这里有许多的加固方法和一些包括已存在自动化工具(例如osx-config-check)的指南(例如CIS APPLE OS X安全指标)。然而,几乎只要将投入一点点到一些建议上(例如禁止浏览器中的javascript就能提高安全--激励天真无邪的用户进入到十九世纪九十年代的怀旧的万维网)。这些建议在这里提出在尽可能将用户烦恼和所遭受的痛苦减少时,要尽力加强全面安全的态度。这里同样有一些被公开文档所忽视的建议。我尽力去关注“内建(built-in)”和“开箱即用(out-of-box)”的函数和设置,并且避免涉及反病毒、反恶意软件或者指明已存在第三方产品以及他们的实用性。
其他有用的特性是log_input和log_output。这些应该被全局设置或者被设置在一个单命令模式基础上(使用 [NO]LOG_[INPUT/OUTPUT])。Sudo命令甚至能够应用到发送电子邮件的成功或失败上。这些命令和其他命令大量文献能够在sudoers(5)找到。
Periodically check start up and login items
Periodically obtain cryptographic snapshots of important files
重要系统文件,例如/etc/hosts(绕过DNS),/etc/passwd和其他经常被恶意软件或带有各种各样目的的黑客修改。仅仅依靠文件大小和时间戳是不够的,因为调整文件大小和时间戳十分简单。
一个HFS(或APFS)中的文件实际上不会被删除-它们的文件系统节点是无链接的,但是数据块直到在低级空间条件下(a low disk space condition,这里实在不清楚是什么条件)才会被清除或回收。强迫安全删除是可能的-通过使用srm(1)或rm –p复写数据块内容。注意到这个方法不推荐用户在Flash or Fusion Drives中使用,因为大大地增加了P/E循环次数和缩短了存储介质寿命。