任職系統(tǒng)管理員有時(shí)可不是份輕松的差事。由于要管理諸多設(shè)備、網(wǎng)絡(luò)和用戶，很容易被搞得精疲力竭，因而不是忽視某個(gè)隱藏的設(shè)置，就是將某個(gè)配置保護(hù)得過于嚴(yán)格了一點(diǎn)。

獲得對(duì)OS X的管理員訪問權(quán)

然而，無論走哪個(gè)極端，都不可避免地導(dǎo)致出現(xiàn)兩種場(chǎng)景中的一種：一旦鉆了漏洞的空子，未授權(quán)用戶就會(huì)被授予更高的權(quán)限;或者環(huán)境實(shí)在太安全了，連IT部門都失去了一度無限制的訪問權(quán)。

具有諷刺意味的是，在我IT職業(yè)生涯的早期階段，我在一路學(xué)習(xí)組策略(Group Policy)或蘋果的服務(wù)器管理員工具(Server Admin Tools)時(shí)，數(shù)次碰到過這一幕。而我得到的教訓(xùn)是：想最清楚地知道如何搞定某技術(shù)，一定要明白如何破解該技術(shù)。

本文介紹的三種方法不僅可以用來重新獲得對(duì)管理員帳戶的訪問權(quán)，同時(shí)還能了解如何防止別人企圖也這么做。

1. 恢復(fù)分區(qū)

它是如何發(fā)生的?

這個(gè)過程非常簡(jiǎn)單。從斷電狀態(tài)，開啟Mac電源，按住蘋果編鐘前面的[Option]鍵。一直按住此鍵，直到Startup Manager(啟動(dòng)管理器)裝入。下一步，選擇Recovery Partition(恢復(fù)分區(qū))。啟動(dòng)進(jìn)入到恢復(fù)分區(qū)后，依次選擇Utilities(實(shí)用工具)| Terminal(終端)。輸入命令“resetpassword”(注意沒有雙引號(hào))，按回車鍵，即可調(diào)出密碼重置實(shí)用工具。之后，選擇含有你想重置的某個(gè)帳戶的那只驅(qū)動(dòng)器，從下拉式菜單中選擇一個(gè)用戶。為該帳戶指定一個(gè)新密碼，確認(rèn)密碼，然后點(diǎn)擊Save(保存)按鈕。重啟電腦，一旦裝入OS X，只要輸入帳戶名稱和剛重置的密碼，即可獲得管理訪問權(quán)。

誰能執(zhí)行這項(xiàng)操作?

實(shí)際接觸得到節(jié)點(diǎn)的人都能夠執(zhí)行這個(gè)重置方法。

如何才能防止這個(gè)操作?

幸好，有兩種這樣的方法可以防止這個(gè)操作。首先，啟用Firmware Password(固件密碼)，這也可以從恢復(fù)分區(qū)中的Utilities(實(shí)用工具)| Firmware Password Utility(固件密碼實(shí)用工具)來啟用，它會(huì)設(shè)置一個(gè)EFI引導(dǎo)密碼，防止用戶引導(dǎo)進(jìn)入到除默認(rèn)引導(dǎo)驅(qū)動(dòng)器之外的任何設(shè)備。

其次，啟用FileVault 2，這是蘋果的全盤加密功能，這可以保護(hù)密碼遠(yuǎn)離與非加密帳戶同樣的密碼重置例程，那是由于FV2處理密碼重置的方式獨(dú)立于操作系統(tǒng)。這意味著，雖然用戶有可能更改管理員帳戶的密碼，但由于身份驗(yàn)證在FV2中處理起來有點(diǎn)不同，用戶將首先需要用之前的密碼(他/她不知道該密碼)來驗(yàn)證身份，驗(yàn)證通過后才能獲得系統(tǒng)訪問權(quán)。#p#

2. 單一用戶模式

它是如何發(fā)生的?

從斷電狀態(tài)引導(dǎo)Mac時(shí)，按住蘋果編鐘前面的[Command]+[S]組合鍵，這會(huì)導(dǎo)致電腦引導(dǎo)進(jìn)入到單一用戶模式(SUM)。

SUM旨在用作一種工具，幫助IT人員及開發(fā)人員排查影響OS X的問題，尤其是與引導(dǎo)有關(guān)的那些問題。它確實(shí)有另一個(gè)優(yōu)點(diǎn)(或者說缺點(diǎn))：以root訪問權(quán)(又叫超級(jí)用戶)啟動(dòng)，這讓命令可以在管理員層面加以執(zhí)行。節(jié)點(diǎn)自動(dòng)引導(dǎo)進(jìn)入到SUM，不需要登錄信息。

如果運(yùn)行下面的命令，用戶可以重置Apple Setup運(yùn)行時(shí)環(huán)境，讓它回到出廠設(shè)置，促使電腦在隨后的重啟過程中再次運(yùn)行這個(gè)過程。完成安裝過程還意味著，將創(chuàng)建一個(gè)新的管理員帳戶，因而危及系統(tǒng)的安全性。

mount -uw /


rm /var/db/.AppleSetupDone


shutdown -h now

誰能執(zhí)行這項(xiàng)操作?

就像恢復(fù)分區(qū)一樣，實(shí)際接觸得到節(jié)點(diǎn)的人都能夠執(zhí)行這個(gè)重置方法。

如何才能防止這個(gè)操作?

同樣，設(shè)置固件密碼將確保試圖獲得訪問權(quán)的人都必須提供固件密碼，之后才能看到啟動(dòng)管理器、進(jìn)入SUM。

另外，F(xiàn)ileVault 2允許訪問SUM，但是用戶需要首先通過FV2的登錄窗口驗(yàn)證身份。

3. Apple ID

它是如何發(fā)生的?

從System Preferences(系統(tǒng)首選項(xiàng))裝入U(xiǎn)sers & Groups(用戶與用戶組)首選項(xiàng)面板，將列出某臺(tái)電腦中本地存儲(chǔ)的所有帳戶。選擇一個(gè)帳戶時(shí)，可以勾選標(biāo)為“Allow user to reset password using Apple ID”(允許用戶使用Apple ID重置密碼)的復(fù)選框。

這個(gè)選項(xiàng)的目的是，擁有與Apple ID關(guān)聯(lián)的用戶帳戶的任何人在登錄屏幕出現(xiàn)時(shí)都能重置密碼，只要輸入其Apple ID，使用該帳戶驗(yàn)證身份。

附帶提一下，雖然可以、而且鼓勵(lì)將Apple ID和iCloud 作為獨(dú)立帳戶分開來，可是在許多情況下，它們是同一個(gè)帳戶。這增添了另一條攻擊途徑。因?yàn)槿f一Apple ID登錄信息泄密，iCloud帳戶就可以被用來訪問位于iCloud的Find My iPhone應(yīng)用程序，與該帳戶關(guān)聯(lián)的其他設(shè)備就有可能在管理員(或設(shè)備所有人)不知情的情況下被人從設(shè)備列表上遠(yuǎn)程刪除，等到發(fā)覺時(shí)，往往為時(shí)已晚。

誰能執(zhí)行這項(xiàng)操作?

只有知道允許使用Apple ID重置這個(gè)復(fù)選框已啟用的帳戶所需要的ID登錄信息的那些人才能執(zhí)行。不過，危險(xiǎn)可能遠(yuǎn)程或本地出現(xiàn);也可以被有權(quán)訪問用Apple ID帳戶注冊(cè)的電子郵件帳戶的任何人所執(zhí)行。

如何才能防止這個(gè)操作?

明顯的選擇就是不要勾選帳戶的Apple ID密碼重置復(fù)選框。不過，這個(gè)選項(xiàng)的用途比負(fù)面因素多得多，而且取決于你的環(huán)境及/或企業(yè)政策。

一種更現(xiàn)實(shí)的方法就是，遵循密碼最佳實(shí)踐，比如選擇至少14個(gè)字符的強(qiáng)密碼，鍵與鍵間隔很寬(使用大小寫字母、數(shù)字和字符)。你還應(yīng)該每過45天至90天更改這個(gè)密碼，并確保至少在前六次變更中沒有使用同一個(gè)密碼。

將與Apple ID關(guān)聯(lián)的電子郵件帳戶與公司或個(gè)人帳戶分開來，這也是個(gè)好主意。

最后，為Apple ID和iCloud實(shí)施分為兩步的驗(yàn)證也有望阻止企圖繞過限制的大多數(shù)行為。

切記：電腦執(zhí)行某一項(xiàng)任務(wù)的方式不止一種，需要做好調(diào)查工作，以測(cè)試系統(tǒng)。這對(duì)于加強(qiáng)電腦的安全，并繼續(xù)提高負(fù)責(zé)管理及維護(hù)電腦的人員的安全意識(shí)將大有幫助。

對(duì)于獲得OS X的訪問權(quán)或阻止訪問權(quán)還有其他什么高招?歡迎留言交流。

英文：Pro tip: Three ways to gain (or prevent) admin access to OS X