Mac OS im Außenlager

Der folgende Artikel beschreibt Maßnahmen die ich für sinnvoll halte, wenn man einen Mac (Leopard) für den Einsatz zB in einem Außenlager absichern muss. Das ganze soll kein Hochsicherheitstrakt werden, sensible Daten werden auch nicht gespeichert aber man möchte das System zumindest rudimentär gegen Missbrauch schützen:

EFI Passwort schützen:

Das EFI (bzw. Open Firmware bei PPC Systemen) greift sämtliche StartUp Shortcuts ab und gewährleistet dem User Zugriff uA auf den Single User Modus. Dieser Modus birgt besondere Gefahren, weil er dem User eine Root Shell ohne Eingabe eines Passworts zur Verfügung stellt. Damit wäre der User in der Lage sämtliche Sicherheitsmechanismen, Einschränkungen oder Systemeinstellungen auszuschalten bzw. nach seinen Anforderungen zu verändern. Durch die Vergabe eines EFI Passworts werden sämtliche PreBoot Shortcuts deaktiviert bzw. die Auswahl eines alternativen Boot Device (zB DVD oder zweites System auf zB Firewire Platten) nur durch Eingabe des EFI Passworts möglich1).

Der EFI Security Level kann auf folgende Werte gesetzt werden:

  • None: (Default) In diesem Level sind keine Einschränkungen vorhanden.
  • Command: Dieser Level erfordert ein Passwort, wenn der User von einem anderen Device booten möchte oder anderweitige Änderungen am EFI vornimmt.
  • Full: Dieser Level erfordert ein Passwort beim Systemstart bzw. Neustart und beinhaltet ebenso den Command Level.

Zum Setzen des EFI Security Levels können Sie das nvram-Kommando wie folgt einsetzen:

$ sudo nvram security-mode=Command

Abfragen der aktuellen Security-Mode Einstellungen:

$ sudo nvram -p  

Zum Setzen des EFI Kennworts müssen Sie das Firmware Password Utility von der Installations-DVD aufrufen. Dazu booten Sie entweder von der CD oder rufen Sie den auf der CD versteckten Utility Ordner im Terminal auf. Folgen Sie den Anweisungen Password Utilies:

$ open /Volumes/Mac\ OS\ X\ Install\ DVD/Applications/Utilities  

Zum Deaktivieren dieses Passwort Schutzes, können Sie den Security-Level auf den Default Wert »none« zurücksetzen oder/und ein leeres Passwort für die Firmware setzen.

Einschränkungen: Zu Bedenken ist bei diesem Setup, dass das Passwort geschützte EFI durch eine Veränderung der RAM Konfiguration außer Kraft gesetzt werden kann. Nach dem Verändern der RAM Konfiguration muss im Anschluss dreimal der Parameter-RAM gelöscht werden, dann kann der EFI Passwortschutz umgangen werden!

Bildschirmschoner mit Passwortschutz

Um zu vermeiden, dass das System zu lange offen bleibt, wenn ein zugangsberechtigter Benutzer das System verlässt und längere Zeit aus dem Auge verliert, empfiehlt sich ein Passwort geschützter Bildschirmschoner mit relativ kurzer Aktivierungszeit. Um den Bildschirmschoner auf eine idleTime von zB 10 Minuten (600 Sekunden) zu setzen, verwenden Sie folgendes defaults-Kommando oder setzen sie den Wert in der GUI in den Systemeinstellungen → »Schreibtisch & Bildschirmschoner«:

$ defaults -currentHost write com.apple.screensaver idleTime 600  

Um die Passwortabfrage zu aktivieren, wenn das System aus dem Sleep Modus bzw. den Standby Modus geholt wird, verwenden Sie folgendes defaults-Kommando oder in der GUI in den Systemeinstellungen → »Sicherheit«:

$ defaults -currentHost write com.apple.screensaver askForPassword -int 1  

Leider gibt es out of the box keine elegante Möglichkeit den Benutzer daran zu hindern, die Einstellungen für den Bildschirmschoner hinterher wieder zu ändern bzw. uU ganz zu deaktivieren. Sie haben jedoch die Möglichkeit den Zugriff auf die dafür verantwortliche Preferences Datei ~/Library/Preferences/ByHost/com.apple.screensaver.$HOST-ID.plist zu sperren. Ändern Sie hierfür den Eigentümer der Screensaver Plist einfach in root:wheel, dann kann ein normaler User diese Datei nicht mehr ändern und somit auch die Einstellungen.

Einschränkungen: Der Trick mit dem Ändern des Eigentümers funktioniert leider auch nur bedingt. Da der User auf den übergeordneten Ordner Schreibzugriff hat (und auch haben muss) hindert ihn nichts daran, die Screensaver Plist zu löschen. Diese wird dann im Anschluss automatisch vom System neu erstellt und zwar wieder mit den original Berechtigungen!

Kennwortabfrage bei geschützten Systemeinstellungen

Die Option »Kennwortabfrage für die Freigabe jeder geschützten Systemeinstellung« in der Systemeinstellung »Sicherheit« ist eher eine allgemeine Empfehlung und IMHO für vergessliche Administratoren gedacht. Ist diese Option aktiviert, sind bei jedem Start des Programms »Systemeinstellungen« alle Vorhängeschlösser zu. Mir persönlich einen Tick zu hart aber bei Systemen wo Anwender administrative Rechte für ihr System benötigen zumindest mal eine rote Ampel, die signalisiert, dass man uU an systemkritischen Einstellungen schraubt.

Für die Freunde des Terminal ist diese Option leider nur schwer zugänglich. Sie befindet sich in der Datei »/etc/authorization« im Tag <key>system.preferences<key> / <key>shared<key> (ca. Zeile 1050). Dieser Tag ist bei Bedarf auf »true« bzw »false« zu setzen.

Warnung: Machen Sie vor manuellen Änderungen an der Datei /etc/authorization bitte eine Sicherheitskopie (zB /etc/authorization.orig). Unsachgemäße Änderungen können dazu führen, dass Sie sich uU nicht mehr am System anmelden können. Sollte dieser Fall eintreten, melden Sie sich im Single User Mode an, mounten das Systemvolume und benennen die Sicherheitskopie wieder zurück in den ursprünglichen Namen!

Infrarot Fernbedienung deaktivieren

Diese Einstellung finden Sie in der GUI ebenfalls in den Systemeinstellungen → »Sicherheit«. Im CLI aktivieren Sie diese Option folgendermaßen:

$ defaults write /Library/Preferences/com.apple.driver.AppleIRController DeviceEnabled -bool no  

Filesharing Dienste deaktivieren

FTP deaktivieren:

$ launctl unload -w /System/Library/LaunchDaemons/ftp.plist  

SMB deaktivieren:

$ defaults delete /Library/Preferences/SystemConfiguration/com.apple.smb.server EnabledServices  
$ launctl unload -w /System/Library/LaunchDaemons/nmbd.plist  
$ launctl unload -w /System/Library/LaunchDaemons/smbd.plist  

AFP deaktivieren:

$ launctl unload -w /System/Library/LaunchDaemons/ com.apple.AppleFileServer.plist  

Passwort Hinweis entfernen

$ defaults write /Library/Preferences/com.apple.loginwindow RetriesUntilHint -int 0  

…to be continued!

mac/secure_system.txt (4455 views) · Zuletzt geändert: 2011/04/16 21:12 von wikisysop
CC Attribution-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0