. En primer lugar, podría romper cualquier parte del sistema operativo que dependa de la ejecución de security (aunque no conozco ninguna), y en segundo lugar, no evitaría que ningún otro programa descargue el llavero, ya que otros programas están sujetos a Las mismas políticas de acceso.

    
respondido por el Gordon Davisson 03.05.2016 - 02:14

Lea otras preguntas en las etiquetas