我正在检查基于 Google VM、SQL 和云存储的托管基础架构的安全性。以下情况似乎存在风险:
- 我在 MacOS 笔记本电脑上使用
gcloud或gsutil,它存储了我的登录凭据,以便每次我使用这些实用程序时它不会要求提供这些凭据。 - 有人偷了我的笔记本电脑(很有可能)
- 无论通过什么方法,窃贼都能成功以我的名义登录(可能性较小,但并非不可能)
- 小偷现在可以运行
gcloud并对gsutil我的网络托管造成或多或少的损害。
在我看来,这种可能性很大,而且可能会带来灾难性的后果。
有人能想出一个降低这种风险的好方法吗?例如,一种管理安全性的方法,这样每当我的笔记本电脑重新启动或退出睡眠状态时,我都需要提供凭据,但不是每个命令都需要提供凭据?
(我也曾向 Google 提出过这个问题作为支持案例)
答案1
如果有人知道您的登录密码,他们就获得了您的整个钥匙串、银行详细信息……一切。
Filevault 和安全 T2 芯片组启动选项是整个 Mac 的主要安全保护措施。此外,请确保已启用 FindMy。这将阻止任何擦除它的尝试。确保它们已启用,并且您的 AFK 超时时间足够短,不会造成风险。
如果您有 TouchID,您只需在离开时按下按钮,机器就会立即锁定,否则使用 Cmd ⌘ Ctrl ⌃ Q
除非您设置自动登录,否则每次睡眠或重新启动时它都应该要求您输入凭据。
使用良好的密码策略进行登录。然后你就不必担心其他事情了。你无法暴力破解现代 Mac。
除非…
答案2
经与 Google 支持人员沟通后,建议采取以下命令来防止出现这种情况:
gcloud auth revoke --all
gcloud这将撤销对和实用程序的权限gsutils。在再次使用它们之前,您需要执行
gcloud login
这将打开一个浏览器窗口,供您登录您的 Google 帐户并再次使用该实用程序。
如果您正在使用多个帐户,请跳过此步骤--all并仅撤销您需要的帐户。您可以使用以下方法查找活跃帐户列表:
gcloud auth list