11、Mac OS X 资源访问安全保障全攻略

Mac OS X 资源访问安全保障全攻略

1. 账户授权

授权用于定义账户是否被允许执行某项操作。在 Mac OS X 中，每个对象和操作都在账户的上下文中进行。每当执行一个操作，如访问文件时，系统会检查执行该操作的账户是否被允许。授权发生在多个层面，从登录到服务访问和文件访问。

1.1 编辑系统权限

某些 Mac OS X 服务使用策略数据库来确定账户的能力，这些信息存储在 /etc/authorization 文件中。该文件分为两部分，第一部分包含权限（即授予的许可级别），当满足第二部分中规则的条件时，这些权限将被应用。

以屏幕保护程序为例，当配置为需要密码才能解除时，它会使用 /etc/authorization 中的权限来确定解锁规则。当出现授权对话框时，可使用详细信息的展开三角形来确定请求的权限。对于解锁屏幕保护程序，权限为 system.login.screensaver 。策略数据库中的现有规则允许所有者和任何管理员解锁屏幕保护程序。

可以对策略数据库进行添加或编辑，以允许额外的规则或修改现有规则。但需要注意， /etc/authorization 是系统文件，在进行更改之前应先备份，并仅在副本上进行操作。此外，该文件可能会随系统更新而更新，因此如果依赖自定义更改，应妥善保存该文件的备份。

现有 system.login.screensaver 权限如下：

<key>s