更新(2018年5月25日星期六):将解决方法添加到未被捆绑的Gatekeeper旁路,如本博客文章的Filippo Cavallarin发布。
更新(2018年10月8日星期二):添加了一些额外的建议,用于自动更新,共享和隐私设置,来宾用户帐户,修复SSH代理的特定错误配置以及结束时的“进一步读取”部分。
更新(Tue,2018年10月2日):由于综合的每个人都有一些次要更新,这是基于一般反馈。如果您发现应该修改的其他任何东西,请随时与我联系。
那里有糟糕的家伙,他们想窃取你的数据,你的钱,你的身份,你的时间......那些坏人来自非常不同的背景,一些被称为罪犯,其他人作为政府或广告公司。
您的设备不安全,永远不会是。我不会骗你,这指导不是没有银弹,没有完全安全的系统。也就是说,你可以使坏人窃取你的是你的东西,这就是本指南所做的。
警告:如果您的威胁模型是一个国家赞助的代理,则在没有麦克斯的情况下更好,请参阅OpenBSD。
免责声明:其中一些步骤可能会轻微损害用户体验,安全始终是便利权。一些步骤可能需要额外的研究,始终关注可信资源。
注意:此步骤是可选的,但强烈推荐,最好用干净的系统开始,以避免可能的错误配置。 (可选)转到实用程序> 固件密码实用程序并考虑设置固件密码以保护您的数据应该丢失或偷窃 格式化引导驱动器并从头开始安装MacOS(警告:此步骤将永久删除引导驱动器的内容) 清除NVRAM(在引导期间保持命令+ P + R)(跳过先前设置固件密码) 使用强密码创建管理员用户帐户,没有提示。 此用户仅用于管理目的。 转到系统偏好> 用户& 团体并创建一个非特权的用户帐户进行日常使用,它被苹果本身认为最好的做法 转到系统偏好> 用户& 团体> 访客用户和UNCHECK允许客人登录此计算机
转到系统偏好>软件更新并考虑启用自动更新(如果您不舒适启用此操作,请考虑通过进入高级启动安全更新...并检查安装系统数据文件和安全更新)
转到系统偏好>安全&隐私>一般并在睡眠后要求密码立即或5秒
转到系统偏好>安全&隐私>一般并设置允许从App Store或App Store和Identified Developers下载的应用程序
转到系统偏好>安全&隐私>防火墙并打开防火墙
转到系统偏好>安全&隐私>防火墙>防火墙选项...并检查块所有传入连接
转到系统偏好>安全&隐私>隐私>位置和取消选中启用位置服务
转到系统偏好>安全&隐私>隐私>分析和UNCHECK共享MAC分析
转到系统偏好> 共享和匿名计算机的名称,此名称可以通过连接与与您的网络相同的网络来查看 转到系统偏好> 共享并关闭每个服务(仅在使用时打开并之后禁用) 转到系统偏好> 网络> 高级> DNS,为DNS服务器添加两个条目,用于1.1.1.1和1.0.0.1并删除任何其他服务器 转到系统偏好> 聚光灯> 搜索结果和取消选中Spotlight建议,并允许聚焦的建议查找 转到系统偏好> 一般和取消选中允许在此Mac和iCloud设备之间切换 转到系统偏好> 蓝牙并关闭蓝牙(仅在使用时打开并之后禁用) 考虑运行出站防火墙,如小小(专有,全功能)或Lulu(开源,非常基本)
转到系统偏好>安全&隐私> FileVault并打开FileVault(注意:可能需要一些时间)
如果您计划使用SSH使用SSH代理,请为SSH-Agent添加一个安全的超时参数以保护您的凭据:
编辑/ etc / auto_master用作root和cream以/ net开头的行(注意:这是一个替代漏洞的解决方法)
转到系统偏好>安全&隐私>隐私>联系人/日历/提醒/照片并删除任何不应该访问这些文件夹的应用程序,如果有的话
转到系统偏好>安全&隐私>隐私>相机/麦克风并删除您不希望访问相机或麦克风的任何应用程序,如果有的话
转到系统偏好>安全&隐私>隐私>完整磁盘访问并删除您不想拥有全磁盘访问的任何应用程序,如果有的话
转到系统偏好>安全&隐私>隐私>广告,校验限制广告跟踪,然后单击重置广告标识符
注意:如果使用Safari,请转到Safari≫ 偏好> 搜索和取消选中“包括Safari建议”和Safari≫ 偏好> 一般和取消选中“打开”安全" 下载后的文件" 考虑在连接到不受信任的网络时通过VPN隧道通过VPN隧道(参见ActonePrivacyGuy的VPN比较或滚动自己) 考虑使用隐私尊重的电子邮件服务提供商(请参阅amoneprivacyguy的电子邮件比较或滚动您自己) 再次,你没有“100%安全系统”,你就比城市的其他人搞砸了很多。 请记住,确保系统不是一次性工作,必须主动备份数据,修补系统,留意新漏洞......一些一般的最佳实践是: 在不同的物理位置备份数据,多个加密(当然)的数据副本 Drduh的MacoS安全和隐私指南,如本指南,更详细
我会尽力升级本指南以跟上现代威胁和新的麦克斯版本。