Añadir comando a sudo en OS X - o cómo arreglar una importante inconsistencia de seguridad en OS X

El security funciona como se espera, y sigue las mismas políticas de acceso al llavero que seguiría cualquier otro programa.

• Acceder al llavero de un usuario es no una función de administrador -- el llavero del usuario le pertenece, por lo que el acceso de administrador es irrelevante. Por otro lado, el llavero del sistema (/Library/Keychains//System.keychain) es "propiedad" del sistema, por lo que el acceso del administrador puede para la misma y/o sus elementos.

• Para acceder al llavero del usuario, primero hay que desbloquearlo. login.keychain suele estar encriptado con la contraseña de acceso del usuario, y se desbloquea automáticamente cuando éste se conecta. Si no estuviera ya desbloqueado, security activaría la solicitud de la contraseña para desbloquearlo.

• Cada elemento del llavero tiene su propia política de acceso. Puedes verlas en la utilidad de acceso al llavero haciendo doble clic en el elemento del llavero y seleccionando la pestaña de control de acceso. security obedece a estos controles de acceso: si se establece en "Permitir que todas las aplicaciones accedan a este elemento", security volcará el elemento sin pedir nada; si está configurado como "Confirmar antes de permitir el acceso" (y security no está en la lista "Permitir siempre..."), security activará una solicitud de acceso al elemento (y si se selecciona también "Pedir contraseña del llavero", la solicitud requerirá la contraseña del llavero).

Podría ser posible requerir derechos de administrador para ejecutar security pero no lo recomendaría. En primer lugar, podría romper cualquier parte del sistema operativo que dependa de la ejecución de security (aunque no conozco ninguno), y en segundo lugar no impediría que cualquier otro programa volcara el llavero, ya que otros programas están sujetos a las mismas políticas de acceso.