MacOS X ve Güvenlik

0
anonim
Geçtiğimiz günlerde Ankara'da yapılan Serbest Yazılımcılar Konferansına katılan arkadaşım Sundance bana güvenlikle ilgili seminerde konuşmacı arkadaşın örnek verdiği işletim sistemlerinin arasında MacOS X ve MacOS X Server'ın bulunmadığını anlattı.

Aslında şaşıracak bir durum yoktu genel olarak ama Unix dünyasını yakından takip edenlerin bence bu iki işletim sistemini de her ne kadar kullanmaya imkan bulamasalar da yakından takip etmeleri gerektiğini düşünerek bir kaç önemli güvenlik özelliğinden bahsetmek istedim.
MacOS X işletim sistemlerinde Apple ufs (unix file system) ve hfs+ (macos extended fıle system) karışımı bir sistem kullanmış, bir kere sisteme telnetle login olduğunuz da user açamıyorsunuz (default kurulumda) user açmak için makina başına geçmeniz lazım, makina başından açtığınız userlar /etc/passwd dosyasında görünmüyor. İsterseniz root user i silin ve tekrar yaratın ve wheel grubu yerine staff grubundan yaratın, basit bir sifre koyun ve bunu /etc/passwd e elinizle ekleyin bir hacker etc altındaki passwd dosyasini aldığında ve root şifresini kırıp sisteme login olunca sadece bir şok geçiriyor ve bir daha MacOS X çalışan sistemlere yaklaşmıyor. Umarım Apple MacOS X'in bu güvenlikk açısından sağlamlığını bozmaz.

Görüşler

0
anonim
O soktan sonra crackerligi bile birakir belki. :)))
Saka bir yana ozellik hos tabi ama sok yasatacam diye gereksiz account acmak ne kadar mantikli bilemiyorum.
0
anonim
MAcOsX in PC lere kurulacagi soyleniyordu.
Bu konuda bir gelisme varmi?
0
Max
PC lerde MacOSX calismicak su an icin ama Darwin denilen kismi GUI si olmadan calisir durumda, www.apple.com
0
conan
/etc/passwd ve /etc/shadow u kendi elinle de duzeltemiyor musun?

$ whoami
root

$ echo patates:x:0:0::/root:/vin/bash >> /etc/passwd
$ echo patates:MD5pass:11666:0:99999:7::: >> /etc/shadow

Bunu mu engellemisler? Yoksa adduser script''''''''leri filan mi calismio?

Role based access filan mi kullanmislar yani? Annamadim pek...
0
anonim
Patates ? Debian kullanmıyoruz Mac OSX ;) bu satırlar çalışmaz :))

Bildiğim kadarıyla (MacOSX konusunda üstat Maxdir ben atıp tutuyom onun anlatmış olduklarından) asıl /etc/shadow ve /etc/password dosyaları Mac partisyonunda tutuluyor ve bu partisyona consoldan login olan bir kullanıcının erişim hakkı yok. Konsoldan user yaratabiliyorsun fakat bu root haklarına sahip bir user hiçbir zaman olamıyor. Hatta bir arkadaşa yanlışlıkla root paswordu masasında unuttuk numarasıyla şaka bile yapmıştık, deli olmuştu /etc/passwd ve shadow da birşey yapamayınca :))
Güzel Gantek günleri....
0
Rorqual
bir yerlerde Calva Kokusu alıyorum sanki ..:)
0
Max
etc/passwd var sadece :))
ondada hic bir user yokki :)
elle eklesen de calismaz zaten o rasi bir aldatmaca, adduser script i yok zaten macos x icin aslinda yok demeyelim vardir kesinlikle birilerinde ama benim bulduklarim genelde BSD icindi ve calismiyordu
0
Max
evet yok belki cikar derken bugun bir tane buldum adduser scripti denicem ve sonucu size bildirecegim
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Live CD'ler ve read-only mount

e2e

GNU/Linux'un en büyük katkılarından biri de Live CD'ler oldu. Knoppix ile başlayan Live CD serisi şimdilerde epey bir arttı. Live CD'lerin en temel kullanım alanlarından biri de "forensic", yani "kırılmış" bir sistem üzerinde iz sürme, kanıt bulma vs. Live CD'lerin makinadaki disk bölümlerini read-only mount etme özelliği sayesinde diskte herhangi bir kanıt kaybına neden olmadan bu işlem rahatlıkla yapılabiliyor, ya da en azından öyle düşünülüyordu.

Linux-Forensics.com'da yer alan bu incelemeye göre bu konuda istisnalar var. Yazar, EXT3 ve Reiserfs dosya sistemi olan disklerde read-only mount edilmesine rağmen disklerdeki hash değerlerinin değiştiğini belirtiyor. Bunun bu dosya sistemlerinin journaling özelliğinden kaynaklanıyor olabileceğini de ekleyen yazar, bunun sadece Knoppix'in değil, denediği başka Live CD GNU/Linux'larda da olduğunu söylüyor.

Macromedia Flash Player'da Buffer Overflow açığı

crematorium

Macromedia firmasının Flash yazılımının göstericisi olan Flash Player'da bir alan taşırma zaafiyetinin varlığı tespit edildi. Bu zaafiyet sayesinde bir flash animasyonu içeren masum görüntülü bir web sitesi aracılığı ile siteyi ziyaret eden kullanıcıların bilgisayar sistemlerinde istenen komutların işletilmesi mümkün olabiliyor.

Code:Red Konusunda birkaç tecrübe

bonzo

Selamlar,
Buralarda yeniyim bu nedenle yapısını bilemiyorum. Yazdıklarım basit gelebilir veya dili garip, bu nedenle baştan özür diliyorum. Sizlerle Code Red ya da aramızda verdiğimiz isimle Kudret ile geçirdiğim bir hafta sonunda bulduğum asıl olmayan çözümü paylaşmak istedim.

"Dungeons & Dragons" ile ilişkili güvenlik riskleri

anonim

İsrail Ordusu D&D oynayan yada oynamış olan askerlere daha düşük seviye güvenlik erişim hakları verdiğini açıkladı.

"Gerçeklerden daha kopuk ve etkilenmeye daha açık oluyorlar"

Haberi okumak için buraya lütfen.

100.000 $ isteyen

anonim

$100.000`lık Hacking Yarışması.Korea Digital Works`un düzenlediği yarışma`da firmanın güvenlik programı olan WOKS tarafından korunan servera ilk erişim hakkı kazanan ve ismini sitenin index`ine yazan Hacker`a tam $100.000 ödül verilecek.