La modalità utente singolo di OS X non è una cattiva idea?

49

Recentemente, ho avuto un Mac che ha fritto la sua scheda logica video. Fortunatamente, Apple aveva concluso che si trattava di un difetto di progettazione e stava correggendo i modelli interessati gratuitamente (vedi più qui ). Tuttavia, non ho trovato questa pagina per un po 'e durante questo periodo ho dovuto pensare a recuperare i miei dati. Così, ho guardato intorno all'interwebs e ho trovato la modalità utente singolo.

Quando il computer è spento, premi il pulsante di accensione mentre tieni premuti i tasti e s . Continua a tenerlo premuto, e invece di avviare la schermata di caricamento di Apple, si avvia sul terminale Unix sottostante. Una volta lì, puoi inserire i seguenti comandi:

mount -uw /
cd /Users/
ls

E vengono visualizzate tutte le cartelle home degli utenti. Continuando a cd in queste cartelle e ls a visualizzare i contenuti, puoi sfogliare tutti dei file degli utenti, senza bisogno di una password .

Ho poi scoperto che sei anche in grado di collegare una chiavetta USB e copiare i file (o da esso), o eseguire azioni sui file come spostare ed eliminare.

Mentre questo mi è stato utile per recuperare i dati dal mio Mac fritto, com'è questa una buona idea? Se mai avessi afferrato il MacBook di un amico e fosse stato bloccato, potrei semplicemente spegnerlo, avviare la modalità utente singolo e fare casino con i loro file - o persino farne una copia su una chiavetta USB per un uso successivo. I Mac sono utilizzati da molte persone, molti dei quali hanno file molto importanti che devono proteggere.

Questo ovviamente non è un bug, in quanto Apple ha un articolo di supporto su come immettere modalità utente singolo. So anche che uno degli scopi originali della modalità utente singolo è quello di reimpostare la password in caso di smarrimento, ma dare l'accesso all'intero computer tramite la riga di comando non sembra un buon metodo per farlo.

Quindi, questo è un problema? La modalità utente singolo è cattiva? Per quanto vedo, è un buco di sicurezza, ma potrei mancare qualcosa.

    
posta Toastrackenigma 18.05.2016 - 23:56
fonte

4 risposte

96

L'accesso fisico è l'accesso totale, giusto? Com'è peggio di un CD di avvio o del disco rigido e lo si inserisce in un altro sistema?

Non che io sia un fan di OSX o di questa particolare funzionalità, ma se qualcuno ha accesso fisico a un computer con un disco non crittografato, hanno comunque accesso a qualsiasi cosa su quel disco, quindi la modalità utente singolo non lo rende peggio ancora.

    
risposta data 19.05.2016 - 03:29
fonte
30

Se FileVault è abilitato, occorrono le credenziali FVDE per uno degli utenti di FVDE per poter accedere alla modalità utente singolo, anche se si sposta l'unità a stato solido in una nuova macchina.

Tuttavia, se si tenta di impedire a un utente finale di accedere a un account amministratore (e / o all'account root), FileVault non è sufficiente a causa della modalità utente singolo. È possibile accedere alla modalità utente singolo utilizzando le proprie credenziali FVDE, rimontare il filesystem come si dimostra e quindi rm /var/db/.AppleSetupDone per rieseguire l'Assistente installazione OS X in cui è possibile aggiungere un nuovo account Amministratore e con credenziali FVDE.

In altre parole, puoi proteggere i file abilitando FileVault, ma non puoi impedire a qualcuno con almeno una credenziale FVDE di accedere a tutto come root a causa della modalità utente singolo.

    
risposta data 19.05.2016 - 00:04
fonte
28

C'è un equivoco su questo. Il problema in realtà non è la modalità utente singolo. Ad esempio, considera il seguente scenario:

Qualcuno mette le mani sul tuo laptop. Nessuna crittografia hard-drive e nessuna password BIOS. Ora ha diverse opzioni. Solo per citarne due:

  • Prendi l'hard disk dal portatile e usalo semplicemente da un altro PC. Andare in giro per qualsiasi protezione dei file come i proprietari di file definiti dal sistema non è esattamente difficile, dal momento che può semplicemente usare sudo / l'account amministratore / qualunque sia il modo per ottenere il massimo privilegio fornito dal proprio sistema operativo e semplicemente alterarne la proprietà gli piace. Su alcuni MacBook questo potrebbe risultare un po 'difficile, a seconda del modo in cui l'hard disk è integrato nella macchina.
  • Avvia da un altro sistema operativo tramite USB avviabile e recupera i file tramite questo sistema operativo.

O la versione breve:

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore

Da 10 leggi immutabili sulla sicurezza informatica . La modalità singleuser fornisce semplicemente un modo semplice per accedere ai file senza utilizzare alcuna soluzione banale.

Quindi: come proteggi i miei file?
Prima di tutto e abbastanza ovvio: usa la crittografia del disco, per impedire a chiunque di accedere all'hard disk senza password. OS X fornisce a questo scopo FileVault / FileVault2 , che crittografa i dati utilizzando XTS-AES 128. Ciò impedirebbe a chiunque chi non ha un account registrato sulla macchina dall'avvio della macchina / accesso ai file. Ma puoi anche fare un ulteriore passo avanti, utilizzando una password-firmware (a volte indicata anche come EFI- password), per impedire all'avvio del computer da qualsiasi altro sistema operativo rispetto all'unità. Inoltre, l'accesso alla modalità utente, il ripristino e alcune altre funzionalità sono negate anche agli utenti non autorizzati. Quindi l'attivazione di FileVault e l'uso di una password del firmware dovrebbero essere sufficienti per impedire a chiunque, tranne te, di accedere ai tuoi file. L'unica opzione che rimarrebbe sarebbe rimuovere l'hard disk e rompere la password. In altre parole: non puoi ottenere molta più sicurezza su questo vettore di attacco.

    
risposta data 19.05.2016 - 03:44
fonte
10

Oltre a proteggere l'unità con la crittografia a disco intero di FileVault 2, è possibile disabilitare la modalità utente singolo impostando una password del firmware. Ciò impedirà ad altri utenti che possono decodificare l'unità, ad esempio una macchina multiutente, di accedere alla modalità utente singolo, tra le altre cose.

Da Utilizza una password del firmware sul tuo Mac :

To protect the data on your Mac, you can set a user account password to prevent unauthorized users from logging in. You can also encrypt your startup disk using FileVault so that unauthorized users can't read the data stored on your Mac without the right password.

For additional protection, you can also set a firmware password on your Mac. A firmware password prevents your Mac from starting up from any device other than your designated startup disk.

Sebbene non specificamente menzionato nell'estratto sopra, disabilita la modalità utente singolo (e la partizione di ripristino) senza prima inserire la password del firmware, in quanto avvierà solo il disco / partizione di avvio predefinito senza la password.

Ovviamente, la password del firmware non protegge dal rimuovere fisicamente l'unità e leggerla da un'altra macchina, ma usata in combinazione con FileVault 2 può salvaguardarla da altri utenti con accesso alla macchina.

    
risposta data 19.05.2016 - 01:01
fonte

Leggi altre domande sui tag