ম্যাক ওএসএক্স: কীভাবে পাসওয়ার্ড থেকে কোনও অ্যাপ্লিকেশন বা অন্য ফোল্ডারটিকে মুছে ফেলা / ব্যবহারকারী / প্রশাসক / রুট দ্বারা সরানো থেকে সুরক্ষা দেওয়া যায়


4

আমি সিকিউরিটি এজেন্টের সাথে কাজ করছি। এর মধ্যে আমি কোনও ব্যবহারকারীর / প্রশাসক / রুটকে আমার সুরক্ষা এজেন্ট অ্যাপ্লিকেশনটি সাধারণত মুছতে অনুমতি দিতে চাই না।

যদি ব্যবহারকারী / প্রশাসক / রুট .app ফাইলটি মুছে ফেলার চেষ্টা করে তবে ওএসের পাসওয়ার্ড ডায়ালগটি দেখাতে হবে। যদি ব্যবহারকারী পাসওয়ার্ড জানেন তবে কেবল এটি মুছে ফেলা উচিত।

এটিতে কোনও পয়েন্টার সহায়ক হবে।


3
তোমরা যে কোন কিছু (অথবা উবুন্টু RM) কাজ করা থেকে রুট বন্ধ করতে পারবেন না জন্য ব্যবহারকারীদের ইউনিক্স ফাইল অনুমতি তাকান
মার্ক

sudo একটি পাসওয়ার্ড চাইবে।
ডুইটাইট

সমস্ত যথাযোগ্য সম্মানের সাথে, মার্ক ভুল; নীচে আমার উত্তর দেখুন। সুডো পাসওয়ার্ড অ্যাডমিন ব্যবহারকারীদের কাছে জানা থাকবে, সুতরাং ইউনিক্স ফাইল অনুমতিগুলি অপের প্রশ্নের উত্তর নয়।
কমাটোস্টে

উত্তর:


10

দাবি পরিত্যাগী

এই উত্তরটি নিয়মিত ব্যবহারকারীদের সুরক্ষা পরামর্শ হিসাবে নয়। আপনার ম্যাকের সুরক্ষিত স্থানটি 1 এ সেট করার ফলে নির্দিষ্ট সফ্টওয়্যার বা হার্ডওয়্যার ড্রাইভারগুলি দুর্বল হওয়ার সম্ভাব্য কারণ হতে পারে, তাই এই পদক্ষেপগুলি সম্পাদন করার কোনও অনাকাঙ্ক্ষিত পরিণতি হতে পারে কিনা তা নির্ধারণ করার জন্য আমি আপনার নিজের যথাযথ পরিশ্রম এবং স্বতন্ত্র গবেষণা এবং পরীক্ষার পরামর্শ দিচ্ছি।

সুপার-ব্যবহারকারীর সুরক্ষা বিধিনিষেধ সম্পর্কিত বিএসডি-র বৈশিষ্ট্যগুলি সম্পর্কে নীচের লিঙ্কযুক্ত নিবন্ধের বিভাগ 5.4.2 শুরু করার জন্য ভাল জায়গা। http://docstore.mik.ua/orelly/other/puis3rd/0596003234_puis3-chp-5-sect-4.html

ভবিষ্যতে সেই লিঙ্কটি ভেঙে যাওয়ার ক্ষেত্রে নিবন্ধটির সর্বাধিক গুরুত্বপূর্ণ বিভাগটি সেটিংয়ের প্রভাবগুলি তালিকাভুক্ত করে kern.securelevel=1:

কাঁচা ডিস্ক পার্টিশনগুলিতে লেখার অ্যাক্সেস নিষিদ্ধ। (এটি ডিস্কের সমস্ত পরিবর্তনকে ফাইল সিস্টেমে যেতে বাধ্য করে))

এসসিএসআই বাস নিয়ন্ত্রকের কাঁচা প্রবেশ নিষিদ্ধ।

অপরিবর্তনীয় পতাকা সেট থাকা ফাইলগুলি পরিবর্তন করা যায় না। কেবলমাত্র সংযোজন বিট সেট করা ফাইলগুলিতে কেবল এ্যাপড করা যেতে পারে এবং অন্যথায় সংশোধন বা মোছা যায় না।

আইপি প্যাকেটের সামগ্রীগুলি লগ করা যায় না।

সিস্টেম কনসোলে কাঁচা I / O নিষিদ্ধ।

সিস্টেম মেমোরিতে কাঁচা লেখা বা ব্যবহারকারী প্রোগ্রামগুলি থেকে I / O ডিভাইস নিয়ন্ত্রকগুলি নিষিদ্ধ।

লিনাক্স / প্রোক ফাইল সিস্টেমে কিছু অ্যাক্সেস অস্বীকার করা হয়েছে।

অতিরিক্ত কার্নেল মডিউলগুলি লোড করা যায় না।

সিস্টেমের ঘড়িটি পিছনের দিকে সেট করা যায় না। তদ্ব্যতীত, এটি সর্বাধিক এক সেকেন্ডের চেয়ে বেশি সেট করা যায় না এবং এটি প্রতি সেকেন্ডে একবারে এগিয়ে সেট করা যায় (কার্যকরভাবে, ঘড়িকে সর্বাধিক দ্বিগুণ পর্যন্ত ঠেলা যায়)।

এই তালিকাটি ব্যাপক নয়।

টিএলডিআর: সেটিংসের kern.securelevel=1নীচের পদক্ষেপগুলিতে বর্ণিত চেয়ে বেশি ফলাফল হতে পারে। সাবধান হও.

এটি বলেছিল, আমি ওএস এক্স 10.10.2 দিয়ে নিয়মিত আইম্যাকের উপর এই পদক্ষেপগুলি পরীক্ষা করে দেখেছি এবং ফলস্বরূপ কোনও সমস্যা লক্ষ্য করি না। অতীতে, securelevel 1ওএস এক্সের জন্য ডিফল্ট সেটিংস ছিল এবং ওএস এক্স ১০.১০ এর 1ম্যানপেজগুলি অপ্রত্যক্ষভাবে ইঙ্গিত করে যে এটি ডিফল্ট সেটিংস (তারা বলে যে schg অপসারণ করতে আপনাকে একক ব্যবহারকারী মোডে পুনরায় বুট করতে হবে, যার প্রয়োজন securelevel 0)।

যাইহোক, বাস্তবে, securelevel 0ওএস এক্স 10.5 থেকে ডিফল্ট সেটিংস। অনলাইন সম্প্রদায় যখন জানতে পেরেছিল যে অ্যাপল চুপচাপ ডিফল্টটি 0 এ পরিবর্তিত করেছে, তখন অ্যাপল আলোচনার থ্রেডে কিছু সিসাদমিনরা এটি করার জন্য অ্যাপলের "আপত্তিহীন" বলে অভিহিত করে। আমি অনলাইনে এমন কিছু সুরক্ষা গাইডও পেয়েছি যা বলছে যে kern.securelevel=1আপনার ম্যাক সুরক্ষার জন্য সেটিংস একটি গুরুত্বপূর্ণ পদক্ষেপ। YMMV।

উত্তর সংক্ষিপ্তসার

যতক্ষণ না আপনি ম্যাকের উপর ফার্মওয়্যারের পাসওয়ার্ড সেট করেন, আপনি কেবলমাত্র এই সাধারণ টার্মিনাল কমান্ডটি ব্যবহার করে সেই ম্যাকের যে কোনও ফাইলই কারও দ্বারা মুছে ফেলা সম্ভব নয়:

sudo chflags schg /path/to/file

এরপরে নিশ্চিত করুন যে আপনার ম্যাক সর্বদা 1 এর মাধ্যমে সুরক্ষিত করার জন্য 1 টি বুট করবে:

sudo vi /etc/sysctl.conf

একবার vi সম্পাদক এ, iসন্নিবেশ মোড লিখতে টাইপ করুন, তারপরে টাইপ করুন kern.securelevel=1। এরপরে হিট করুন এন্টার, তারপরে কোলন, তারপরে টাইপ করুন wqএবং এন্টার চাপুন।

শেষ অবধি টার্মিনাল টাইপ:

sudo chflags schg /etc/sysctl.conf
sudo sysctl kern.securelevel=1

এখন যে সুরক্ষিত স্তর 1 এবং schgপতাকা সেট করা আছে, সিস্টেমটি একক ব্যবহারকারী মোডে পুনরায় বুট না করা পর্যন্ত ফাইলটি মোছা যাবে না।

যদি কোনও ফার্মওয়্যার পাসওয়ার্ড সেট করা থাকে তবে একক ব্যবহারকারী মোডে প্রবেশের জন্য আপনার সেই পাসওয়ার্ডটি দরকার। টার্গেট ডিস্ক মোডে প্রবেশ করতে বা স্টার্টআপ ডিস্ক পরিবর্তন করার জন্য আপনার আরও এটি প্রয়োজন।

Schg পতাকা সেট সহ, রুট এমনকি ফাইল মুছতে পারে না। এটি ফাইন্ডার বা টার্মিনাল থেকে কেউ এটিকে সংশোধন করতে পারে না। এটি ফাইন্ডারে লক হয়ে দেখা দেবে, তবে লক করা চেকবাক্সটি এডমিন পাসওয়ার্ড সহ, যাই হোক না কেন, সর্বদা ধূসর হয়ে থাকবে। টার্মিনালে, sudo rm /path/to/fileএখন "অপারেশন অনুমোদিত নয়" বলে ব্যর্থ হবে। এছাড়াও, sudo SetFile -a l /path/to/file"ERROR: অপ্রত্যাশিত ত্রুটি ((-5000)" এর সাথে ব্যর্থ হবে। : ডি

এই ফাইলটি মোছার জন্য, কাউকে একক ব্যবহারকারী মোডে রিবুট করতে ফার্মওয়্যার পাসওয়ার্ড ব্যবহার করতে হবে, তারপরে এই কমান্ডটি ব্যবহার করে schg পতাকাটি আনসেট করুন:

sudo chflags noschg /path/to/file

এর পরে এটি মুছতে পারে।

আপডেট: কাজের উত্তরের জন্য প্রয়োজনীয় সমালোচনামূলক অতিরিক্ত পদক্ষেপ

বুধ আপডেট করা হয়েছে। 18 মার্চ 2015 একটি নতুন / প্রাইভেট / ইত্যাদি ডিরেক্টরিতে সিস্টেমে ফাইলটি পুনরায় আরম্ভ করা হবে। এটি সুরক্ষিত স্তরের শূন্যে ফিরে যাওয়ার কারণ ঘটবে।

এটি রোধ করতে উপরের পদক্ষেপগুলি সম্পাদন করার পরে আপনার নিম্নলিখিত কমান্ডগুলিও সম্পাদন করা উচিত:

sudo chflags schg /private
sudo chflags -h schg /etc

প্রথম কমান্ডটি / ব্যক্তিগত ডিরেক্টরি এবং এর উপ-ডিরেক্টরিগুলি নামকরণে অক্ষম করে। দ্বিতীয় কমান্ডটি মূল-স্তরের প্রতীকী লিঙ্কটিকে / ব্যক্তিগত / ইত্যাদির সাথে নামকরণ বা মুছতে অসম্ভব করে তোলে। ( -hআর্গুমেন্টটি চিফ্লেগগুলি প্রতীকী লিঙ্কের লক্ষ্যে কাজ করার পরিবর্তে প্রতীকী লিঙ্কটি নিজেই কাজ করে)

প্রধান ক্যাভেটস

  1. আপনি যদি কোনও হ্যাকিনটোস বা ম্যাক প্রোতে আনফিশিয়াল পিসি গ্রাফিক্স কার্ডের সাথে রয়েছেন যা অফিসিয়াল অ্যাপল ফার্মওয়্যার বা এর সাথে কার্যত অভিন্ন কিছু দিয়ে প্রজ্জ্বলিত হয়নি, এই কৌশলটি কাজ করবে না। আমি নিশ্চিত নই যে তারা একক ব্যবহারকারীর মোডে বুট করতে পারে, তাই আপনি যদি সিস্টেস্টল.কনফ ফাইলটি স্থাপন করেন এবং সেটাকে এসএসজি তে সেট করেন তবে এটি চিরকালের মতো হতে পারে। যার অর্থ schg এ সেট করা কোনও ফাইল কখনই মোছা যাবে না।

  2. এসএমডি / এইচডিডি অপসারণ করে এবং অন্য কম্পিউটারে সংযুক্ত করে ফার্মওয়্যারের পাসওয়ার্ডটি পুনরায় সেট করতে বা ফাইলটি মুছে ফেলার কিছু শারীরিক উপায় থাকতে পারে।

উত্তরের ব্যাখ্যা

আপনি গুগল করার সময় দেখানো পদক্ষেপগুলি ব্যবহার করে আপনার ম্যাকের জন্য ফার্মওয়্যার পাসওয়ার্ড সেট করতে, "কীভাবে ফার্মে পাসওয়ার্ড সেট করতে হয়" c সংক্ষেপে পদক্ষেপগুলি হ'ল:

  • পুনরুদ্ধার মোডে রিবুট করুন

  • ইউটিলিটি মেনু থেকে ফার্মওয়্যার পাসওয়ার্ড ইউটিলিটি নির্বাচন করুন এবং পাসওয়ার্ড সেট করুন

  • ...

  • লাভ!

গুহাদের ব্যাখ্যা

নোট করুন যে অপসারণযোগ্য র‌্যাম সহ ম্যাক্সে, একজন হ্যাকার র‌্যামের পরিমাণ পরিবর্তন করে আপনার ফার্মওয়্যার পাসওয়ার্ডটি পুনরায় সেট করতে সক্ষম হতে পারে, তারপরে আপনার প্রাইমকে বেশ কয়েকবার মুছে ফেলতে পারে। সুতরাং ম্যাকগুলিতে কম্পিউটারের অভ্যন্তরীণ উপাদানগুলিতে ম্যানুয়াল অ্যাক্সেস রোধ করতে উপযুক্ত শারীরিক সুরক্ষা ব্যবস্থা গ্রহণ করুন।

chflags noschgকাজ করার জন্য আপনার অবশ্যই 0 টি নিরাপদলাভ করতে হবে এবং এটি সাধারণত নিরাপদে 0 এ ফিরে আসার একমাত্র উপায় একক ব্যবহারকারী মোডে রিবুট করা। আবার আপনার ম্যাকের কাছে অ্যাপল ফার্মওয়্যারের অভাব থাকলে এটি অসম্ভব হতে পারে। যদি আপনি অদ্ভুত / অনিশ্চিত sysctl kern.securelevelহন তবে টার্মিনালে টাইপ করে আপনার বর্তমান সুরক্ষিত স্তরটি দেখতে পারেন ; আপনি একক ব্যবহারকারী মোডে না থাকলে পদক্ষেপগুলি অনুসরণ করার পরে এটি সর্বদা 1 হওয়া উচিত!

আরও নোট

আমি যতদূর জানি, এবং আমি ভুল হলে আমাকে সংশোধন করুন, তবে ফার্মওয়্যার পাসওয়ার্ডের একমাত্র উপায় (র‌্যাম অপসারণের কৌশলটির মাধ্যমে এটি পুনরায় সেট করা ব্যতীত) প্রশ্নযুক্ত কম্পিউটার থেকে প্রাথমিক হার্ড ডিস্ক বা এসএসডি সরিয়ে ফেলা এবং অন্য কম্পিউটার থেকে কোনও এসএটিএসএস ইউএসবি অ্যাডাপ্টারে ব্যবহার করে বা এ জাতীয় কিছু। (সরকারী সংস্থা এবং / অথবা অ্যাপলের একটি গোপনীয়, শ্রেণিবদ্ধ পিছনের দরজা থাকতে পারে ... তবে তারা যদি আপনার পরে হয় তবে আপনি সম্ভবত ফাইলগুলি মুছতে চান, তাদের মুছতে বাধা দিতে পারেন না: ডি।)

সুতরাং, প্রযুক্তিগতভাবে বলতে গেলে, schg সেটিংটি কেবলমাত্র আপনার সমস্যাটি যদি 100% অযোগ্যতার সাথে সমাধান করে তবে আপনি যদি নতুন ম্যাকগুলি প্রতিস্থাপনযোগ্য র‌্যাম ছাড়াই এবং প্রতিস্থাপনযোগ্য হার্ড ড্রাইভ (যেমন একটি রেটিনা ম্যাকবুক প্রো, ম্যাকবুক এয়ার ইত্যাদি) ছাড়াই সমাধান করতে পারেন এবং আপনি আপনার EFI পাসওয়ার্ড সেট করুন, কারণ অপসারণযোগ্য র‌্যাম বা অপসারণযোগ্য এসএসডি ছাড়াই এগুলি হ'ল ম্যাক। (অবশ্যই যদি কেউ কেবল একটি ফাইল মুছতে আপনার ড্রাইভটি নিয়ে যায় তবে আবার সম্ভবত আপনার আরও খারাপ সমস্যা হতে পারে, যেমন, আমার হার্ড ড্রাইভটি কোথায় আছে?)

21.5 "আই-ম্যাকের" ব্যবহারকারী-প্রতিস্থাপনযোগ্য "র্যামের অভাব EFI পাসওয়ার্ডটি ছড়িয়ে দেওয়া এবং র‌্যাম চুরি করা অনেক বেশি শক্ত করে তোলে, সম্ভবত এ কারণেই অ্যাপল এটি সেভাবে তৈরি করেছিল, যেহেতু এটি স্কুলে বাচ্চারা ব্যবহার করতে পারে এবং পড়তে পারে এমন স্কুলে ব্যবহারের জন্য এটি প্রচুর উদ্দেশ্য ছিল সুরক্ষার যেকোন ব্যবস্থা: ডি (আমি জানি কারণ আমার দিনটিতে আমরা ম্যারাথন খেলতে সিস্টেম 7 এ ডান অতীতের হ্যাক করতাম ...)

21-নন "আইম্যাকগুলিতে আপনি আইম্যাকের জন্য একটি ম্যাকলকস-ব্র্যান্ড লকটিতে 40-50 ডলার বিনিয়োগ করে র‌্যাম-অপসারণ / ফার্মওয়্যার-পাসওয়ার্ড-রিসেট ট্রিকটিকে আটকাতে পারবেন It এটি সুরক্ষা বন্দরে যায় এবং একটি ধাতব প্লেট থাকে যা শক্তিটি coversেকে দেয় সকেট যেখানে র‌্যাম হ্যাচের জন্য মুক্তির জায়গা রয়েছে that সেই শারীরিক লকটি থাকা অবস্থায়, আপনার এসজিজি-সুরক্ষিত ফাইলটি মুছতে কারও কাছে হীরার করাত বা অনুরূপ প্রয়োজন হবে ... এবং লোকেরা যদি আপনার কম্পিউটারগুলিতে হীরা করাত গ্রহণ করে থাকে তবে আপনার অনেক কিছু রয়েছে ফাইল মুছে ফেলার চেয়ে চিন্তার জন্য আরও খারাপ সমস্যা, যেমন ড্যু, আমার কম্পিউটারটি কোথায়?


sudo chflags noschg /path/to/file; sudo rm /path/to/fileএমনকি একক ব্যবহারকারী মোডে অবলম্বন না করেও আমার পক্ষে কাজ করে।
nohillside

আপনি কোন ধরণের ম্যাক ব্যবহার করছেন? যদি এটি ম্যাক প্রো বা হ্যাকিনটোস হয় তবে এটির কোন ধরণের জিপিইউ রয়েছে? ওএস এক্স এর কোন সংস্করণ চালু আছে? sysctl kern.securelevelটার্মিনালে চলার ফলাফল কী ?
কমাটোস্ট

সিস্টেমটি দেরীতে ২০১২ ম্যাক মিনি চলছে ১০.১০.২০, kern.securelevelএটি 0। প্রতিলিপিটির জন্য পেস্টবিন. com/ বি 2 এলএনজি 7 এস 1 দেখুন ।
nohillside

1
ঠিক আছে আমাকে এটি পরীক্ষা করে দেখা যাক, সুরক্ষিত স্থান 1 এ স্থাপনের জন্য প্রয়োজনীয় আরও একটি পদক্ষেপ হতে চলেছে
CommaToast

2
আমি এটিকে বাইপাস করার কয়েকটি উপায় সম্পর্কে ভাবতে পারি। প্রথমত, ফাইলটি লক থাকা অবস্থায়, এখনও এটি থাকা ডিরেক্টরিটির নতুন নামকরণ করা এবং এটি একটি নিকট-সদৃশ (কেবল "লকড" ফাইলটি হারিয়েছে) দিয়ে প্রতিস্থাপন করা সম্ভব হবে। এটি রোধ করতে আপনার কমপক্ষে প্রতিটি ডিরেক্টরি এর পথে লক করা দরকার ... এবং এর অধীনে শীর্ষস্থানীয় যে কোনও ফোল্ডারটিকে লক করা বা সমস্যা হতে পারে। দ্বিতীয়ত, আমি ভেবেছি যে কোনও কার্নেল এক্সটেনশন ফাইল সিস্টেমের সেই অংশটিকে বাইপাস করতে সক্ষম করবে যা এসচজি পতাকাটি কার্যকর করে, এবং রুট এক্সটেনশানগুলি লোড করতে পারে।
গর্ডন ডেভিসন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.