Absicherung des Single-User-Modus

Der Single-User-Mode wird auch gerne als Wartungsmodus bezeichnet oder ist unter Unix auch als Runlevel 1 bekannt. In diesem Modus startet das Betriebssystem so wenige Dienste wie möglich und stellt auch die geringste Funktionalität bereit. Für ein produktives Arbeiten ist der Single-User-Modus daher nicht geeignet. Dieser Modus wird primär für diagnostische Zwecke und für Reparaturarbeiten am Betriebssystem eingesetzt.

Die Tastenkombination

Ab der Mac OS X Version 10.6 lässt sich der Single-User Modus beim Startvorgang (Booten) des Systems durch Drücken der Tastenkombination „ S“ starten.

Die Missbrauchsgefahr

Die Gefahr beim Starten des Single-User-Modes ist, dass man durch diesen Root Zugriffsrechte ohne die Eingabe des Passwortes erlangt. Ein versierter Benutzer könnte somit auf sämtliche Daten des Systems zugreifen, sofern diese nicht verschlüsselt sind. Eine Manipulation der Daten könnte ebenfalls erfolgen. Somit können die Integrität und die Verfügbarkeit der Daten nicht sichergestellt werden.
Um die Gefahr des Ausnutzens von Root Zugriffsrechten im Single-User-Modus zu reduzieren, wird stets empfohlen, das so genannte Extensible Firmware Interface (EFI)-Passwort auf Mac OS X Systemen zu setzen. Ist dieses gesetzt, erfolgt bei dem Versuch, das System im Single-User-Modus zu starten, eine Passwortabfrage. Durch setzen des EFI-Passwortes wird auch verhindert, dass unbekannte oder unautorisierte Partitionen beim Systemstart geladen werden können. Des weiteren sind bei gesetztem EFI-Passwort die Benutzer nicht in der Lage, den Target-Disk-Modus zu starten, welcher es erlaubt, dass die interne Festplatte als FireWire oder Thunderbolt Massenspeichergerät angesprochen werden können. Sofern auch hier die Daten unverschlüsselt vorliegen, besteht die Möglichkeit eines unberechtigten Datenzugriffs.

Möglichkeit der Umgehung des EFI-Passwortes

Allerdings sei hier erwähnt, dass ein Umgehen des EFI-Passwortes möglich ist, wenn der Benutzer physischen Zugriff zum System hat und in der Lage ist die Speicherkonfiguration zu ändern. Nach einem dreifachen Reset des PRAMS (Command + Option + P + R) wird das EFI-Kennwort deaktiviert. Die Möglichkeit des Umgehens des EFI-Passwortes ist mit allen Modellen des Jahres 2011 und danach nicht mehr gegeben. Sofern der Benutzer das gesetzte EFI-Passwort vergessen hat, besteht nur noch die Möglichkeit des Zurücksetzen (ab Modellversion 2011) direkt durch Apple.
Möglichkeiten der Absicherung
Um das EFI-Passwort unter Mac OS X zu setzen existieren die zwei folgenden Möglichkeiten der Umsetzung:
  1. der Kommandozeile oder
  2. über das Firmware Password Utility.

Zugriff auf die Firmware Password Utility

Der Zugriff auf die Passwort Firmware Utility, welche zum Setzen des EFI-Passwortes genutzt werden kann, erfolgt in Abhängigkeit vom eingesetzten Betriebssystem unterschiedlich.

OS X 10.7 (Lion) und OS X 10.8 (Mountain Lion)

Seit OS X Lion gibt es keine Installationsmedien mehr. Sämtliche zusätzliche Werkzeuge, inklusive der Passwort-Utility befinden sich auf der versteckten Recovery-Partition, die zunächst mit den folgenden Schritten sichtbar gemacht werden muss.
  1. Aktivieren Sie das Debug Menü in der Disk Utility, indem sie ein Terminal öffnen (Applications/Utilities) und folgenden Befehl ausführen: defaults write com.apple.DiskUtility DUDebugMenuEnabled 1
  2. Öffnen Sie nun die Disk Utility und wählen Sie „Jede Partition anzeigen“ vom Debug-Menü
  3. Wählen Sie nun die versteckte Festplattenpartition aus und mounten Sie diese durch Drücken von Mount.
  4. Navigieren Sie wieder zurück zum Terminal Fenster, welches Sie im Schritt 1 geöffnet haben und führen Sie den folgenden Befehl aus um das Recovery Image zu laden: open /Volumes/Recovery\HD/com.apple.recovery.boot/BaseSystem.dmg
  5. In dem Fenster welches sich öffnet können Sie nun in den Ordner Applications/Utilities navigieren, wo sich das Firmware Password Utility befindet
  6. Führen Sie die unten aufgeführten Schritte durch um das EFI-Passwort zu setzen

OS X Versionen 10.7 und davor

Die Mac OS X Versionen 10.7 und davor wurden noch mit Installationsmedien ausgeliefert. Hier befindet sich die Firmware Password Utility auf den CDs oder DVDs unter dem Ordner /Applications/Utilities.
Um das Firmware Password Utility zu starten, legen Sie daher die CD in das Laufwerk und navigieren Sie zum entsprechenden Ordner.
Zum Setzen eines Passworts führen Sie die folgenden Schritte durch:
  1. Gehen Sie auf „Neu“
  2. Wählen Sie „Require password to start this computer from another source“
  3. Geben Sie das EFI-Kennwort ein und bestätigen Sie dies
  4. Sie können testen ob das EFI-Kennwort nun aktiv ist, wenn Sie versuchen das System im Single-Modus zu starten. Wenn ein Login-Fenster erscheint, war das Aktivieren des EFI-Kennwortes erfolgreich.

Überblick der Funktionen des EFI-Kennwortes

Die folgende Übersicht gibt eine Überblick der Funktionen des EFI-Kennwortes auf einem Intel-basierten Mac.

  • Die Möglichkeit, die Taste „C“ zum Starten von einem optischen Medium zu verwenden, wird blockiert.
  • Die Möglichkeit, die Taste „D“ zum Starten des Diagnose-Volumes der Installations-DVD zu verwenden, wird blockiert.
  • Die Möglichkeit, die Taste „N“ zum Starten von einem NetBoot Server zu verwenden, wird blockiert.
  • Die Möglichkeit, die Taste „T“ zum Starten im FireWire-Festplattenmodus zu verwenden (falls diese Funktion auf dem Computer verfügbar ist), wird blockiert.
  • Die Möglichkeit, den Computer durch Drücken der Tastenkombination „-V“ während des Startvorgangs in den Verbose-Modus zu schalten, wird blockiert.
  • Die Möglichkeit, den Computer durch Drücken der Tastenkombination „-S“ während des Startvorgangs in den Einzelbenutzermodus zu schalten, wird blockiert.
  • Das Zurücksetzen des Parameter RAM (PRAM) durch Drücken der Tastenkombination „--P-R“ während des Startvorgangs wird blockiert.
  • Zur Eingabe von Befehlen nach dem Start von Open Firmware, der durch Drücken der Tastenkombination „--O-F“ durchgeführt wird, wird das Kennwort abgefragt.
  • Die Möglichkeit, einen sicheren Systemstart auszuführen durch Drücken der Taste „⇧“ während des Startvorgangs wird blockiert.
  • Zur Verwendung des Startup Managers, auf den durch Drücken der Taste „⇧“ während des Startvorgangs zugegriffen werden kann, wird das Kennwort abgefragt.