So sichern Sie Ihr TiBook (oder einen beliebigen Mac OS X-Rechner)
Seiten: 1, 2

Da Sie es schließlich mit einem Macintosh zu tun haben, gibt es auch nichts, wofür Sie auf die Befehlszeile angewiesen wären. Sollten Sie ein Mac-Programm mit grafischer Benutzeroberfläche bevorzugen, das die ganze Sache vereinfacht - es jedoch lediglich erlaubt, ein Kennwort zu setzen und den oben beschriebenen security-mode auf "command" (oder zurück auf "none") zu setzen -, können Sie es bei Apple herunterladen. Aber da wir nun schon einmal dabei sind, warum lesen Sie nicht erst mal den Rest des Artikels?

Bedenken Sie ferner, dass sich im Modus full security Folgendes nicht mehr bewerkstelligen lässt:

• Booten von einer CD-ROM, indem Sie während des Startvorgangs lediglich die Taste C gedrückt halten; Sie müssen stattdessen in OFW den recht kryptischen Befehl boot cd:,\\:tbxi und anschließend das korrekte Kennwort eingeben.
• Benutzen der grafischen Auswahl für das Startvolume, indem Sie während des Neustarts die Optionstaste gedrückt halten; stattdessen müssen Sie am OFW-Prompt einen Boot-Befehl und das korrekte Kennwort eingeben. (Auf die grafische Auswahl für das Startvolume kann jedoch zugegriffen werden, wenn security-mode auf "command" gesetzt ist; der Mac verlangt von Ihnen dann die Eingabe des Kennworts in ein winziges Textfeld.)
• "Zurücksetzen des PRAM", indem Sie während des Neustarts die Tastenkombination CTRL-Option-P-R gedrückt halten; Sie müssen stattdessen den Befehl "set-defaults" sowie das korrekte Kennwort und anschließend "reset-all" eingeben, um die neuen Werte zu speichern.

Nebenbei ein kleineres historisches Artefakt: Es bestehen einige kleine Unterschiede zwischen der Sun-Implementierung und derjenigen von Apple. So lässt es die Sun-Variante nicht zu, eigene Variablen zu setzen, die Apple-Version jedoch sehr wohl. Die einzige praktische Folge daraus ist, dass Apple mehr Sorgfalt bei der Eingabe verlangt. Haben Sie beispielsweise die Absicht, setenv boot-file hd:,ofwboot einzugeben, tippen tatsächlich aber setenv boot-fiel hd:,ofwboot, legt die Apple-Implementierung insgeheim eine neue Variable namens boot-fiel an. Da Sie boot-file aber überhaupt noch keinen Wert zugewiesen haben, bleibt weiterhin der vorgegebene erhalten. Das heißt, Apples OWF ignoriert eine Reihe von Fehlern einfach stillschweigend. Seltsamerweise implementiert die Apple-Variante auch nicht den Befehl "unsetenv", so dass es keinen festgelegten Weg gibt, diese irrelevanten Variablen zu löschen. Möglicherweise ist Apple aber gar nicht daran gelegen, dass OFW interaktiv genutzt wird; so funktioniert nämlich auch die überaus wichtige, benutzerfreundliche Anweisung help in der Befehlszeile nicht. Die Sun-Version gibt Ihnen zumindest eine nach Kategorien sortierte Liste von Befehlen.

Und was passiert, wenn man das Kennwort vergessen hat? Ihr Türstopper lässt sich natürlich auch wieder in einen Mac zurückverwandeln; das bedeutet jedoch einen unter Umständen recht erheblichen Aufwand. Für den Fall, dass sich der Rechner noch booten lässt (d.h., wenn Sie security-mode auf "full" gesetzt hatten) und Sie über das Kennwort für einen "Administrator"-Zugang verfügen, können Sie dieses mit Hilfe des weiter oben erwähnten Apple-GUI-Programms (keinesfalls aber über den Befehl "nvram" - siehe dazu den Kasten rechts) zurücksetzen. Sollte der Rechner allerdings nicht mehr hochfahren können, müssen Sie das Gehäuse öffnen und die CMOS-Batterie entfernen.

Sollte der Apple-Care-Vertrag für Ihr Gerät noch nicht abgelaufen sein, mögen Sie wegen der gefürchteten Klausel der "unautorisierten Reparatur" womöglich zögern, es selbst zu öffnen. Raffen Sie jedoch all Ihren Mut zusammen - womöglich brauchen Sie nur das Gehäuse zu öffnen und die CMOS-Batterie für ein paar Stunden zu entfernen. Dies hat den gleichen Effekt, wie es das "Zurücksetzen des PRAM" üblicherweise hat: Ihr Mac vergisst alles, einschließlich des Datums, der Zeit und des Kennworts. Gehen Sie nun zurück auf "Los". Sollte dies nicht funktionieren oder wagen Sie es nicht, das Gehäuse zu öffnen, müssen Sie notgedrungen den Weg zu Ihrem Apple Service-Center auf sich nehmen.

Duales Booten

Auch wenn es für die meisten Leser wohl keine Notwendigkeit dafür geben mag, ihren Rechner für das "duale Booten" zu konfigurieren - d.h. die Möglichkeit, in einem von zwei verschiedenen Betriebssystemen zu starten -, erfordert es lediglich einen zusätzlichen OWF-Befehl, um diese Funktion zu aktivieren. Möglicherweise benötigen Sie keinen "Boot-Manager", wie es auf einem PC der Fall ist. Mein TiBook beispielsweise läuft aufgrund meiner sicherheitsrelevanten Tätigkeiten häufig unter OpenBSD, kann jedoch ganz nach Bedarf ohne weiteres auch unter Jaguar gebootet werden. Andere Kombinationen für das duale Booten, das Sie von den jeweiligen Vorteilen unterschiedlicher Betriebssysteme profitieren lässt, sind NetBSD und Linux/PPC. Über die Installationsanweisungen für OpenBSD setze ich das boot-device auf "hd:,ofwboot", nachdem ich die Datei ofwboot im Root-Verzeichnis der HFS+-Partition installiert habe.

setenv boot-device hd:,ofwboot

Fortan brauche ich (in security-mode "full" oder nach einem Neustart mit dem Befehl für security-mode) beim Boot-Vorgang lediglich "boot" am OK-Prompt einzugeben. Alternativ dazu kann ich folgenden kryptischen Befehl benutzen:

boot hd:,\\tbxi

Beachten Sie, dass im Modus "command" auf OWF zugegriffen werden muss; anschließend können sämtliche Befehle, die ein Kennwort erfordern, benutzt werden. Geben Sie dann den obigen Boot-Befehl ein. Und fragen Sie mich bloß nicht, wofür tbxi steht. Ich kann dazu nur so viel sagen, dass es sich dabei um den standardmäßig vorgegebenen Wert im Listing von printenv handelt. Hierdurch gelange ich in Mac OS X. Alternativ könnte ich diese Einstellung beibehalten, um mit Hilfe von "boot" zu Mac OS zu gelangen und durch den Befehl "boot hd:,ofwboot" OpenBSD zu starten (an diesem Punkt ist es nicht möglich, über die grafische Boot-Auswahl von der Festplatte in OpenBSD zu booten).

Um es nochmals deutlich zu sagen: Wollen Sie ausschließlich Mac OS X nutzen, brauchen Sie lediglich ein Kennwort und security-mode zu setzen; dies bewirkt entsprechend eine Kennwortabfrage.

Weitere lokale Sicherheitslücken

Sie haben nun ein Kennwort gesetzt sowie die Sicherheit auf "full" eingestellt. Sie glauben, die bösen Buben hätten nun keine Chance mehr, Ihren Rechner einzuschalten und sich an all Ihren geheimen Daten zu bedienen? Weit gefehlt! Mac OS X erfordert grundsätzlich nämlich noch nicht einmal ein Anmeldekennwort. Dies ist der erste Punkt, den Sie ändern sollten. Gehen Sie zu Systemeinstellungen -> System -> Benutzer -> Autom. Anmeldung und stellen Sie dort sicher, dass die Checkbox "Automatisch ... anmelden" nicht bei jedem Benutzer aktiviert ist. Sie müssen nun ein Kennwort eingeben, um sich am Computer anzumelden. Dazu eine Anmerkung: Verwenden Sie als Anmeldekennwort ein anderes als das zuvor bereits als "BIOS-Kennwort" gesetzte.

Und jetzt zum Bildschirmschoner. Bildschirmschoner sollten immer mit einem Kennwort versehen sein, so dass niemand Ihren Rechner benutzen kann, während Sie mal gerade eine Kaffeepause einlegen. Gehen Sie zu Systemeinstellungen -> Persönlich -> Bildschirmschoner -> Aktivierung und stellen Sie sicher, dass Mein Benutzerkennwort verwenden aktiviert ist. Und wenn Sie schon mal dabei sind: Aktive Ecken bietet eine bequeme Möglichkeit, den Bildschirmschoner (der als eine Art Monitor-Schloss fungiert) zu starten. Ich benutze diese Option.

Wie steht's mit Ihrem OS 9-Volume? Betreiben Sie an Ihrem Rechner ein Laufwerk oder eine Partition mit OS 9, ist es je nach Hardware durchaus möglich, den Mac dazu zu bringen, unter OS 9 zu booten, indem man den Startvorgang der OS X-Partition unterbricht. Sorgen Sie also dafür, dass entweder keine OS 9-Volumes angeschlossen sind oder aber im Kontrollfeld "Mehrere Benutzer" "Kennwörter" gewählt wurde.

Das Buch zum Thema: Mac OS X Hacks Von Rael Dornfest

Sicherheitslücken auf Netzwerkebene

Benutzen Sie rsh, Telnet oder SSH, wird Ihnen daran gelegen sein, die Möglichkeit des entfernten Zugriffs auf Ihren Rechner zu aktivieren. Mac OS X beinhaltet OpenSSH, die kostenlose Open Source-Implementierung des Secure Shell-Protokolls SSH. Um sich per SSH mit einem anderen Host zu verbinden, müssen Sie lediglich "ssh nameOfHost.com" eingeben, und schon erhalten Sie eine SSH-Verbindung, natürlich vorausgesetzt, der Host betreibt einen SSH-Server. Wollen Sie den SSH-Server aktivieren, begeben Sie sich zu Systemeinstellungen -> Sharing und aktivieren dort die Checkbox "entfernte Anmeldung".

Sollte Ihr Rechner an das Internet oder ein beliebiges Netzwerk angeschlossen sein, können Sie die Gelegenheit auch gleich dazu nutzen, unter dem Reiter Firewall die Personal Firewall zu aktivieren. Diese bietet - ganz wie auch pf oder ipf auf BSD Unix-Systemen - eine simple, aber effektive Paketfilterung, die jegliche von Ihnen nicht autorisierte eingehende Netzwerkaktivität unterbindet. Aktivieren Sie einen Dienst wie SSH, wird dieser von der Firewall automatisch akzeptiert. Bedenken Sie, dass eine deaktivierte Firewall Hackern eine größere Chance bietet, in Systemdienste einzudringen oder per Fernzugriff Zugang zu fremden Dateien zu erlangen. Eine eingehendere Beschreibung von Personal Firewall finden Sie im Artikel von Chris Cochella.

Es gibt keinen rsh- oder Telnet-Server - und ich bin zugegebenermaßen auch äußerst froh, dass r*d oder telnetd nicht verfügbar sind. Theoretisch werden diese von Mac OS X zwar durchaus unterstützt, praktisch besteht jedoch keinerlei Möglichkeit, diese Dienste über "Systemeinstellungen" zu aktivieren - was sicherlich ein Schritt in die richtige Richtung ist. Dies ist "Teufelszeug", sprich: "absolut unsicher". Lassen Sie also lieber die Finger davon. Benutzen Sie stattdessen das in Mac OS X enthaltene SSH.

Genauso wie auch der OS-Kernel, sind die meisten dieser Server Bestandteil des "Open Source"-Darwin-Projekts. Daraus folgt zweierlei: Etwaige Bugs kommen schnell ans Licht und können umgehend ausgemerzt werden. Auf der anderen Seite haben jedoch auch System-Hacker Einblick in den Software-Code und können diesen ohne weiteres lesen, ganz so wie Sie gerade diesen Artikel lesen. Gehen Sie also auf Nummer sicher und installieren Sie alle von Apple veröffentlichten Updates.

Schließlich noch eines: Je weniger "Sharing-Optionen" Sie aktiviert haben, desto unwahrscheinlicher ist es, dass Ihr System aufgrund einer den Untiefen des Cyberspace entspringenden Hacker-Attacke Leck schlägt.

Quellen

OFW ist eigentlich für die Fehlerbeseitigung bei Betriebssystemen gedacht; in diesem Zusammenhang bietet es ein weit größeres Maß an Manipulationsmöglichkeiten, als für Sie gut sein mag. Experimentieren Sie auf keinen Fall mit OFW-Befehlen herum, auf die hier nicht eingegangen wurde; Sie riskieren damit Datenverlust oder gar die Boot-Fähigkeit Ihres Rechners.

• IEEE Std 1275.1-1994
  IEEE Standard for Boot (Initialization Configuration) Firmware: Instruction Set Architecture (ISA) Supplement for IEEE 1754;
  nicht online erhältlich; IEEE-Standards können unter IEEE Publications angefordert werden
• FirmWorks (der führende Lieferant von Open Firmware)
• Überblick über die Open Firmware-Befehle (kostenlos auf der FirmWorks-Website).
• Open Firmware Command Reference (bei FirmWorks gegen Gebühr erhältlich).
• Sun OpenBoot 3.x Command Reference Manual
• Suns Website zu OpenBoot/OFW mit jeder Menge interessanter Details

Hier eine kurze Auflistung von vier nützlichen Tastenkürzeln für den Neustart und das Ausschalten des Rechners:

Ian F. Darwin ist seit drei Jahrzehnten in der Computerindustrie tätig: seit 1980 mit Unix, seit 1995 mit Java sowie ab 1998 mit OpenBSD. Er ist Autor der beiden O'Reilly-Bücher Java Kochbuch und Checking C Programs with lint.