Protegendo o FreeBSD no modo de usuário único

Você simplesmente precisa editar /etc/ttys para solicitar uma senha no modo de usuário único, embora tenha em mente que qualquer pessoa com acesso físico à máquina ainda poderá recuperar seus dados por meio de vários métodos.

você encontrará uma linha semelhante a essa, delimitada por tabulação em /etc/ttys :

console none   unknown off secure

altere a parte segura para inseguro (muito confuso, eu sei), então a linha é assim:

console none   unknown off insecure

Ao reinicializar e entrar no modo de usuário único, será solicitada uma senha para acessar o prompt do shell.

Isto é o que os caras do FreeBSD têm a dizer sobre o uso da palavra inseguro em /etc/ttys :

Note: An insecure console means that you consider your physical security to the console to be insecure, and want to make sure only someone who knows the root password may use single-user mode, and it does not mean that you want to run your console insecurely. Thus, if you want security, choose insecure, not secure.

Qualquer sistema fisicamente acessível tem o potencial de ser inseguro. Mesmo que o seu SO instalado seja seguro, alguém poderia, teoricamente, usar um disco ativo para editar configurações de segurança, redefinir senhas ou simplesmente obter dados.

Suponho que você tenha que desabilitar a inicialização via USB e cd e bloquear o BIOS para que seja totalmente seguro. E, mesmo assim, alguém sempre pode tirar o HDD.

Espero não deixar você muito paranóico;)

echo 'password=SuperPasswordHere' >> /boot/loader.conf.local

Será forçado a pedir uma senha antes de pular para o modo de usuário único

P.S. Preste atenção no FreeBSD-9 se você estiver usando isso. Alguém quebrou um pouco isso, mas o relatório de bugs e a solução de correção já foram reportados ao GNAT. Veja aqui, RP: 170110