¿No es una mala idea el modo de usuario único de OS X?

Navega tus respuestas
49

Recientemente, tuve una Mac que frió su placa de video lógica. Afortunadamente, Apple llegó a la conclusión de que se trataba de una falla de diseño y estaba arreglando los modelos afectados de forma gratuita (consulte más aquí ). Sin embargo, no encontré esta página por un tiempo, y durante ese tiempo tuve que pensar en recuperar mis datos. Así que miré alrededor de las redes y encontré el modo de usuario único.

Cuando la computadora está apagada, presione el botón de Encendido mientras mantiene presionadas las teclas comando y s . Mantenga presionados estos botones y, en lugar de iniciar la pantalla de carga de Apple, se inicia desde el terminal Unix subyacente. Una vez allí, puede ingresar los siguientes comandos: 

mount -uw /
cd /Users/
ls

Y se muestran todas las carpetas de inicio de los usuarios. Al continuar con cd en estas carpetas y ls para ver los contenidos, puede navegar todos de los archivos de los usuarios, sin necesidad de una contraseña .

Luego descubrí que también puedes conectar una memoria USB y copiar archivos en ella (o desde ella), o realizar acciones en los archivos, como mover y eliminar.

Si bien esto me ayudó a recuperar datos de mi Mac frita, ¿por qué es una buena idea? Si alguna vez conseguí el MacBook de un amigo y estaba bloqueado, podría simplemente apagarlo, arrancar en modo de un solo usuario y meterme con sus archivos, o incluso hacer una copia de ellos en una memoria USB para su uso posterior. Mac es utilizada por muchas personas, muchas de las cuales tienen archivos muy importantes que necesitan proteger.

Esto obviamente no es un error, ya que Apple tiene un artículo de soporte sobre cómo ingresar en modo de usuario único. También sé que uno de los propósitos originales del modo de usuario único es restablecer su contraseña si la perdió, pero el acceso a toda la computadora a través de la línea de comandos no parece ser una buena manera de hacerlo.

Entonces, ¿es esto un problema? ¿Es malo el modo de usuario único? Por lo que veo, es un agujero de seguridad, pero podría faltar algo.

    
pregunta Toastrackenigma 18.05.2016 - 23:56
fuente

4 respuestas

96

El acceso físico es acceso total, ¿verdad? ¿Cómo es esto peor que un CD de arranque o tirar el disco duro y colocarlo en otro sistema?

No es que sea un fanático de OSX o de esta característica en particular, pero si alguien tiene acceso físico a una computadora con un disco no cifrado, tiene acceso a todo en ese disco de todos modos, por lo que el modo de usuario único no lo hace algo peor, tampoco.

    
respondido por el HopelessN00b 19.05.2016 - 03:29
fuente
30

Si FileVault está habilitado, entonces necesitaría las credenciales de FVDE para uno de los usuarios de FVDE para poder acceder al modo de usuario único, incluso si mueve la unidad de estado sólido a una nueva máquina.

Sin embargo, si está intentando evitar que un usuario final acceda a una cuenta de Administrador (y / o la cuenta raíz), FileVault no es suficiente debido al modo de usuario único. Uno puede ingresar al modo de usuario único usando sus credenciales de FVDE, volver a montar el sistema de archivos como lo demuestra y luego rm /var/db/.AppleSetupDone para volver a ejecutar el Asistente de configuración de OS X donde se puede agregar una nueva cuenta de administrador y que tendrá credenciales FVDE.

En otras palabras, puede proteger los archivos si habilita FileVault, pero no puede evitar que alguien con al menos una credencial FVDE acceda a todo como root debido al modo de usuario único.

    
respondido por el atdre 19.05.2016 - 00:04
fuente
28

Hay una idea falsa sobre esto. El problema en realidad no es el modo de usuario único. Por ejemplo, considere el siguiente escenario:

Alguien tiene las manos en su computadora portátil. Sin cifrado de disco duro y sin contraseña de BIOS. Ahora tiene varias opciones. Solo por nombrar dos de ellos:

  • Saque el disco duro de la computadora portátil y simplemente úselo desde otra PC. Eludir cualquier protección de archivos, como los propietarios de archivos definidos por el sistema, no es exactamente difícil, ya que simplemente puede usar sudo / la cuenta de administrador / cualquier forma de obtener el mayor privilegio que su sistema operativo le brinda y simplemente modificar la propiedad de la manera Le gusta. En algunos macbooks, esto puede ser un poco difícil, dependiendo de la forma en que el disco duro está integrado en la máquina.
  • Arranque desde otro sistema operativo a través de un USB de arranque y recupere los archivos a través de este sistema operativo.

O la versión corta:

  

Ley # 3: si un malvado tiene acceso físico sin restricciones a tu computadora, ya no es tu computadora

De la 10 leyes inmutables de seguridad informática . El modo de usuario único solo proporciona una forma sencilla de acceder a los archivos sin utilizar ninguna solución trivial.

Entonces: ¿Cómo protejo mis archivos?
En primer lugar y bastante obvio: use el cifrado de disco para evitar que alguien acceda al disco duro sin contraseña. OS X proporciona FileVault / FileVault2 para este fin, que encripta los datos mediante XTS-AES 128. Esto evitaría que cualquiera quien no tiene una cuenta registrada en la máquina desde el inicio de la máquina / el acceso a los archivos. Pero incluso puede llevar esto un paso más allá, utilizando una firmware-password (a veces también denominada EFI- contraseña), para evitar que su máquina arranque desde cualquier otro sistema operativo que no sea su unidad. Además, el acceso al modo de usuario, la recuperación y algunas otras funciones también se niegan a los usuarios no autorizados. Por lo tanto, la activación de FileVault y el uso de una contraseña de firmware deberían ser suficientes para evitar que nadie, excepto usted, acceda a sus archivos. La única opción que quedaría sería quitar el disco duro y romper la contraseña. En otras palabras: no puede obtener mucha más seguridad en este vector de ataque.

    
respondido por el Paul 19.05.2016 - 03:44
fuente
10

Además de proteger la unidad con el cifrado de disco completo de FileVault 2, puede desactivar el modo de usuario único configurando una contraseña de firmware. Esto evitará que otros usuarios que pueden descifrar la unidad, como una máquina multiusuario, accedan al modo de usuario único, entre otras cosas.

De Use una contraseña de firmware en su Mac :

  

Para proteger los datos en su Mac, puede configurar una contraseña de cuenta de usuario para evitar que usuarios no autorizados inicien sesión. También puede cifrar su disco de inicio usando FileVault para que usuarios no autorizados no puedan leer los datos almacenados en su Mac sin la contraseña correcta.

     

Para obtener protección adicional, también puede establecer una contraseña de firmware en su Mac. Una contraseña de firmware evita que su Mac se inicie desde cualquier dispositivo que no sea el disco de inicio designado.

Aunque no se menciona específicamente en el extracto anterior, deshabilita el modo de usuario único (y la partición de recuperación) sin ingresar primero la contraseña del firmware, ya que solo iniciará el disco / partición de inicio por defecto sin la contraseña.

Por supuesto, la contraseña del firmware no protege contra la extracción física de la unidad y la lectura de otra máquina, pero si se usa junto con FileVault 2, puede proteger contra otros usuarios con acceso a la máquina.

    
respondido por el Alexander O'Mara 19.05.2016 - 01:01
fuente

Lea otras preguntas en las etiquetas

¿Los hashes SHA-256/512 con sal siguen siendo seguros si los hashes y sus sales están expuestos? ¿Qué acciones debo tomar, como usuario final, en respuesta a EFAIL?