MacUsersOnDiary
Think Different!
Поговорим об одной из главных угроз безопасности Mac OS - single-user mode, и как с ней бороться. Не буду углубляться в подробности, как в этих постах на хабре, пройдусь в общих чертах по недавнему опыту.
Итак, помним, что любой, кто имеет физический доступ к вашему маку, может перегрузиться с нажатыми клавишами Command+S, и, тем самым, запустить систему в single-user mode, режиме командной строки, где этим самым сингл юзером выступает Сам Великий И Ужасный root без всякого там sudo.
Дальше, после монтирования текущего раздела для записи:

/sbin/mount -uw /

можно легко изменить пароль рута:

passwd root

Старого пароля команда не спрашивает!
Далее возможна и смена паролей всех пользователей. Сначала получаем их список
nidump passwd
а потом меняем пароли
passwd UserName
Можно завести шаренного пользователя с правами админа.
Можно просто, сменив пароль рута, лазить в этот комп дистанционно, по ssh
А можно просто свистнуть любую инфу (кроме той, что в аккаунтах FileVault - реально мощная защита, хотя дубовая и громоздкая, о которой обязательно поговорим позже).

Что делать?
1. Не оставлять комп наедине с другими людьми (не доверяйте никому, я видел большегрудых блондинок и семидесятилетних стариков, отлично знавших командную строку UNIX)
2. Если это невозможно, или комп общественный, воспользуйтесь утилитой Firmware Password.
Она есть только на инсталляционном диске Mac OS который идет в комплекте с вашим компьютером.
Иногда подходит инсталляционный диск от другого мака, но не всегда.

Нужно:
- вставить инсталляционный диск в привод
- перезагрузиться с него, удерживая при перезагрузке кнопку С
- выбрать язык установки системы (систему устанавливать не будем!)
- перейти в Utilities/Firmware Password
- поставить там галочки когда его использовать, и ввести собственно пароль.

Как он работает:
Все клавиатурные модификаторы загрузки просто перестают работать - и Cmd+S, и Cmd+T, и Cmd+D, и Cmd+V, в общем все. А когда вы пытаетесь снова загрузиться с инсталляционного диска, система запросит у вас этот самый загрузочный пароль.
Поэтому если вам понадобится single-user mode для ремонта или диагностики, сначала придется снять галочку в Firmware Password Utility.


@темы: Mac OS, CLI, безопасность