SU-Terminal-Start Absichern ...

Diskutiere mit über: SU-Terminal-Start Absichern ... im MacUser Tipps und Tricks Forum

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Hairfeti

    Hairfeti Thread Starter Banned

    Beiträge:
    462
    Zustimmungen:
    0
    Registriert seit:
    08.11.2003
    Was ich für sehr wichtig halte, ist die Sicherheit des Rechners, des Systems und damit der sensiblen Daten die sich darauf befinden in jeder Hinsicht zu wahren.

    Nun weiß ich nicht ob es von Apple eine Sicherheitslücke darstellt oder ob es absolut gewollt ist, daß bei einem Single-User-Zugriff auf den Rechner der jeweilige Nutzer die Zugriffsrechte eines System-Administrator erlangt.

    Startet man also das System mit Tastenkombination "Apfel-Taste + s" braucht man nur noch das File-System beschreibbar mounten und kann sich anschließend mir nichts ... dir nichts ... die ganze Festplatte buchstäblich unter dem Hintern weglöschen.

    Dabei spielt es keine Rolle welche Einstellungen in der Grafischen Benutzer-Oberfläche des Systems getroffen wurden. Beide Startvorgänge laufen völlig unabhängig voneinander ab und greifen dabei auf unterschiedliche Boot-Ressourcen zu. Was man also in der GUI liebevoll schützt und vermeidet, ist im Terminal des SU-Modus völlig hilflos ausgeliefert.

    Was kann man tun?

    Man kann das Boot-Start-Script mit einem Hack versehen, welcher eine Passwort-Abfrage nach einem SU-Start ermöglicht. Dazu hat ein Programmierer ein Script geschrieben. Dieses Script installiert einige nötige Dateien und ändert das Boot-Script "rc.boot" im Verzeichnis "/etc". Um eine korrekte Installation zu ermöglichen ist der SU-Start erforderlich. Dieser Eingriff ist im Programm Terminal nicht erfolgreich. Wer also keine zwei Rechner besitzt, muß sich diese Anleitung hier wohl ausdrucken.

    Alle Ressourcen die benötigt werden befinden sich in einem Verzeichnis "secureit". Dieses ist im Zip-Format komprimiert, muß also vorher ausgepackt werden. Man lege das Verzeichnis vorzugsweise in das Verzeichnis "/Applications/Utilities/" bevor wir den Rechner neustarten und den SU-Modus ermöglichen.

    Jetzt bitte Neustart "Apfeltaste + s" halten und Terminal-Start abwarten.

    Nun bitte alle Eingaben genau so durchführen wie ich diese hier aufschreibe, ausgenommen davon ist das Passwort welches ihr natürlich selbst bestimmt.

    Nach jedem Befehl ist die Entertaste zu betätigen, ansonsten wird er nicht ausgeführt. Zu erwähnen wäre noch daß die Tastatur hier nicht so funktioniert wie in der GUI (Grafische Benutzer-Oberfläche). Das heißt: Einige Tasten haben jetzt eine andere Belegung. "/" befindet sich beispielsweise jetzt hier "-" und das "y" ist das "z". Um ein Minus oder einen Bindestrich zu ermöglichen muß man die Zahlentastatur rechts bemühen.

    oder

    dann

    dann

    dann

    Aufforderung zur Passworteingabe abwarten und jetzt nur einmal das Passwort eingeben und mit Enter bestätigen. Vorzugsweise und um sich nicht so viele Kennwörter merken zu müssen, sollte man das Root-Kennwort aus der GUI verwenden.

    dann

    Damit starten wir neu und halten wieder die oben erwähnte Tastenkombi.
    Sollte alles gut gegangen sein, müßte nun ein Kennwort abgefragt werden. Probiert das aus und wenn es funktioniert, startet euren Rechner normal hoch, der SU-Modus ist nun geschützt.

    Hände hoch ... clap
     
    Zuletzt bearbeitet: 19.11.2003
  2. maceis

    maceis MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    Registriert seit:
    24.09.2003
    hallo zusammen,
    hallo hairfeti,

    vielen Dank für diesen wertvollen Beitrag.
    Solche Postimgs tun dem Forum gut, da sie echte Substanz haben und anderen macusern wichtige Informationen vermitteln, die sie sonst vielleicht nie gefunden hätten.

    Mit so einer Aussage sprichst du mir aus der Seele.
    Aus diesem Grund möchte ich hier auch noch ein paar Worte zu secureit loswerden.

    Generell halte ich bei der Anwendung von solchen patches höchste Vorsicht für angebracht. Und zwar au mehreren Gründen.

    1. Es mag 100 mal gutgehen und bein hundertersten mal gerät man an jemanden der kein Hacker sondern ein Cracker ist.
    Ein Beispiel:
    Es wäre ein leichtes den von hairfeti dankenswerterweise zur Verfügung gestellten patch zu nehmen, und so abzuändern, dass eine Schadenfunktion ausgeführt wird -klassisches Beispiel:rm -rf / - auch andere sind möglich
    Da man den Patch nur als root auführen kann, hätte das die Löschung der Festplatte zur Folge und zwar ohne Rückfrage ----> nicht gut.

    2. Auch wenn der Code nicht verändert wurde;
    wir kennen diesen Programmierer nicht, wir kennen auch seine Absichten nicht und wissen nicht wie sorgfältig er sein Proramm geschrieben/getestet hat.
    Anders ausgedrückt: der Code kann unbeabsichtigte Fehler enthalen, die uns schaden könnten.

    3. Es wurde nicht dokumentiert, für welche Mac OS X Vesionen das Skript (was anderes ist der Patch nämlich nicht) erfolgreich getestet wurde.
    Da wir andererseits auch nicht wissen, mit welchen Software Updates Apple welche Dateien ändert, ist es immer mit einem (und sei es noch so gering) Risiko behaftet, den Patch in einer späteren OS Version auszuführen, als die, für die er gedacht war.
    Ein Beispiel:
    Der Patch wurde für Jaguar geschrieben (Die Website des Programmierers ist übrigens seit 04/03 verwaist)
    Der Patch funktioniert so, dass er bestimmete Zeilen anand von Zeilennummern einfügt.
    Die gepachte /etc/rc.boot wurde aber von Jaguar zu Panther verändert.
    In diesem Fall kommt die Änderung nach den Zeilennummern, die im Patch geändert werden - von daher droht also in diesem Fall keine Gefahr.
    Was aber passiert, wenn Apple zB 10 Kommentarzeilen am Beginn der Datei einfügt, kann sich jeder ausmalen: die Änderung wird an der falschen Stelle vorgenommen.

    4. Wir können auch nicht wissen, mit welchem Softare Update, die gepatchte datei (in diesem Fall ist es die/etc/rc.boot ersetzt oder geändert wird.)
    Auch hier ein Beispiele:
    Apple ersetzt die betroffene Datei per Software Update ganz - Folge ---> der Schutz ist weg, ohne, dass wir es vielleicht merken.

    Um keine Missveständnisse aufkommen zu lassen;
    Den Patch an sich finde ich sehr gut, ich rate nur zur Vorsicht bei der Anwendung solcher Patches.
    Dies gilt um so mehr, wenn es sich um sicherheitsrelevante Angelegenheiten geht.
    Als Mindestvorsichtsmaßnahme rate ich zum BackUp sämtlicher wichtiger Daten vor der Ausführung.
    Besser wäre der Test an einem System, wo eine ggf. notwendige Neuinstallation akzeptiert werden kann.
    Manche nennen das Paranoia - Ich nenne es die Mutter der Porzelankiste

    Es ist übrigens auch nicht ganz richtige, dass man den Hack nicht auch manuell ausführen kann, ist halt etwas mehr Arbeit, aber es geht :D

    Zum Abschluss noch einmal meinen Dank an hairfeti.
    Mit seinem Beitrag hat er uns und mir geholfen wieder was zu lernen
     
  3. Woulion

    Woulion MacUser Mitglied

    Beiträge:
    1.310
    Zustimmungen:
    0
    Registriert seit:
    06.06.2002
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen

Benutzerdefinierte Suche