出于这个原因,最好禁用任何不用于连接网络或Internet的接口。为此,启动System Preferences,并选择Network窗格。选择你想要禁用的每个界面,在每个界面列表的底部选择一个看起来像齿轮的按钮,然后从弹出菜单中选择“使不活动”。
这将禁用接口,但不会删除它——因此您可以轻松地将其更改为Make Active以恢复对接口的访问。
使用加密选项
Mac OS X提供了许多加密数据的选项,以防止在你的Mac丢失或被盗时访问数据。我已经提到了其中的几个,但是最大的例子是FileVault,它也可以从System Preferences的Security窗格中激活和管理。
FileVault将您的整个主文件夹转换为加密的磁盘映像。只有当您登录时,映像才会被挂载和访问。在其他任何时候,它都是不可读的。FileVault使用行业标准加密,如果您使用Time Machine,您的家庭文件夹内容的任何备份都同样加密。
注意:每个希望拥有加密主目录的用户都必须启用FileVault。每个主目录将被加密为一个单独的磁盘映像文件。
FileVault支持使用主密码作为安全网,可以用于重置用户密码,并在用户忘记密码时访问加密的主文件夹。但是,如果用户密码和主密码都丢失或忘记了,则无法从加密的主文件夹中检索数据。
要启用FileVault,请启动System Preferences,选择Security窗格,然后选择FileVault选项卡。您可以使用主密码说明旁边的“更改”按钮设置或更改主密码。(要这样做,您必须是计算机的管理用户,如果已经设置了主密码,则必须知道当前的主密码。)
接下来,单击“打开FileVault”按钮。第一次启用FileVault可能会花费大量时间,因为主文件夹的全部内容都被复制到新创建的加密磁盘映像中。如果您有数十或数百gb的数据,这可能需要几个小时甚至几天(很像最初的时间机器备份)。
由于这个原因,在首次创建用户帐户时最容易设置FileVault(因此主文件夹中的数据很少)。在初始复制期间,您还需要确保硬盘上至少有与主文件夹大小相同的可用空间,因为所有数据都将被复制。启用FileVault后,当您登录或退出时,FileVault会动态地对项目进行加密和解密,通常不会显著降低性能。
Disk Utility还允许您创建加密的磁盘映像。磁盘映像的外观和功能类似于虚拟硬盘驱动器,可以创建为空白映像或现有磁盘或文件夹的副本。挂载加密的磁盘映像并访问其中的内容需要密码。如果您只想保护部分文件的安全,如果您需要在主文件夹外安全地存储文件,或者如果您需要通过电子邮件或其他机制安全地共享文件,那么加密磁盘映像将非常有用。
要创建加密的磁盘镜像,请启动磁盘实用程序,并在工具栏中单击“新建镜像”按钮。您可以选择大小、名称(在挂载映像时将显示为磁盘/卷名称)、映像文件本身的文件名和位置,以及各种其他磁盘格式选项(通常可以保留为默认选择)。在“加密”菜单中选择“128位AES”或“256位AES”加密。
选择完成后,单击Create按钮。当Disk Utility创建映像时,它将提示您输入并验证打开磁盘映像文件所需的密码。在这个提示符中可以使用密码助手(以带有按键图标的按钮的形式,就像更改用户帐户密码时一样)。
明智地使用钥匙
Mac OS X钥匙链是一种安全收集大量功能密码的功能,包括电子邮件和即时消息账户、网络服务、Wi-Fi网络和文件服务器。Keychain以加密格式存储这些信息,只有在您提供主密码时才能解密。
Keychain还可以包含加密的注释(如银行账户信息)和安全证书,所有这些都可以从Mac上的Utilities文件夹中的Keychain Access应用程序访问和管理。锁定keychain或更改将导致keychain自动锁定的设置。您还可以在这里创建或删除keychain。
默认情况下,每个用户帐户都有一个与之相关联的Keychain,该Keychain在登录时使用用户的密码解锁。如果用户的密码不是通过“系统首选项”中的“帐户”窗格重置的(例如通过管理员帐户或从Mac OS X安装DVD),帐户和Keychain密码将不同步。您可以通过手动更改Keychain密码以匹配您的登录密码来解决这个问题,或者您可以使用苹果的重置Keychain钥匙链急救功能,还可以帮助排除其他类型的Keychain问题。
钥匙链既安全又方便。您可以通过使用多个Keychain(每个Keychain包含不同的信息)和不同的密码或简单地更改您的帐户的Keychain密码来提高安全性。这确保了即使您的用户帐户密码被泄露,Keychain中的数据——包括其他服务的密码——仍将保持安全加密。与固件密码一样,如果你忘记了Keychain的密码,它的内容将无法恢复。
充分利用Leopard的防火墙
Mac OS X有一个可选的防火墙已经有一段时间了,传统上是基于开源的Unix ipfw防火墙。Leopard引入了一个更新的动态防火墙选项。这个新的防火墙(单击“系统首选项”中的“安全”窗格中的“防火墙”选项卡)很简单,对于那些只想保护自己的计算机而不需要创建和管理复杂防火墙规则的用户来说很有帮助。
你可以选择阻止所有传入的流量,这将阻止你的Mac接受任何它没有明确请求的数据,比如网页。您还可以只允许核心系统服务接受传入数据,或者允许基于特定应用程序或系统进程的访问。
最后一个选项是最常用的,当应用程序希望接受未请求的传入数据时,它将导致Leopard警告您。如果允许应用程序传入数据,则将其添加到允许的应用程序列表中。iChat等应用程序需要传入连接才能正常运行。
您可以使用System Preferences中的列表来有选择地从允许的列表中删除应用程序,甚至只是作为一种验证哪些应用程序在列表中的快速方法。您还可以将allow规则更改为块规则,这将阻止应用程序接收传入数据或请求您允许访问。
另外两个选项——启用日志记录和启用隐身模式——可以通过Advanced按钮使用。正如你可能猜到的那样,日志记录了Mac接收到的所有流量以及这些流量是如何被过滤的。隐身模式将导致你的Mac忽略来自其他电脑的ping请求,并防止外部用户在网络上轻易检测到你的Mac。这增加了安全性,但也会限制网络问题的远程故障排除的有效性。
Leopard新的动态防火墙接口确实是建立基本防火墙规则的一种简单方法。连接仍然是根据每个请求所使用的网络端口号来评估的,但是防火墙的启用和配置已经大大简化了日常用户的操作。对于高级用户,完整的andy downs表示套件,它允许您开发更复杂的防火墙规则,仍然包含在Leopard中,可以通过终端访问。和其他电脑一样,你可以使用端口扫描工具来验证防火墙配置对Mac电脑的屏蔽效果。
理解和使用防火墙的一个原因是公共Wi-Fi网络的普遍使用。这样的网络通常不受保护,这意味着你在网络上交换的任何数据都很容易被窥探。然而,这也意味着任何连接到同一网络的恶意用户都有能力对你的Mac进行端口扫描,并试图确定漏洞。在这些情况下,使用防火墙和启用隐身模式是保护Mac的两种好方法。
删除文件和擦除磁盘安全
当你清空垃圾或使用磁盘工具删除磁盘时,你可能认为你是在永久删除文件,但事实并非如此。您实际上只是将存储文件的磁盘扇区标记为可用于存储新数据。直到“删除”文件占用的磁盘空间被覆盖至少一次,许多硬盘驱动器恢复和取证工具可以恢复删除的文件。
幸运的是,mac提供了一些方法来确保删除的数据保持删除状态。首先,最简单的是安全空垃圾命令,位于Finder的文件菜单中的普通空垃圾命令之下。这将对包含被销毁的任何文件的磁盘扇区执行简单的覆盖。在某些情况下,严肃的法医调查人员可以重新构建被覆盖的文件,但对大多数用户来说,这个选项提供了足够的安全性,因为它阻止了删除项的轻松恢复。
如果您真的想确保项目无法恢复,磁盘实用程序的安全擦除功能允许您擦除整个磁盘或磁盘的空闲空间,其中包括从未使用的磁盘空间和文件被删除前存在的空间。
无论您是擦除整个磁盘还是仅擦除空闲空间,您都可以选择使用一遍空白数据(也称为磁盘归零)、七遍或35遍安全地擦除数据。七道删除符合美国国防部的安全数据删除标准;一次35遍的擦除通常需要几个小时或几天的时间才能完成,但这将确保没有任何内容可以恢复。当擦除整个磁盘时,单击“安全选项”按钮,选择通过的次数;擦除可用空间时,请单击“擦除可用空间”按钮以查看这些选项。
要使用这两种功能中的任何一种,请在“磁盘实用程序”窗口左侧的列表中选择包含要安全地擦除数据的硬盘或卷,然后选择右侧的“擦除”选项卡。如果您只想擦除可用空间,请单击“擦除可用空间”按钮。
要擦除整个磁盘/卷,请单击“安全选项”按钮,选择要通过的次数,并为新擦除的磁盘选择适当的磁盘格式和名称。然后单击“擦除”来擦除磁盘。(注意:你不能擦除Mac正在使用的启动盘——如果你想安全地擦除主/启动盘,你需要从备用磁盘启动,比如外部硬盘驱动器或Mac OS X安装光盘。)
不要分享你没必要分享的东西
mac为用户提供了许多共享信息的方式。Leopard的System Preferences中的Sharing窗格提供了11个不同的选择(尽管其中一个,Xgrid计算集群共享,不太可能被大多数人使用)。
列表范围从一般的文件和打印机共享到远程登录和使用Leopard的屏幕共享、苹果远程桌面和安全shell (SSH)命令行访问来控制你的Mac。甚至支持个人网站托管(互联网共享)和蓝牙共享,还有远程苹果事件(Remote Apple Events),它允许一个Mac上的应用程序触发另一个Mac上的操作。
这里有一条简单的建议:“不要启用任何你不积极使用的分享方式。”每次你启用共享任何服务,它就为别人远程访问和/或操纵你的Mac打开了一条通道。这可能意味着访问共享文件或完全控制电脑。如果你需要分享一些东西,那就一定要分享,但如果不是,那就尽可能地把一切都封锁起来。
另一个危险是苹果的MobileMe提供的Back to My Mac服务,它可以让你的MobileMe帐户通过互联网共享文件、打印机或屏幕,自动将你连接到Mac。这是一个非常方便的功能,但它不仅依赖于让共享服务运行和开放;它还依赖于使这些服务可以从互联网上广泛访问。如果你的MobileMe账户被泄露,那么你的整个Mac电脑也会被泄露。
如果您需要实现共享,并且您可能会在某些时候以尽可能严格的方式进行共享。事实上,每个共享服务都提供最少的控制。在DVD和CD共享的情况下,你可以选择让你的Mac在允许远程访问之前询问你。在许多基于用户的服务的情况下,您可以选择允许哪些用户远程访问服务。
最重要的是,在文件共享的情况下,您可以指定哪些文件夹要共享,以及谁可以访问这些文件夹。尽管默认设置是允许所有用户访问普通的Shared文件夹,并允许所有人访问每个用户的home文件夹中的Public文件夹,但您可以从共享文件夹列表中添加或删除特定的文件夹。只分享需要的内容,并将访问权限限制在尽可能少的用户。