Diskussion zu: SU-Terminal-Start Absichern

Hier wird diskutiert,


Anmerkung: Das in den FAQ beschriebene Verfahren kann auch dadurch bewerkstelligt werdenn in dem man ein OpenFirmware Password setzt. So kann auch verhindert werden, das in den single user mode ohne die Eingabe eines Passwords gebootet wird. Dieses Verfahren ist von Apple empfohlen, Anleitung hier:

FAQ:https://www.macuser.de/threads/su-terminal-start-absichern.19310/

W

hallo zusammen,
hallo Woulion,

zunächst mal eins vorab. -----> habs doch ans Ende gesetzt


Und jetzt endlich zur Sache:
Der Hinweis ist einerseits richtig, andererseits auch wieder nicht, da es sich um zwei völlig unterschiedliche Ansätze handelt.
Der Ansatz des "securit" Patches ist m. E. als sicherer einzustufen, da die Open Firmware-Lösung relativ leicht umgangen werden kann.

> Bitte habt Verständnis, dass ich Fragen nach dem "Wie geht das ?" ignorieren werde.
> Ich bin nicht bereit öffentlich und unkontrolliert Techniken weiterzugeben,
> die die Sicherheit anderer gefährden; sorry
> Diesen Hinweis mache ich, um einem "Wall of Flame" gegen mich
> von vorneherein die Substanz zu nehmen. (gell l... )

Die "secureit" Variante kann - soweit ich das beurteilen kann - nur umgangen werden, wenn man root-Zugriff auf den Rechner hat.
Dann ist aber das Kind schon in den Brunnen gefallen, denn dann benötigt man denn singleuser-mode nimmer.

Ich werde mal beide Varianten im Vergleich testen, da ich nämlich nicht weiss, ob man mit der Open Firmware Variante überhaupt noch in den singeluser-mode kommt.
Wenn nicht, wäre das in meinen Augen ein weiterer Nachteil.

Interessieren würde mich noch, welchen Sinn Ihr überhaupt in dem singleuser-mode seht, und ob jemand den benutzen würde oder schon benutzt hat.
-
-
-
-------------
----->
Ich finde es aus folgenden Gründen ein bisschen unpraktisch, wie das hier mit den faq´s, bzw. Tips und Tricks gehandhabt wird.
1. Beitrag und Diskussion sollten m. E. nicht voneinander getrennt werden - wozu soll das gut sein ?
2. hab ich de Eindruck, dass der FAQ-Bereich nicht so besonders gut besucht wird, obwohl das Interesse an den Themen dort groß zu sein scheint (wie man an den Diskussionen im Unix bzw. Mac OS X Beeich sehen kann).
--------
Ich persönlich würde das gar nicht trennen, da solche Anleitungen, Hacks, Lösungs-/Setup-Beschreibungen und persönlichen Erfahrungsberichte vom Feedback der Leser leben und extrem profitieren und diese ist in dem (ab)gesonderten Bereich kaum gegeben.
Dieses möchte ich nicht als Genörgel sondern als konstruktive Kritik verstanden wissen (ich hoffe, da gibts nicht wieder einen eigenen Bereich dafür )
---------
Und nun muss ich noch ein wenig sticheln:
Wenns nach mir geht, sollte man lieber einen "Garbage"-Bereich einrichten und all "Was xxx Ihr gerade"-Threads etc. automatisch und umgehend dahin verschieben.
Dies würde das Niveau des teilweise sehr guten und teilweise bodenlosen macuser-Forums schlagartig anheben.

Hi Maceis

Die Diskussion abzutrennen hat den Vorteil, das der Diskussionsthread ins fachlich passende Forum verschoben werden kann und dort im Kontext der anderen Threads erscheint. Ebenfalls kann der betroffene Moderator den Beitrag eine Weile oder dauerhaft oben in der Liste der Threads behalten, was im Forum FAQ wenig Sinn machen würde, da in der regel alle FAQs qualitativ hochwertig sind.

Aber es stimmt schon, die Nutzung des FAQ-Forums ist recht mangelhaft, da immer wieder Fragen im Forum auftauchen, die eigentlich in der FAQ abgedeckt sind. Und die Benutzung der Suchfunktion ist wahrscheinlich zu schwer.

Ich stimme vollkommen mit Dir überein was sie Sinnhaftigkeit der "Was xxxxxxxx ihr grade" Threads angeht, meiner Meinung nach können die alle gelöscht werden.

Und konstruktive Kritik wird immer gern gesehen, ich bin für jede Anregung und feedback dankbar.

Zur Sache:

Mit Password für die OpenFirmware kann der Zugang zur OpenFirmware geschützt werden. In der OpenFirmware kann ich dann einstellen, ob der Rechner überhaupt noch in den single User Modus oder per CD gebootet werden darf, und das ist auf jeden Fall sinnvoll, da ich ja mit der Start-CD beispielsweise jedes Password zurücksetzen kann.

Der single user mode macht auf jeden Fall Sinn, beispielsweise hatte ich mal mit der LDAPv3-Authentifizierung experimentiert und musste feststellen, als der LDAP-Server nicht funzte, das ich mich nimmer einlogge konnte. Die einzige beschriebene Lösung war booten in den single user mode, mounten des Filesystems und löschen von einigen Dateien. Ebenso braucht man das ab und an, wenn man die caches putzen möchte (ich weiss, geht auch im Terminal, aber was wenn man sich nimmer einloggen kann?)

Woulion

Kann man nach dem setzen des Open-Firmware Passwortes, wenn die Festplatte streikt - was beim Mac seltenst vorkommt - noch an seinen Computer? Z.B. von einer Backup-Festplatte?

Ich hab nun mittels des Tool ein OpenFirmware Passwort gesetzt.

Interessant wäre zu wissen, wann man Gefahr läuft, mangels des Passwortes einen Angreifer den Rechner „auszuhändigen“.

Ich denke nicht, das ihr davon ausgeht, das jemand Nachts zu Besuch kommt und ungefragt am Rechner schraubt…

Geht ihr also von öffentlichen Mehrbenutzerrechnern aus? Oder von Rechner, die remotely controlled werden (können)?

Nichtsahnend…

Yves

macracer schrieb:

Kann man nach dem setzen des Open-Firmware Passwortes, wenn die Festplatte streikt - was beim Mac seltenst vorkommt - noch an seinen Computer? Z.B. von einer Backup-Festplatte?

Zum Vergrößern anklicken....

Mac oder nicht, die Festplatte ist ein Verschleißteil.
Die Frage ist also nicht, ob sie kaputtgeht sondern nur wie lange sie hält.

Ob das starten von einer anderen Platte geht, wenn ein OF-Passwort gesetzt ist kann ich nicht sicher beantworten.
Ich vermute, dass es geht, wenn die Platte am selben HD-Controller-Port angeschlossen ist.
Möglicherweise muss auch das System auf der selben Partition wie bei der ursprünglichen Platte liegen, aber das ist nur eine vage Vermutung.

@ Yves
Ich persönlich habe mich beim Kauf meines iBooks mit dieser Thematik auseinandergesetzt.
Wichtig dürfte das Absichern des SU-Mode außerdem bei allgemein zugänglichen Rechnern sein (Firma, Schule, Uni etc.)
Es soll gar nicht mal so selten vorkommen, dass Rechner/Server in Serverräumen (ja sogar Dachkammern) "gefunden" werden, die im Netz laufen, aber keiner weiss mehr, von wem sie installiert wurden oder welche Passwörter drauf sind.
In solchen Fällen ist natürlich SU die Rettung

Wenn das OpenFirmware-Passwort gesetzt ist kann man mit gedrückter Wahl-Taste, nach Eingabe des Passwortes, von einer anderen Platte oder auch von CD starten. Starten mit C, T oder Apfel-S ist aber deaktiviert.


@ maceis
Die Open Firmware-Lösung kann nur umgangen werden, wenn man physikalischen Zugriff auf Innereien die des Rechners hat.