👩‍🚀 ✏️ ⛳️ गंभीर थेरेपी: MacOS के लिए इलाज ⛏️ 🔦 💣

आप कहेंगे कि यहाँ और बॉक्स के बाहर सब कुछ ठीक है और सब कुछ सरल प्रतीत हो रहा है, वेब साइटों के लिए ऐसे पासवर्ड का स्वत: उत्पादन तक जो दृष्टिगत रूप से पांचवें प्रयास से भी नहीं माना जाता है, हालाँकि, कल्पना करें कि यह हमारे लिए ज़रूरी है कि हम हर रोज़ हैकर्स से न केवल स्वयं की रक्षा करें। लेकिन स्वयं सिस्टम डेवलपर्स से भी।

इन मुद्दों पर मेरा शोध ओएस एक्स लायन 10.7 से शुरू हुआ था और मैंने शुरू में तीसरे पक्ष के सॉफ़्टवेयर का उपयोग किया था जो भुगतान किया गया था और सुरक्षा के लिए बहुत प्रभावी था, जब तक कि मुझे पता नहीं चला कि क्या हो रहा था और इस सॉफ़्टवेयर में ऐसा परिणाम क्यों शामिल है।

दरअसल, यहां एक सरल स्क्रिप्ट है जो एंकर पर आधारित मैकओएस सिस्टम की आंतरिक सेवाओं के माध्यम से फ़ायरवॉल नियंत्रण को दबाती है और पैकेट फ़िल्टर को सीधे नियंत्रण देती है, जो सामान्य रूप से सभी आने वाले कनेक्शनों को अवरुद्ध करता है:

# # Ninja PF configuration file( original located on /etc/pf.conf.backup ). # # This file contains the main ruleset, which gets automatically loaded # at startup. PF will not be automatically enabled, however. Instead, # each component which utilizes PF is responsible for enabling and disabling # PF via -E and -X as documented in pfctl(8). That will ensure that PF # is disabled only when the last enable reference is released. # # Care must be taken to ensure that the main ruleset does not get flushed, # as the nested anchors rely on the anchor point defined here. In addition, # to the anchors loaded by this file, some system services would dynamically # insert anchors into the main ruleset. These anchors will be added only when # the system service is used and would removed on termination of the service. # # See pf.conf(5) for syntax. # # ICMP configure icmp_types = "{echoreq, echorep, unreach}" icmp6_types = "{echoreq, unreach, echorep, 133, 134, 135, 136, 137}" netbios_types = "{137,138,139}" interfaces = "{en0, en1, en2, en3, en4}" # Base policy set fingerprints "/etc/pf.os" set block-policy drop set state-policy if-bound set require-order yes set optimization aggressive set ruleset-optimization none set skip on lo0 scrub in all fragment reassemble no-df min-ttl 64 max-mss 1440 scrub out all random-id block in log all pass out quick flags S/SA modulate state # Antispoofing antispoof quick for $interfaces inet antispoof quick for $interfaces inet6 # More secure settings block in from urpf-failed to any block in quick on $interfaces from any to 255.255.255.255 block in quick on $interfaces from any to 255.255.255.0 # ICMP policy block in inet proto icmp all icmp-type $icmp_types keep state block in inet6 proto icmp6 all icmp6-type $icmp6_types keep state block in on $interfaces proto {tcp,udp} from any to any port $netbios_types

वरीयताओं में फ़ायरवॉल को सक्षम करने के लिए बॉक्स को जांचना न भूलें। सत्यापित करने के लिए कि पीएफ सिर्फ टर्मिनल में चल रहा है

 sudo pfctl -sa

यहां कनेक्शन और इंटरफेस के प्रबंधन के लिए नियमों का संक्षिप्त रूप से एकत्र किया गया पैटर्न है, और सेटिंग खुद को आने वाले ट्रैफ़िक को यथासंभव अवरुद्ध करती है। यदि आप पूरी तरह से पागल हैं, तो बस lo0 पर लाइन सेट स्किप पर टिप्पणी करें और आप सिस्टम को एक कामकाजी वेब सर्वर से बचाएंगे और लूप बैक इंटरफेस (टर्मिनल लूप) तक पहुंचने से अधिकांश एप्लिकेशन को ब्लॉक कर देंगे।

Lo0 आमतौर पर ब्लॉक करने के लिए उपयोगी है यदि आप टोरेंट से पायरेटेड गेम खेलना पसंद करते हैं, जो अक्सर एक शोषण या कुछ अन्य बकवास द्वारा पैच किए जाते हैं।

दूसरी चीज़ जो स्क्रिप्ट करती है, वह है उपयोगकर्ता की सहमति से, उन्नत कर्नेल सुरक्षा सेटिंग्स सेट करना।

यहाँ एक छोटी सूची है:

 # 10.13.4 system ctl configuration # Kernel IPC overrides kern.ipc.somaxconn=100 # kernel security level(0, 1 - soft security level or 2 - can't install any software) kern.securelevel=1 # Speed up TM backups debug.lowpri_throttle_enabled=0 kern.coredump=0 # Networking settings net.link.ether.inet.max_age=600 net.inet.ip.redirect=0 net.inet6.ip6.redirect=0 net.inet.ip.sourceroute=0 net.inet.ip.accept_sourceroute=0 net.inet.ip.linklocal.in.allowbadttl=0 net.inet.icmp.bmcastecho=0 net.inet.icmp.icmplim=50 net.inet.icmp.maskrepl=0 net.inet.udp.blackhole=1 net.inet.tcp.blackhole=2 net.inet.tcp.delayed_ack=2 net.inet.tcp.always_keepalive=0 net.inet.tcp.rfc3390=1 net.inet.tcp.rfc1644=1 net.inet.tcp.tso=0 # Incoming and outgoing port ranges net.inet.tcp.sack_globalmaxholes=2000 net.inet.ip.portrange.first=1024 net.inet.ip.portrange.last=65535 net.inet.ip.portrange.hifirst=1024 net.inet.ip.portrange.hilast=2500 net.inet.ip.check_interface=1 net.inet.tcp.keepidle=50000 net.inet.ip.rtmaxcache=1024 net.inet.tcp.path_mtu_discovery=0 net.inet6.icmp6.rediraccept=0 net.inet.tcp.msl=4500 net.inet6.icmp6.nodeinfo=0 net.inet6.ip6.accept_rtadv=0 net.inet6.ip6.auto_linklocal=1 net.inet6.ip6.only_allow_rfc4193_prefixes=1 net.inet6.icmp6.nd6_onlink_ns_rfc4861=1

ये कर्नेल पैरामीटर नेटवर्क कनेक्शन नीति को कसते हैं, जिसमें सभी संभावित RFC शामिल होते हैं और सभी संभव शोर (गूंज, पुनर्निर्देश, आदि) को ब्लॉक करते हैं, और kern.securelevel = 1 पैरामीटर, जो पेन परीक्षक के लिए बेहद उपयोगी हो सकता है, विशेष ध्यान देने योग्य है।

kern.securelevel = 2 सिस्टम पर किसी भी पैकेज को स्थापित करने की क्षमता को पूरी तरह से रोक देगा। आम तौर पर तंग। लेकिन सिस्टम प्रदर्शन नहीं खोएगा।

मैंने उच्च मूल्यों की आवश्यकता वाले अनुप्रयोगों के बंदरगाहों को भी फ़्लिप किया और उन्हें कम उतरा ताकि यातायात "सुनने" के लिए अधिक आरामदायक न हो।

इसके बाद, स्क्रिप्ट ने कुछ खोजक प्रदर्शन विकल्पों और सफारी के लिए छोटी सेटिंग्स के लिए अनुकूलन विकल्प जोड़े। उदाहरण के लिए, यह एवी फाउंडेशन और अन्य मीडिया कार्यों को अक्षम करने के लायक है, क्योंकि एक वेब साइट से एक एकल फाड़नेवाला तस्वीर के साथ, सिस्टम को ऑडियो और वीडियो धाराओं के माध्यम से हैक किया जा सकता है।

सामान्य तौर पर, यह अजीब है, लेकिन मैकओएस पर आईट्यून्स भी अनुसरण करते हैं, इसलिए मैं एक पूर्ण टैंक पसंद करता हूं।

पैच GitHub पर उपलब्ध है । उपयोग शुरू करने के लिए

 sudo ./fix.sh

यदि आपके पास कोई सुझाव या संशोधन है, तो मैं आपके विचारों को टिप्पणियों में साझा करने का सुझाव देता हूं।

गंभीर थेरेपी: MacOS के लिए इलाज

More articles: