Mac OS X saknar säkerhet!!!

Du måste låsa datorn ordentligt, se följande:

http://docs.info.apple.com/article.html?artnum=106482&SaveKCWindowURL=http%3A%2F%2Fkbase.info.apple.com%2Fcgi-bin%2FWebObjects%2Fkbase.woa%2Fwa%2FSaveKCToHomePage&searchMode=Assisted&kbhost=kbase.info.apple.com&showButton=false&randomValue=100&showSurvey=false&sessionID=anonymous%7C164722705

SU brukar vara superuser - en med mycket behörighet.
Single user är med begränsad behörighet och är avsett att användas för att fixa till register som är totalknas (och då är kanske inte så kul )

Men det kan finnas fler anledningar - vi får kolla tråden

Har du fysisk tillgång till en dator kan du alltid komma in i den. Tyvärr... Går att göra det svårare men, man kan alltid komma in i den.

En lite pdf-guide till högre säkerhet.

http://www.macosxlabs.org/slides/Swarthmore_OSXSecurity.pdf
3.1MB.

Man kan göra samma sak på en dator med Linux på. Har man tillgång till datorn kan man alltid ta sig in i Single user mode.

Om jag inte missminner mig helt, var (är) det på samma sätt under SunOS och AIX.

Har du tillgång till datorn kan du ju alltid plocka med dig hårddisken och då hjälper väl inte ens låset i OF.

Hälsningar
Richard

Som konsult inriktad på ihotbildsanalyser odyl blev jag lite oroad av detta. Skälet är ju att det allvarligaste hotet mot alla organisationer är insidern, dvs en person som har tillgång till datorn fysiskt. Mot insidern finns dels saker att göra för att se till att de inte finns i organsiationen (bra personalpolicy, personkontroller, lönepolicy etc), dels saker som gör det svårt för personer att inte få reda på saker "de inte behöver veta för sin tjänst" samt loggningsförfaranden som gör att den potentiella insidern inser att han riskerar att bli upptäckt om han agerar utifrån sin egen behörighet.

Denna funktion/lucka gör att organisationens tekniska skydd mot insiders helt omintetgörs. Jag hoppas att jag missuppfattat något så jag med gott samvete även fortsättningsvis kan hävda att MacOSX är ett säkert alternativ.

Jag har för mig att man kan boota de flesta UNIX varianter i singel user mode utan att behöva något lösenord.

Så Apple skiljer sig inte så mycket från mängden där, även om man kan tycka att ett lösenord eller två skulle vara på sin plats....

Men som någon skrev i ett tidigare inlägg, har man fysisk tillgång till maskinen så är det inte mycket man kan göra för att förhinda tillgång till systemet.

Antingen får man låsa in diskarna eller ha alla kataloger på någon skyddad filserver.

/Johan

Du har samma problem över allt - om man inte tillåter att en dator skall vara omöjlig att serva om den krånglar...
Det finns - som nämnts - möjligheter att säkra upp för kritiska situationer och sådär så så säkert som det mesta annat är det...

Fast i flertalet fall är det ett nyttoverktyg och då är det inte fullt så kritiskt

Ja, att inte veta vad man håller på med brukar kunna leda till säkerhetsläckor.

Att det inte är något OF pw som standard beror säkert på att Sune newbie blir förtvivlad när han ska boota singleuser (för fsck t.ex) och inte har en aning om vad lösenordet är, han har ju inte satt det själv.

/BR

ehm.. har man fysisk tillgång till en os x dator så är det inga problem att komma åt vad man vill, oavsett pwd eller inte..

Om man har en Xp-startskiva, så är det samma visa med Windows. Känns varken nytt, skrämmande eller konstigt.

Men herregud, var har ni varit de senaste åren?
Jag försöker läsa och läsa datumet för att se om denna diskussion verkligen sker idag...
Är Single User Mode verkligen något nytt för er?
En OS X dator är precis lika säker som någon annan dator som man har fysisk access till. Om man är rädd om sin data så skall man antingen kryptera den eller ha den på en server som är inlåst i ett valv.
Ingen vanlig användare kan starta i SM och sedan utföra alla kommandon som krävs för att lurka på andras dokument. M.a.o. det krävs lite mer av användaren än att hålla nere 2 tangenter då man startar.
Om man är säkerthetskonsult så skall man naturligtvis informera sina klienter om hur det står till och visa hur de kan skydda sig.
I en nätverksmiljö är detta lätt. Spara alla viktiga/hemliga dokument på server och krypterade.

Eller så kan man stänga av Single user mode. Kanske inte så smart.. Men det går.

Samt så kan man lägga till lösenord i OpenFirmware direkt när datorn startar. Vilket även det avaktiverar Single User mode..

Dock så kan man nollställa lösenordet (kommer int ihåg hur) men det ger iaf lite extra säkerhet.

Vi får inte glömma att det går att starta från CDn och sedan välja vilka lösenord man vill återställa. Detta är det lättaste sättet för en icke terminalkunnig.
Dock lär användaren märka nåt konstigt då han/hon vill logga in nästa gång...;)

Som sagt, lås in burken om ni inte vill att någon skall snoka i den...

Är detta något som FileVault kommer kunna råda bot på? Om man under kommande OS 10.3, Panther, aktiverar denna säkerhetsfunktion borde det väl vara krypterad information zom inte nås från start i Single user mode och/eller start CD.

Är det någon som vet hur det ligger till?

www.apple.com/macosx/panther/file_vault.html

Känns ju som det faktiskt.."..FileVault secures your home directory .."

Men div. users skal lväl root ändå inte ha läsrättighet på
Det är väl inte full rättighet (admin) utan mest för systemets struktur... Fast man kan ju komma åt admin om man har root, kunskap och program för att knäcka krypterade lösenord...

som alla andra ha sagt ett antal gånger; detta är inte direkt något nytt...

och som alla andra har sagt; om man vill ha 100% säkert system skall man gräva ner burken utan nätverksåtkomst, men det är kanske inte så användbart..

Jag vet inte var ifrån man har fått uppfattningen om att OSX skulle vara ett säkrare system än andra Unix® baserade system. Kanske en kvarleva från den gamla goda MacOS tiden näör du inte kunne komma åt ett Macsystem utan att installera massor med extraprogram.
Den största säkerhetsrisken ligger i att man tror att man har ett säkert system. Systemet är aldrig starkare än den svagaste länken. Vet man vilka länkar som är svaga kan man ju ha en extrakoll på dessa.
Måste hålla med Micke W om varför hetsa upp sig över att man kan starta i Singeluser mode, när man kan starta från CD, ändra rootlösenordet och verkligen kunna göra allt på enheten. Testade att göra det på min LittleAl. Tog 3,35 minuter från omstart till omstart med ändrat rootlösenord.
Läsa som singeluser är blaha blaha mot att logga in som root.
Hoppas vi inte förstör helgen för några nu.

Som någon annan har påpekat, det enda system som är säkert är det som inte används.

Sommarhälsningar från
Richard

X är ju som tidigare sagt inte säkrare än någon annat *nix system. Även Win2000/NT är nästan lika lätta att komma in i om man har en startdiskett med sig.
Enda som kan hinda lite är lösenord i BIOS/Firmware.

Om du vill ha en dator med maximal säkerhet får du köpa en Unisysdator med inbyggd hårdvarukryptering med kortläsare och lösenord... Men den kostar...

Jag ser inte Singel User mode som ett problem, det finns ändå inget sätt som är 100% säkert om en person har fysisk tillgång till en maskin. Man kan flytta disken i fråga till annan maskin och ha full tillgång till den, eller boota på iPod och göra en dd av den..

Oavsett, dom extrema vägarna man måste gå för att skydda fysiskt, hårdvarukryptering med flera är så dyra och bökiga att dom oftast inte är värt det.. Det är oftast bara i vissa speciella fall det är värt.

Kryptera allt viktigt och lagra det på band i kassaskåp eller liknande. Eller ännu viktigare, se till att man har bra rutiner för hantering av lösenord, vem som har lösenord vart och annan känslig info.

MacOSX är säkrare än dom flesta andra unix och liknande eftersom det mesta är avslaget som standard och granskat för dom flesta vanliga problemen.

Jag vet att jag bara upprepar vad redan är sagt, men det kändes ändå ett behov av att göra det..

Sed quis custodiet ipsos custodes?

Hälsningar
Richard

Det gör jag.

Och jag dig;)

Sommarhälsningar
Richard