[10.6 Snow Leopard] SUT / Single User Termin sichern, wie?

[MaDoo]

Hey Leute,

weiß jemand, wie man das SUT sichert, welches man beim booten mit APFEL + S erreichen kann?
Würde es gerne mit einer Passwordabfrage o.ä. sichern.

Habe schon gegoogled, jedoch hab ich noch keine Lösung für OS X 10.6 gefunden (Snow Leo).

 

[Macbeatnik]

Du willst verhindern, das man in den SingleUserMode fahren kann (per Apfel+S) oder verstehe ich dich falsch, denn Single User Termin ist mir unbekannt, aber das bedeutet nichts, rein gar nichts.
Ansonsten, StartshortCuts kannst du mit gesetztem Firmwarepasswort verhindern. Allerdings kann man das relativ einfach umgehen.

 

[bezierkurve]

Die Empfehlung von Apple: Firmware-Passwort einstellen.

 

[MaDoo]

Ich will verhindern, dass man ohne Authorisierung in den SUT kann. Denn mit dem Short Cut wird man als ROOT angemeldet ohne ein PW einzugeben obwohl eins gesetzt ist. Firmware - Passwort kann man doch einfach umgehen, oder? Ich will so eine Auth. Abfrage, anch dem er in den SUT gebootet ist.

 

[Macbeatnik]

Ich stelle noch mal die Frage, interessiert mich wirklich, was ist SUT.

Ansonsten, ja im Single User Mode hat man rootRechte, hier könnte für dein Problem eine eventl. Lösung sein:
http://www.securemac.com/macosxsingleuser.php

 

[MaDoo]

SUT = SingleUser Terminal s. Topic ;D
Ich werde mir den Link gleich mal angucken.

 

[Macbeatnik]

Das irritierte mich, denn das steht Single User Termin und auf die Erweiterung auf Terminal bin ich nicht gekommen. Nur zur Erklärung, beim Mac nennt sich das SingleUserMode, daher dachte ich es wäre eine spezielle mir unbekannte Unterabteilung.

 

[MaDoo]

Also, die Anleitung hab ich vor längerer Zeit mal ausprobiert. Genau das ist es was ich möchte! Jedoch funzt es mit Snow Leo nicht. Er möchte die /etc/rc.boot patchen, jedoch existiert die Datei bei 10.6 anscheinend nicht. Weiß jemand eine Lösung?

 

[pepi]

Kann nicht funktionieren weil sich das noch auf die Netinfo von 10.0.0 bezieht die es unter Snow Leopard natürlich nicht mehr gibt.
Gruß Pepi

 

[MaDoo]

Gibts da eine andere Möglichkeit genau das zu realisieren, wie das Script es unter 10.5 macht?

 

[Rastafari]

Ja, dazu braucht man nur ein Shell-Startupskript für den root-Benutzer zu erstellen.
Ich rate dir aber DRINGEND davon ab, das zu tun (da du offenkundig null Dunst hast, was in diesem Modus vor sich geht).
Mein Rat:
Benutze das Firmware-Kennwort.
Und nein, so einfach zu umgehen ist das nicht. Man kann es zwar tatsächlich zwangsweise zurücksetzen, aber:
A) Das bleibt nicht unbemerkt.
B) Das erfordert einen direkten Eingriff in die Hardware.
Letzteres bedeutet: Wer das tun kann, kann dir ebenso gut (sogar noch einfacher) die Festplatte ausbauen und in einen anderen Rechner einsetzen. Deine Idee schützt vor diesem Vorgehen genauso wenig.

 

[MaDoo]

Warum rätst du mir von diesen Shell Script ab?
Lerne gerne dazu, daher wäre es nett, wenn du es mir erklären könntest!
Wofür ist der SUT überhaupt gedacht?

 

[Rastafari]

Warum rätst du mir von diesen Shell Script ab?

Weil das eine globale Auswirkung auf alle Vorgänge im System hat.
Fehler- bzw mangelhafte Einträge dort machen deinen Rechner komplett unstartbar oder sicherheitstechnisch zum Schweizer Käse.

Wofür ist der SUT überhaupt gedacht?

Als "Last Resort" zur Systemwiederherstellung bei nicht mehr lauffähigen Systemen. Im Fall der Fälle ist ein externes Startmedium aber meist hilfreicher.

Es heisst "Single-User Mode" und das ist eine obligatorische Einrichtung bei allen Unix-Systemen. Die Bezeichnung rührt daher, dass diese Möglichkeit zur Befehlseingabe den letzten Boxenstop darstellt, bevor der Kernel während des Bootvorgangs vom Einzel- zum Mehrbenutzermodus umschaltet. Laienhaft ausgedrückt ist das der Moment, zu dem das System "multitaskingfähig" wird.
Diese sehr grundlegenden Betriebszustände sind bei anderen Unix-Varianten meist als "runlevel" bekannt.
Im Rahmen dieser Umschaltung nimmt der Kernel auch einige gravierende Änderungen an seinen eigenen Sicherheitsrichtlinien vor, die später während der gesamten Laufzeit des Systems nicht mehr aufgehoben bzw zurückgenommen werden können. Hat man als Systemverwalter irgendein technisches Problem das nur unter Umgehung dieser Sperren lösbar ist, dann kann das nur im SU-Modus geschehen. Dazu gehört zB eine ultimativ wirksame Sonderform des Dateischutzes, der im laufenden Betrieb zwar durch den root-Benutzer gesetzt, aber (selbst durch diesen ansonsten allmächtigen Benutzer) nicht mehr entfernt werden kann ("system immutable flag"). Hat man es geschafft damit einige Dateien regelrecht auf der Festplatte "festzulöten", führt an einer Reparatur im SU-Modus kein Weg vorbei.

 

[MaDoo]

Vielen Dank für deine Erklärung!