Unessa.net

Unessa.netin Omenatarha

Et ole kirjautunut. (Rekisteröidy!)

Mac OS X on kuulu hyvästä tietoturvastaan. Turvallinen tietokoneen käyttö on kuitenkin paljon muutakin kuin pelkästään turvallinen käyttöjärjestelmä. Tämän oppaan tarkoituksena on kertoa lyhyesti Mac OS X:n tietoturvaominaisuuksista, turvallisesta tietokoneen käytöstä yleensä, ja tarjota linkkejä tietoturvatietouteen.

Mac OS X järjestelmästä lyhyesti

Tämä alkukappale on johdantoa varsinaiselle asialle. Vaikka alla oleva saattaa vaikuttaa epärelevantilta ja/tai tylsältä, se kannattaa lukea, koska järjestelmän perusteiden tuntemus vaikuttaa oleellisesti siihen kuinka turvallisesti sitä osaa käyttää.

Mac OS X on perustaltaan BSD UNIX perheen jälkeläinen. Yhteys näkyy esimerkiksi siinä, että OS X on samantyylinen monen käyttäjän ympäristö kuin esi-isänsä. Myös järjestelmän tiedosto- ja oikeusjärjestelmä on UNIX-järjestelmien kaltainen.

Käyttäjät

Mac OS X:n kaltainen monen käyttäjän järjestelmä perustuu siihen, että järjestelmän eri toimintoja suoritetaan erilaisilla käyttäjätasoilla joilla puolestaan on eri oikeuksia. Tavalliselle käyttäjälle näkyvien henkilöön liittyvien käyttäjätunnusten lisäksi järjestelmässä on useita järjestelmään liittyviä käyttäjiä, joista useimmat eivät ole koskaan kuulleetkaan. Esimerkiksi OS X:n perusasennuksen mukana asentuvat mm. käyttäjät daemon, nobody ja www, joilla kaikilla on omat oikeutensa ja tehtävänsä järjestelmässä.

Kaikki järjestelmässä ajettavat ohjelmat suoritetaan jonkun käyttäjän toimesta. Kun esimerkiksi käynnistät Safarin, se käynnistyy oman käyttäjätunnuksesi kautta, omilla oikeuksillasi. Ohjelmia voi käynnistää myös toisilla ohjelmilla. Esimerkiksi web-jako toimii www-käyttäjän oikeuksilla.

Tietoturvan kannalta järjestelmässä on kaksi erityisen tärkeää käyttäjää: admin-käyttäjät ja root. Mac OS X:n asennuksessa ensimmäinen luotava käyttäjätunnus on oikeuksiltaan admin- eli ylläpitokäyttäjä. Ylläpitokäyttäjä voi luoda muita käyttäjätunnuksia, asentaa ohjelmia Ohjelmat- ja Kirjasto-kansioihin ja muuttaa järjestelmän asetuksia. Ylläpitokäyttäjä ei kuitenkaan voi esimerkiksi poistaa tärkeitä käyttöjärjestelmän tiedostoja.

Root, eli juurikäyttäjä, on hyvin erityinen käyttäjä, jolla ei ole mitään rajoituksia. Juurikäyttäjän oikeuksin ajettava komento tai ohjelma voi tehdä mitä tahansa; luoda, muokata ja poistaa tiedostoja; avata ja sulkea ohjelmia; ihan mitä tahansa. Tästä syystä juurikäyttäjän käytön valvonta on erityisen tärkeää. Mac OS X:llä juurikäyttäjä on oletuksena kytketty pois päältä.

Yksittäisiä käyttäjiä voidaan koostaa käyttäjäryhmiin. Esimerkiksi OS X:llä tavalliset käyttäjät kuuluvat automaattisesti ryhmään users ja ylläpitokäyttäjät ryhmään admin.

Oikeudet

Käyttäjien merkityksen ymmärtämiseksi pitää tuntea UNIXin tiedosto- ja oikeusjärjestelmää. Jokainen tiedostojärjestelmän objekti (eli tiedosto tai kansio) liittyy yhteen käyttäjään ja ryhmään. Objektien käyttöön liittyy kolme perusoikeutta: luku (read, r), kirjoitus (write, w) ja suoritus (execute, x). Luku- ja kirjoitusoikeudet ovat itsestään selviä, suoritusoikeus tarkoittaa eri asioita riippuen siitä onko kyseessä ohjelma tai kansio: ohjelmalle suoritusoikeus tarkoittaa nimensä mukaisesti oikeutta käynnistää ja suorittaa ko. ohjelma, kansiolle suoritusoikeus tarkoittaa oikeutta nähdä kansion sisälle.

Ohjelmakansion Lisäohjelmista löytyvän Pääte-ohjelman avulla on helppo tutkia tiedostoihin liittyviä oikeuksia. Alla esimerkki tavallisen käyttäjätunnuksen (demo) kotihakemistosta (komento ls -la)

Skywalker:~ demo$ ls -la
total 24
drwxr-xr-x   13 demo  demo    442 Feb 17 23:33 .
drwxrwxr-t    6 root  admin   204 Feb 17 23:33 ..
-rw-r--r--    1 demo  demo      4 Feb 17 23:33 .CFUserTextEncoding
-rw-r--r--    1 demo  demo   6148 Feb 17 23:33 .DS_Store
drwx------    2 demo  demo     68 Feb 17 23:33 .Trash
drwx------    3 demo  demo    102 Feb 17 23:33 Desktop
drwx------    3 demo  demo    102 Feb 17 23:33 Documents
drwx------   19 demo  demo    646 Feb 17 23:33 Library
drwx------    3 demo  demo    102 Feb 17 23:33 Movies
drwx------    3 demo  demo    102 Feb 17 23:33 Music
drwx------    4 demo  demo    136 Feb 17 23:33 Pictures
drwxr-xr-x    4 demo  demo    136 Feb 17 23:33 Public
drwxr-xr-x    5 demo  demo    170 Feb 17 23:33 Sites
Skywalker:~ demo$

1	2	3	4
d	rwx	r-x	r-x

Tulosteessa näkyvistä sarakkeista ensimmäisessä kuvataan tiedoston tyyppi ja oikeudet: (1) ensimmäinen merkki on tyyppi, (2) kolme seuraavaa merkkiä kertoo käyttäjän oikeudet, (3) kolme seuraavaa ryhmän oikeudet ja (4) kolme viimeistä muiden käyttäjien oikeudet kyseiseen objektiin. Ylläolevassa listauksessa muilla on oikeus lukea ja nähdä siis vain Public- ja Sites-kansiot (. ja .. ovat erikoishakemistoja).

Kun Levytyökalulla suoritetaan "Korjaa levyn oikeudet"-toiminto, se tarkistaa että tietyillä järjestelmän perusosilla nämä oikeudet ovat oikein. Emmehän esimerkiksi haluaisi, että kuka tahansa voisi poistaa Ohjelmat-kansion. (Oikeuksien korjaus kiinnittää huomiota vähän erilaisiin järjestelmän sisäisiin asioihin, mutta perusidea on tämä.)

Tietoturvan kannalta käyttäjät ja oikeudet ovat merkittäviä siksi, että jos tiedoston tai hakemiston oikeudet ovat väärät, ne voivat olla jonkun ulkopuolisen ulottuvilla. Samaten jos oikeudet ovat kunnossa, tiedostot ovat turvassa liian uteliailta ulkopuolisilta.

Turvallisen käytön perusteet

Tietoturva voidaan käsittää usealla tavalla. Viestintäviraston määritelmä on seuraava (korostukset allekirjoittaneen):

Tietoturvallisuudella tarkoitetaan hallinnollisia ja teknisiä toimenpiteitä, joilla taataan tiedon luottamuksellisuus, eheys ja käytettävyys.

Luottamuksellisuudella tarkoitetaan sitä, että tietoa pääsevät käsittelemään ainoastaan ne, joilla on oikeus käsitellä tietoa.

Eheydellä tarkoitetaan sitä, että tiedon käsittelymekanismit takaavat tiedon virheettömän käsittelyn. Tieto ei siis voi huomaamatta muuttua käsittelyprosessin aikana.

Käytettävyydellä tarkoitetaan sitä, että tieto ja sen käsittelymekanismit ovat aina oikeutettujen käyttäjien saatavilla.

Tässä oppaassa turvallisella järjestelmällä tarkoitetaan järjestelmää, joka on mahdollisimman hyvin suojassa viruksilta ja madoilta, hyökkäyksiltä, joka on virhesietoinen, ja joka ennaltaehkäisee käyttäjän tekemiä virheitä.

Turvallisen järjestelmän tärkeitä kulmakiviä ovat salasanat, käyttäjätunnukset, päivitykset, varmuuskopiot ja vastuullinen käyttö. Näistä tarkemmin seuraavassa.

Salasanat

Järjestelmään murtautuminen ei ole vaikeaa jos salasanaa ei ole, tai jos kone käynnistyy automaattisesti jollekin käyttäjätunnukselle. Hyvä salasana ei ole liian lyhyt, liian pitkä tai ilmiselvä. Peukalosääntönä salasanan valitsemisessa kannattaa muistaa, että mitään nimeä, oikeaa sanaa tai muuta helposti arvattavaa ei pidä käyttää salasanassa.

Hyvä salasana on turvallinen, mutta silti helposti muistettava. (Monitorin laitaan liimattu tai näppäimistön alle kirjoitettu kilometrin pitkä salasana ei ole hyvä salasana.) Yksi vinkki hyvän salasanan keksimiseen on painaa muistiin joku lause ja käyttää sanojen alkukirjaimia salasanana. (Esim. kMhsklsUn3, muodostettuna lauseesta "kerrankin Muistan hyvän salasanan kun luin siitä Unessa.netistä" olisi hyvä salasana, ellei sitä olisi julkaistu tässä :) Lue lisää hyvistä salasanoista.

Mac OS X tarjoaa salasanojen luomiseen mainion Salasana-apurin. (Löydät apurin Järjestelmäasetusten Käyttäjät-sivulta löytyvästä salasananvaihtolomakkeesta.) Apurin avulla voit luoda satunnaisen salasanan tai nähdä itse keksimäsi salasanan turvallisuuden.

Salasana ei ole ikuinen! Vaihda salasanasi vähintään kerran vuodessa.

Käyttäjätunnukset

Käyttäjätunnusten viisas käyttö on tärkeää UNIXin kaltaisessa monen käyttäjän järjestelmässä. Mac OS X:n asennuksessa ensimmäinen luotava käyttäjä on ylläpitokäyttäjä, jolla on admin-oikeudet. Ylläpitokäyttäjän käyttäminen normaalikäytössä ei ole suositeltavaa.

Luo itsellesi tavallinen käyttäjätunnus jota käytät normaalikäytössä (tai jos tunnuksesi on nyt ylläpitokäyttäjä, luo uusi ylläpitokäyttäjä ja poista itseltäsi tämän jälkeen ylläpito-oikeudet). Esimerkiksi ohjelmia asennettaessa järjestelmä pyytää tällöin sinua syöttämään ylläpitokäyttäjän tunnuksen ja salasanan, etkä voi tehdä huomaamattasi mitään hölmöä.

Kun toimit normaalikäytössä tavallisena käyttäjänä, myös mahdollisten haittaohjelmien ja troijalaisten käynnistys laukaisee automaattisesti lomakkeen jossa kysytään salasanaa. Tällöin järjestelmään ei pääse mitään ohjelmaa tietämättäsi.

Päivitykset ja järjestelmän turvaaminen

Monet onnistuneet tietomurrot ja leviämään lähteneet virusepidemiat ovat hyödyntäneet järjestelmässä olevaa jo paikattua haavoittuvuutta. Miten tämä on mahdollista? Siten, että monet eivät pidä järjestelmiään ajan tasalla. Asenna aina Applen julkaisemat tietoturvapäivitykset heti kun ne julkaistaan. Ohjelmistonpäivitys on mahdollista asettaa tarkkailemaan uusia päivityksiä automaattisesti, kytke tämä ominaisuus päälle. (Järjestelmäasetukset > Ohjelmiston päivitys)

Mac OS X on turvallinen heti asennuksen jäljiltä. Voit kuitenkin parantaa turvallisuutta entisestään sulkemalla Järjestelmäasetusten Jako-ikkunasta kaikki sellaiset jaot joita et käytä ja laittamalla palomuurin päälle. Turvallisuusasetuksista voit myös estää automaattisen sisäänkirjautumisen, vaatia salasanan kysymisen järjestelmäasetusten muuttamiseksi ja kytkeä virtuaalimuistin suojaamisen päälle.

Jos koneesi jää esimerkiksi töissä pitkiksi ajoiksi yksin, kannattaa ehdottomasti suojata näytönsäästäjästä poistuminen salasanalla. Saat myös kytkettyä Exposén asetuksista näytönsäästäjän käynnistymään esimerkiksi silloin kun hiiren kursori viedään ruudun nurkkaan. Toinen helppo tapa lukita järjestelmä sammuttamatta tai nukuttamatta sitä, on valita menupalkin oikean laidan käyttäjävalikosta Kirjautumisikkuna.

Varmuuskopiot

Pidä varmuuskopioita kaikesta jota pidät säilyttämisen arvoisena. Varmuuskopiointi on syytä tehdä automaattiseksi, sillä muuten siitä ei ole mitään hyötyä (koska haveri sattuu vain silloin kun olet unohtanut tehdä varmuuskopiot). Tietokone ei unohda ottaa varmuuskopioita.

Mac OS X:llä tärkeimmät varmuuskopioitavat kansiot ovat /Library (/Kirjasto), ~/Library ja /Users. Ellet halua varmuuskopioida koko käyttäjäkansiota, varmuuskopioi vähintään oman käyttäjäsi kansio. Kirjastokansioissa säilytetään ohjelmien asetukset ja mm. sähköpostit.

Varmuuskopioiden tekeminen pelkille rompuille on venäläistä rulettia. Miltäköhän mahtaa tuntua kun esikoisen ensimmäisen elinvuoden ajalta otetut digikuvat poistettiin vahingossa koneelta ja ainoa varmuuskopio oli rompulla joka on naarmuuntunut käyttökelvottomaksi? Pidä siis aina varmuuskopioita useassa paikassa, joista vähintään yksi on fyysisesti eri paikassa kuin kone. Esimerkiksi tulipalon sattuessa hyväkään varmuuskopiosetti ei lohduta jos kaikki kopiot olivat talossa, joka paloi poroksi.

Varmuuskopioinnin automatisointiin on tarjolla monenlaisia ohjelmia. Applen .Mac-palveluun kuuluu helppokäyttöinen Backup-ohjelma, netistä saatava SuperDuper! on perusominaisuuksiltaan ilmainen ja automaattisen kopioinnin osaava versio maksaa alle 30 euroa. Halpa hinta hyvistä yöunista. Varmuuskopioinnin järjestämisestä puhuttiin myös Omenatarhapodcastin jaksossa 8.

Vastuullinen käyttö

Käyttäjä itse on järjestelmän tietoturvan tärkein osa. Etenkin Mac OS X:n kaltaisella teknisesti turvallisella järjestelmällä useimmat tietoturvauhat liittyvät käyttäjän itsensä tekemiin virheisiin.

Tiesitkö, että Kevin Mitnick sai useimmat varastamistaan salasanoista yksinkertaisesti pyytämällä niitä käyttäjiltä itseltään? Käyttäjien hyväluuloisuuteen perustuu myös monet ns. phishing-hyökkäyksistä, joissa esimerkiksi verkkopankin tunnuksia tai salasanoja pyydetään sähköpostitse.

Mac OS X:n toistaiseksi ainoa tunnettu virus perustuu tähän sosiaaliseen hakkerointiin, jossa järjestelmään tunkeudutaan käyttäjän itsensä avustamana sen sijaan että käytettäisiin hyväksi jotain järjestelmän tunnettua tietoturvareikää.

Jos virusohjelman tekijä on vaihtanut ohjelman kuvakkeen JPEG-kuvan näköiseksi, avatessasi tätä kuvaksi luulemaasi ohjelmaa järjestelmä pyytää syöttämään ylläpitokäyttäjän tunnuksen ja salasanan. Tässä vaiheessa ei pidä antaa salasanaa, vaan pitää kysyä itseltä miksi kuvan avaamiseen pyydetään ylläpitäjän salasanaa. Jos epäilet tiedostossa olevan jotain hämärää, älä avaa sitä.

Monet tehokäyttäjät käyttävät tietokonettaan niin "tehokkaasti", että dialogien lukemiseen ei jää aikaa. Lue aina mistä dialogissa on kyse. Ellet ymmärrä mitä sinua pyydetään tekemään, sulje ohjelma ja kysy kaverilta (tai vaikka keskustelufoorumilta) neuvoa.

Lopuksi

Tietoturva on tärkeä asia kaikille tietokoneen käyttäjille ja siihen pitäisi kiinnittää huomiota jokapäiväisessä käytössä. Turvallista järjestelmää on myös mukavampi käyttää!

Tässä oppaassa käytiin lyhyesti läpi erilaisia tietoturvaan liittyviä asioita Mac-käyttäjän näkökulmasta. Monia tietoturvaan liittyviä asioita kuten sähköpostiin liittyvät asiat on rajattu tarkoituksella pois. Alla olevat linkit ovat hyviä lähtökohtia tässä oppaassa käsiteltyjen oppien syventämiseen ja lisätietojen etsimiseen.

Linkit

Tietoturvakoulu

Viestintävirasto - Tietoturva

Apple : Safety tips for handling email attachments and content downloaded from the Internet

Mac OS X v10.4 Tiger - Accounts, Passwords & Security

Apple Product Security

An Introduction to Mac OS X Security

HOWTO: Backup Your Mac With rsync

Take Control of Mac OS X Backups: Part One

Take Control of Mac OS X Backups: Part Two

"Well Known" TCP and UDP Ports Used By Apple Software Products

Muutoshistoria

20.2.2006 - Versio 1.2

Lisätty kuva salasana-apurista ja vaihdettu oppaan nimi kuvaavammaksi.

19.2.2006 - Versio 1.1

Lisätty linkkejä, korjattu lukijoiden ilmoittamia kirjoitus- ja asiavirheitä.

18.2.2006 - Versio 1.0

Ensimmäinen versio julkaistu verkkoon.

Lähetä palautetta »

Omenatarhasta

Unessa.netin Omenatarha on Apple- ja Mac-aiheisiin keskittynyt sivusto. Juttuja toimittaa Ville Säävuori.

• Tietoa Omenatarhasta
• Arkistot
  • Tagit

Omenatarhapodcast

Omenatarhapodcast on yksi Suomen ensimmäisistä säännöllisesti julkaistuista podcasteista. (Mikä on podcast?)

• Podcast-arkistot
• Omenatarhapodcast RSS