web-dev-qa-db-ja.com

OS Xのシングルユーザーモードは悪い考えではありませんか?

最近、ビデオロジックボードをフライするMacがありました。幸いにも、Appleはこれが設計上の欠陥であり、影響を受けるモデルを無料で修正していると結論していました(詳細は こちら を参照)。しかし、このページは見つかりませんでしたしばらくの間、その間、データの回復について考える必要があったので、インターウェブを見て、シングルユーザーモードを見つけました。

コンピュータの電源がオフになっているときに、コマンドおよびsキー。これらを押し続けて、Appleロード画面を起動する代わりに、基盤となるUnixターミナルを起動します。そこで、次のコマンドを入力できます。

mount -uw /
cd /Users/
ls

そして、すべてのユーザーのホームフォルダーが表示されます。これらのフォルダーにcdを続け、コンテンツを表示するlsを続けると、ユーザーのファイルのallを参照できます。 パスワードを必要としない

その後、USBスティックを差し込んでファイルをそこに(またはそこから)コピーしたり、ファイルの移動や削除などの操作を実行したりできることもわかりました。


これは揚げたMacからデータを回復するのに役立ちましたが、これはどのようにして良いアイデアでしょうか?友人のMacBookを手に入れてロックされた場合、シャットダウンしてシングルユーザーモードで起動し、ファイルをいじるだけでなく、後で使用するためにUSBスティックにコピーすることもできます。 Macは多くの人々に利用されており、その多くは保護する必要のある非常に重要なファイルを持っています。

Appleにシングルユーザーモードを開始するする方法に関するサポート記事があるので、これは明らかにバグではありません。また、シングルユーザーモードの本来の目的は、パスワードを紛失した場合にパスワードをリセットすることですが、コマンドラインからコンピューター全体へのアクセスを許可することは、適切な方法とは思えません。

それで、これは問題ですか?シングルユーザーモードは悪いですか?私が見る限り、これはセキュリティホールですが、何かが足りない可能性があります。

50
Toastrackenigma

物理的なアクセスは完全なアクセスですよね?これは、ブートCDまたはハードドライブをヤンクして別のシステムにポップするよりも悪いのですか?

私がOSXやこの特定の機能のファンであるわけではありませんが、誰かが暗号化されていないディスクを備えたコンピューターに物理的にアクセスできる場合は、とにかくそのディスク上のすべてにアクセスできます。どちらか。

97
HopelessN00b

FileVaultが有効になっている場合、ソリッドステートドライブを新しいマシンに移動しても、シングルユーザーモードにアクセスするには、FVDEユーザーの1人のFVDE資格情報が必要です。

ただし、エンドユーザーが管理者アカウント(またはルートアカウント)にアクセスできないようにする場合は、シングルユーザーモードであるため、FileVaultでは不十分です。 FVDE資格情報を使用して シングルユーザーモードを開始 を実行し、デモンストレーションに従ってファイルシステムを再マウントしてから、rm /var/db/.AppleSetupDone新しい管理者アカウントを追加でき、FVDE資格情報を持つOS Xセットアップアシスタントを再実行します。

つまり、FileVaultを有効にするとファイルを保護できますが、シングルユーザーモードのため、少なくとも1つのFVDE資格情報を持つユーザーがrootとしてすべてにアクセスすることを防ぐことはできません。

30
atdre

これについて誤解があります。問題は、実際にはシングルユーザーモードではありません。たとえば、次のシナリオを考えます。

誰かがあなたのラップトップを手に入れます。ハードドライブ暗号化もBIOSパスワードもありません。今、彼はいくつかのオプションがあります。そのうちの2つに名前を付けます。

  • ラップトップからハードドライブを取り出し、別のPCから使用します。システムで定義されたファイル所有者のようなファイル保護を回避することは、OSが提供する最高の特権を取得する方法をSudo/admin-account /彼が好きな方法で所有権。一部のMacbookでは、ハードドライブがマシンに組み込まれている方法によっては、これが少し難しくなる場合があります。
  • ブータブルUSB経由で別のOSから起動し、このOS経由でファイルを取得します。

または短いバージョン:

法則3:悪意のある人があなたのコンピューターに無制限に物理的にアクセスできる場合、それはもはやあなたのコンピューターではありません

コンピュータセキュリティの10の不変の法則 から。シングルユーザーモードは、簡単な回避策を使用せずにファイルにアクセスする簡単な方法を提供するだけです。

だから:どのようにファイルを保護するのですか?
まず第一に、非常に明白です。ディスク暗号化を使用して、パスワードなしで誰かがハードドライブにアクセスできないようにします。 OS Xはこの目的のために FileVault/FileVault2 を提供し、XTS-AES 128を使用してデータを暗号化します。これにより、マシンに登録されたアカウントを持っていないユーザーがマシンを起動したり、ファイルにアクセスしたりできなくなります。 。ただし、 firmware-password (EFI-passwordとも呼ばれることもあります)を使用して、ドライブを他のOSから起動しないようにして、この手順をさらに一歩進めることもできます。ユーザーモードへのアクセスに加えて、Recoveryおよびその他のいくつかの機能は、許可されていないユーザーに対しても拒否されます。したがって、FileVaultをアクティブ化し、ファームウェアパスワードを使用すれば、あなた以外の誰かがファイルにアクセスできないようにすることができます。残る唯一のオプションは、ハードドライブを取り外してパスワードを破ることです。言い換えると、この攻撃ベクトルでは、これ以上のセキュリティは得られません。

28
Paul

FileVault 2のフルディスク暗号化でドライブを保護することに加えて、ファームウェアパスワードを設定することでシングルユーザーモードを無効にすることができます。これにより、特に、マルチユーザーマシンなどのドライブを復号化できる他のユーザーがシングルユーザーモードにアクセスできなくなります。

From Macでファームウェアパスワードを使用

Mac上のデータを保護するために、ユーザーアカウントのパスワードを設定して、権限のないユーザーがログインできないようにすることができます。FileVaultを使用して起動ディスクを暗号化し、権限のないユーザーが正しいパスワードなしでMacに保存されているデータを読み取れないようにすることもできます。 。

さらに保護するために、Macにファームウェアパスワードを設定することもできます。ファームウェアのパスワードにより、指定した起動ディスク以外のデバイスからMacを起動できなくなります。

上記の抜粋では特に言及していませんが、パスワードなしでデフォルトの起動ディスク/パーティションのみを起動するため、最初にファームウェアパスワードを入力せずにシングルユーザーモード(およびリカバリパーティション)を無効にします。

もちろん、ファームウェアのパスワードは、ドライブを物理的に取り外して別のマシンから読み取ることを防ぐものではありませんが、FileVault 2と組み合わせて使用​​することで、マシンにアクセスする他のユーザーから保護することができます。

10