Jeremy-Burgos/macos-privacy-hardening

# macOS 隐私与安全加固工具包 一份针对现代 macOS 系统的实用安全与隐私加固指南。 本仓库专为具有安全意识的 macOS 用户打造，他们希望获得更好的可见性、更好的验证机制以及更严谨的本地安全态势。它侧重于减少攻击面、完整性检查、防火墙、DNS 隐私、日志记录和取证可见性。 这不是一个一键式加固脚本，也不假设每项控制措施都适用于所有的威胁模型。 使用风险自负。在操作主力机之前，请先测试所有内容。 ## 范围 本仓库涵盖： - 针对安装包和应用程序的完整性及签名检查 - 主机身份、用户和组审查 - 使用 `socketfilterfw` 进行内置防火墙加固 - DNS 隐私和 `/etc/hosts` 工作流 - 日志记录、审计和取证可见性 - XProtect 意识和更新路径检查 - 密码策略和登录窗口加固 - FileVault 和 Lockdown Mode 注意事项 - 浏览器和 VPN 建议 - 用于可见性和控制的第三方工具参考 每个主题都记录在 `docs/` 下，包含命令、基本原理和权衡。 ## 本仓库适用对象 本仓库主要适用于： - 注重隐私的 macOS 用户 - 防御者和蓝队成员 - 希望拥有可重复本地基线的 DFIR 用户 - 希望对其 Mac 行为有更多可见性的高风险用户 这不是一个通用的合规模板。它是一个带有明确权衡的实用工作站加固仓库。 ## 从这里开始 首先阅读这些文件： - [QUICKSTART.md](QUICKSTART.md) - [THREAT_MODEL.md](THREAT_MODEL.md) - [TESTED_ON.md](TESTED_ON.md) - [DISCLAIMER.md](DISCLAIMER.md) 然后进入 `docs/` 下带编号的指南。 ## 快速开始 克隆仓库： ``` git clone https://github.com/Jeremy-Burgos/macos-privacy-hardening.git cd macos-privacy-hardening ``` 打开概述： ``` open docs/00-overview.md ``` 建议优先查看以下部分： * [docs/01-integrity-and-xprotect.md](docs/01-integrity-and-xprotect.md) * [docs/03-firewall-and-networking.md](docs/03-firewall-and-networking.md) * [docs/05-logging-and-auditing.md](docs/05-logging-and-auditing.md) * [docs/10-browsers-and-vpns.md](docs/10-browsers-and-vpns.md) `scripts/` 下的脚本仅供参考。在运行它们之前，请先仔细阅读。 ## 仓库结构 ``` macos-privacy-hardening/ ├── README.md ├── QUICKSTART.md ├── DISCLAIMER.md ├── CHANGELOG.md ├── LICENSE ├── SECURITY.md ├── TESTED_ON.md ├── THREAT_MODEL.md ├── docs/ └── scripts/ ``` ## macOS 版本意识 本仓库是为较新的 macOS 版本编写的，尤其是 Ventura、Sonoma 和 Sequoia 时期的系统。 某些控制措施对版本敏感。在假设其行为之前，请务必确认您的版本： ``` sw_vers ``` 当工作流在不同版本之间发生变化时，应明确记录兼容性说明。 ## 建议的阅读路径 ### 安全基线 从以下开始： * [QUICKSTART.md](QUICKSTART.md) * [docs/01-integrity-and-xprotect.md](docs/01-integrity-and-xprotect.md) * [docs/03-firewall-and-networking.md](docs/03-firewall-and-networking.md) * [docs/08-finder-ui-and-filevault.md](docs/08-finder-ui-and-filevault.md) * [docs/update-hygiene-and-background-security.md](docs/update-hygiene-and-background-security.md) ### 防御性工作站 添加： * [docs/02-users-and-groups.md](docs/02-users-and-groups.md) * [docs/04-dns-and-hosts.md](docs/04-dns-and-hosts.md) * [docs/05-logging-and-auditing.md](docs/05-logging-and-auditing.md) * [docs/privacy-permissions-and-tcc.md](docs/privacy-permissions-and-tcc.md) * [docs/login-items-background-items-and-extensions.md](docs/login-items-background-items-and-extensions.md) ### 高风险加固 添加： * [docs/gatekeeper-and-notarization.md](docs/gatekeeper-and-notarization.md) * [docs/update-hygiene-and-background-security.md](docs/update-hygiene-and-background-security.md) * [docs/10-browsers-and-vpns.md](docs/10-browsers-and-vpns.md) ## 理念 本仓库基于五个假设构建： 1. 默认设置并不总是足够的 2. 不应盲目信任已签名或内置的软件 3. 可见性与拦截同等重要 4. 验证比清单式加固更重要 5. 每一项控制措施都应有其理由、验证途径和回滚思维 ## 关于 macOS 工作站加固指南，专注于现代 macOS 系统的可见性、验证、完整性检查、防火墙、DNS 隐私、日志记录和取证可见性。

标签：Cutter, 子域名枚举, 安全基线, 教学环境, 数字取证, 系统加固, 系统安全, 网络安全, 自动化脚本, 防御加固, 防御方, 隐私保护