Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Administrator-Rechte: Ja oder Nein?

Administrator-Rechte: Ja oder Nein?

dburkel10.04.0700:22
Hallo Leute!

Habe hin und wieder mal gelesen, dass es sinnvoll wäre sich auch unter Mac OS X die Admin-Rechte zu nehmen wegen Schadsoftware usw.

Aber prinzipiell darf man als normale Admin doch einiges eh nur nach Kennwort-Eingabe, anders als unter Windows XP

Macht das ganze dann unter diesem Gesichtspunkt sinn?

Grüße
David
0

Kommentare

DonQ
DonQ10.04.0700:25
ja, macht sinn, auch ist da in sicherheit eine einstellung dazu
„an apple a day, keeps the rats away…“
0
Mac Steve Pro10.04.0700:26
naja, wenn du ein kennwort brauchst, dann musst du es als admin-user auch eingeben. wenn du ein standard-user bist, und du brauchst die admin rechte, kann man auch beim standard-user dass kennwort des admin-users eingeben.

mfg
0
DonQ
DonQ10.04.0700:29
aber da geht kein su
„an apple a day, keeps the rats away…“
0
Martin Springer10.04.0700:32
Das heisst wohl, wenn man ein Programm installiert und das Passwort aufgefordert wird einzugeben, man dann in wirklichkeit einen Trojaner oder sowas, die Möglichkeit gegeben hat, zu trojanern? Oh oh... da hab ich sicher schon zich Trojas...
0
kay_96052
kay_9605210.04.0700:35
wenn du als user ohne adminrechte unterwegsbist, erhöht dies die sicherheit. klar.
bei der passwortabfrage ist es doch nur so, liest du dir JEDESMAL alles durch und reflektierst deinen zu tätigen schritt? oder gibst du stumpf das passwort ein und enter. dann ups...

dieses szenario wird damit einfach eliminiert, denn wenn du nach den adminrechten gefragt wirst ist obacht angesagt.
0
dburkel10.04.0700:37
Nein, ich lese mir schon durch, weshalb nen kennwort angefordert wird.

Habe im internet gelesen, dass aber nen wechsel von admin zu standard nicht so ohne ist

"

If someone switches their admin account to a non-admin (presumably after creating a new admin account) they will have a lot of folders and files that are still owned by them in places like /Library and /Applications. This could still compromise security. Unfortunately, I haven’t found a good GUI mechanism to fix this problem. It is easy from the command line

sudo chown -R root:root /Applications

With all the applications out there it is hard to be sure that this won’t cause some issues. But I’ve done this before and never had trouble."
0
Gaspode10.04.0700:37
Gab's jemals einen Trojander oder einen Exploit oder ein Demo zu einem solchen der genau Admin-Rechte gebraucht hat um zu wirken? Nein. Also den Quatsch mit dem Entziehen der Admin-Rechte kann man sich echt sparen.

Sinnvoller ist es einfach das Hirn einzuschalten und nicht auf alles zu klicken.

Die Exploits um an Admin- oder root-Rechte zu kommen haben immer so funktioniert das es egal war was der User schon an Rechten hatte. Es war dann ein Fehler in einer bestimmten OS X Version und Komponente und der User musste es mit seinen normalen Rechten ausführen.

Somit ist der zweite Tipp das System immer absolut aktuell zu halten.

Und ein Script das den User-Ordner löscht kann man sich immer einfangen und da helfen gar keine Rechte außer man entzieht sich generell die Rechte auf seine Festplatte zu schreiben.
0
DonQ
DonQ10.04.0700:38
naja, bei office magst du recht haben:-P

„an apple a day, keeps the rats away…“
0
dburkel10.04.0700:39
@ gaspode: Ich denk perpektivisch und über Security sich mal gedanken zu machen ist immer gut....
0
Gaspode10.04.0700:39
kay_96052 Wie genau erhöht man denn die Sicherheit dadurch? Kannst Du das bitte mal am konkreten Beispiel erläutern? So ist mir das zu ungenau.

Und schon lange vor dem Fragen des Admin-PW ist Vorsicht geboten. Siehe Exploits die sowieso über Systemfehler an Rootrechte kommen und siehe ein Programm das Dir einfach Deine User Daten ändert - oder einen Input Manager installiert. All das ohne Abfrage von irgendeinem Passwort.
0
Gaspode10.04.0700:41
dburkel Ja, ich bin auch für's Hirn einschalten und sich Gedanken machen. Mir fehlt bei der Forderung "Ohne Admin-Rechte arbeiten" aber der zu Ende gedachte Gedankengang wie ich damit die Sicherheit erhöhe. Das ist mir zu pauschal, am Ziel vorbei und somit nur Pseudosicherheit.
0
dburkel10.04.0700:41
@gaspode:
Es erhöht defacto die Sicherheit.
Wenn nen User keine systemweiten Schreibrecht hat und nach Interkation gefragt wird, muss der USer immernoch zuvor entscheiden.
So könnte nen Programm einfach werkeln ohne dass der User davon was merkt
0
Gaspode10.04.0700:42
Falls nicht ganz klar ist auf was ich hinaus möchte: Alle bekannten Exploits oder potentiellen Löche haben sowieso ihre Rechte auf root erhöht ganz ohne Zutun des Users, also ohne das der hätte Admin sein müssen oder ein Passwort eingeben musste. Da hat es gereicht eine Datei mit normalen Rechten auszuführen und lokal an der Maschine zu arbeiten...
0
DonQ
DonQ10.04.0700:43
gaspode

da geht es aber schwer ins detail, zu mindestens hilft es nicht fahrlässig zu installieren oder opfer eines albanischen virus zu werden.
„an apple a day, keeps the rats away…“
0
dburkel10.04.0700:44
@gaspode: Root-User mit Passwort versehen.
0
Martin Springer10.04.0700:44
kay_96052
Wie kann man denn feststellen ob man ein "gutes" oder "böses" Programm installiert hast? Ich habe vor kurzen ein Script gestartet/getestet... soll erstmal unwichtig sein wozu. Fakt ist ich habe es gestartet, seine Arbeit verichtete es, ich beendete es über "sofort beenden" da ich glaubte es wäre abgestürtzt, aber nach dem Beenden war der Prozessor immernoch gleich hoch belastet, aber KEIN Prozess in der Aktivitätsanzeige war zu erkennen welches damit zu tun haben könnte.

Nun... gibt es VERSTECKTE Prozesse? Prozesse die man in der Aktivitätsanzeige nicht sehen kann?
0
Gaspode10.04.0700:45
dburkel Das ist falsch. Ein Programm darf auch so eine Menge, lass mal einen Script Deinen home-Ordner löschen, der Schaden ist schon beträchtlich, oder? Zweitens, auch wenn Du kein Admin bist finden sich in OS X viele Löcher wie man an root-Rechte kommt. Sieh mal was Apple alles gefixt hat in der Hinsicht, allein mit 10.4.9 waren 30 Sicherheitslöcher zu flicken.

Auf was Du anspielst ist ein Trojaner der sich systemweit einnisten könnte nur durch Abfrage des Passworts und ohne einen lokalen Exploit zu benötigen. In der Praxis unbedeutend, es gibt ja genug Löcher in OS X um auch ohne Frage an den User sein Zeug unterzubringen.
0
Gaspode10.04.0700:50
dburkel "Root-User mit Passwort versehen." Da hast Du was missverstanden. Wenn der root-User kein Passwort hat, dann ist ihm der INTERAKTIVE Login verwehrt. Es kann sich niemand der davor sitzt am System anmelden. Wenn Du das Passwort setzt, kann man sich interaktiv anmelden, faktisch ist die Sicherheit gesenkt worden denn das root-Passwort ist jetzt da und man könnte es erraten.

Das AUSFÜHREN von Programmen mit root-Rechten ist davon aber völlig unabhängig und geht immer - ansonsten wäre OS X gar nicht lauffähig. Der kernel_task und launchd werden schon zu Anfang als root gestartet. Und die müssen das Passwort auch nicht kennen und laufen doch
0
Gaspode10.04.0700:52
Was ist denn ein albanischer Virus? echo "Löschen Sie jetzt Ihre Festplatte und senden Sie diese Mail dann weiter" oder so?
0
dburkel10.04.0700:52
Okay, stimmt schon.

Auf was ich hinaus will: Es geht mir eher um Trojaner usw.
0
DonQ
DonQ10.04.0700:53
gaspode

richtig

„an apple a day, keeps the rats away…“
0
Martin Springer10.04.0700:54
auf mein Post darf ruhig jeder antworten
0
MacMark
MacMark10.04.0712:32
Martin Springer<br>
...
Nun... gibt es VERSTECKTE Prozesse? Prozesse die man in der Aktivitätsanzeige nicht sehen kann?

Wenn ein Rootkit installiert ist, ja.
http://osx.realmacmark.de/osx_security.php#rootkits
„@macmark_de“
0
MacMark
MacMark10.04.0712:38
gaspode<br>
... es gibt ja genug Löcher in OS X um auch ohne Frage an den User sein Zeug unterzubringen.

Ich habe nicht nachgeschaut, ob Apple schon alle lokaler-User-wird-root-Bugs gefixt hat, aber selbst wenn man einem Macuser die Anleitung dazu vorlegt, werden die wenigsten in der Lage sein, das zu machen, weil es doch recht kompliziert ist.
„@macmark_de“
0
Martin Springer10.04.0712:46
Dann werde ich jetzt mein OSX wohl doch mal neu installieren müssen...
0
dburkel10.04.0713:02
Ich meine das früher oder später nen heftiger Trojaner/Virus/Wurm/Spyware für das Mac OS X kommen wird, ist klar.
0
Gaspode10.04.0713:10
dburkel Bei der schlechten Codebasis und den immer wieder auftretenden Buffer Overlows sicherlich. Aber für die Aussage werd ich hier ja immer wieder geschlagen.

Hoffen wir Apple nutzt die Zeit und macht es mit Leopard besser. Und die Intel-CPUs haben auch ein paar nette Hardwareansätze um Angriffe zu erschweren. Es wäre schade wenn sie wie Microsoft aus der Defensive reagieren müssten wie mit SP2 passiert.
0
dburkel10.04.0713:16
@gaspode: nein, du hast schon vollkommen recht. Man muss das ganze etwas nüchtern sehen und seinen apple enthusiasmus auch mal ablegen.

"Leopard erhält das Mandatory-Access-Control-Framework von TrustedBSD. Damit lässt sich unter anderem präziser bestimmen und sicherstellen, über welche Rechte und Einschränkungen Anwendungen, Prozesse und Funktionen verfügen.
Das System verfügt über Code Signing-Mechanismen. Programme und Komponenten, die mit höheren Rechten oder in systemkritischen Bereichen laufen (Kernel-Module, Startobjekte, Dienstprogramme, u.s.w.), müssen hierbei über eine gültige und korrekte Digitale Signatur verfügen, um ausgeführt werden zu können. "

Könnte evtl. dazu beitragen?
0
kay_96052
kay_9605210.04.0713:20
Martin Springer
Warum? Was funktioniert genau nicht mehr?
0
Gaspode10.04.0713:27
dburkel Wo kann ich mehr dazu nachlesen? Ich weiss nix über Leopard außer das ich es am Release-Tag kaufen werde
0
dburkel10.04.0713:38
http://de.wikipedia.org/wiki/Mac_OS_X

Was ich ehrlich zugeben muss, auch als Macuser: Finde das Microsoft bei Vista securitytechnisch einiges gemacht hat, siehe User-Account-Control z.B.
Würde mir wünsche, dass Apple auch was in dieser Richtung macht.
0
Martin Springer10.04.0714:46
kay_96052<br>
Martin Springer
Warum? Was funktioniert genau nicht mehr?


Es funktioniert ja noch alles, aber... eine Datenfestplatte hat sich von mir verabschiedet. Ich habe natürlich ein Backup davon, habe die verschlüsselt und irgendwie hat es was mit dem Passwort zerhauen. In einem anderen Forum hat dann jemand ein Skript erstellt, mit dem man das Passwort knacken kann. Hat ja auch ganz gut funktioniert, aber als ich den Prozess des Skriptes sofort beendet habe, weil mir vor kam das es abgestürzt ist, war der Prozessor noch immer auf volldampf. In der Aktivitätsanzeige gab es aber keinen Prozess der dazu passen könnte. Nach abmelden und wieder anmelden ging es wieder.

Ich musste aber kein Passwort irgendwo eingeben...


0
DonQ
DonQ10.04.0715:13
gab es einen zombie prozess zb. ?

so "Tools" dauern manchmal sehr lange und nehmen sich was da ist an leistung.
„an apple a day, keeps the rats away…“
0
Rantanplan
Rantanplan10.04.0715:17
dburkel<br>
http://de.wikipedia.org/wiki/Mac_OS_X

Was ich ehrlich zugeben muss, auch als Macuser: Finde das Microsoft bei Vista securitytechnisch einiges gemacht hat, siehe User-Account-Control z.B.
Würde mir wünsche, dass Apple auch was in dieser Richtung macht.

LOL, alles nur bitte das nicht Ich empfehle dir die Lektüre der letzten oder vorletzten c't über Vista und sein "Sicherheitskonzept". Die c't ist ja nun nicht gerade MS-kritisch, aber an dem "neuen" Sicherheitskonzept haben die kein gutes Haar gelassen.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
DonQ
DonQ10.04.0715:22
hab dazu nur einen eintrag vom oktober letzten jahres gefunden, da wurde einfach der der schreibzugriff für treiber nur nach reg. bei Microsiff zugelassen, bzw. abgestellt als quick'n'dirty patch.

Microsoft scheint auch hier mal wieder mehr damit beschäftigt zu sein, einträge zu bannen und seine aktvierungs und bezahl überprüfung aufrecht zu erhalten als sonst was.

„an apple a day, keeps the rats away…“
0
Martin Springer10.04.0715:28
Nein eben nicht. Es gab keinen Prozess der über 10% Leistung ging. Aaaaaaber!!!! Ein Prozess Namens "xyungelöst" (Beispielname) hatte eine Leistungsaufname von 80%. Dies konnte ich aber nur dann beobachten, bei dem die Passwortknackerein nicht abgebrochen wurde (durch sofort beenden) Aber nachdem das Skript abgestürzt schien, beendete ich es, unten im Dock "sofort". Danach war der xyungelöst Prozess immernoch da, aber mit 0% Prozessorauslastung. Der Prozessor lief aber immernoch auf Maximum! Den xy.. Prozess dann manuell zu beenden, wollte nicht klappten da er sich selbst immer wieder kurzzeitig beendete und startete. Die merkte ich als ich auf den Prozess drauf klickte und 1 Sekunde später die Markierung wieder weg war. Der Prozess also wieder erneut ausgewählt werden musste. Dies passierte immer und immer wieder, so das es mir nicht mal möglich war ihn mit einem Speed-Tastenkombinationspump zu beenden. Aber dieser Prozess, oder ein anderer, hatte KEINE Prozessauslastungen die dem zugeordnet werden konnten.

So: ist das nun nur ein Bug im OSX irgendwo oder fragwürdig...
0
DonQ
DonQ10.04.0715:34
du kannst keine prozesse beenden, zumindestens nicht so einfach, unter der gui und niedrigeren rechten, von daher…

was nun ein bug oder ein feature ist, muss man manchmal schon selber schauen und entscheiden.
„an apple a day, keeps the rats away…“
0
buchi
buchi10.04.0715:45
Martin Springer<br>
Nein eben nicht. Es gab keinen Prozess der über 10% Leistung ging. Aaaaaaber!!!! Ein Prozess Namens "xyungelöst" (Beispielname) hatte eine Leistungsaufname von 80%. Dies konnte ich aber nur dann beobachten, bei dem die Passwortknackerein nicht abgebrochen wurde (durch sofort beenden) Aber nachdem das Skript abgestürzt schien, beendete ich es, unten im Dock "sofort". Danach war der xyungelöst Prozess immernoch da, aber mit 0% Prozessorauslastung. Der Prozessor lief aber immernoch auf Maximum! Den xy.. Prozess dann manuell zu beenden, wollte nicht klappten da er sich selbst immer wieder kurzzeitig beendete und startete. Die merkte ich als ich auf den Prozess drauf klickte und 1 Sekunde später die Markierung wieder weg war. Der Prozess also wieder erneut ausgewählt werden musste. Dies passierte immer und immer wieder, so das es mir nicht mal möglich war ihn mit einem Speed-Tastenkombinationspump zu beenden. Aber dieser Prozess, oder ein anderer, hatte KEINE Prozessauslastungen die dem zugeordnet werden konnten.

So: ist das nun nur ein Bug im OSX irgendwo oder fragwürdig...

Lade dir die eine Rootkiddetection Software z.B.: http://www.macupdate.com/info.php/id/24011
0
Martin Springer10.04.0715:52
Die Software ist aber kein Wurm oder?


Naja wir installieren es mal...
0
DonQ
DonQ10.04.0716:11
hier zeigt er nicht an, auch auf den backups, allerdings wundert mich das install datum etwas, 16.Ferbuar…obwohl ich es gerade installiert hatte

„an apple a day, keeps the rats away…“
0
dburkel10.04.0716:39
Naja bin jetzt immernoch nicht schlauer: Darf ein OS X-Admin genauso viel wie nen XP-Admin, also alles oder darf er definitiv weniger, weils teils das Kennwort verlangt wird?

Apple schreibt selbst:
"Im Gegensatz zu einem Windows Administrator-Account deaktiviert der Mac OS X Administrator-Account den Zugriff auf die Kernfunktionen des Betriebssystems. Viele Benutzer haben die Erfahrung gemacht, dass sich Windows basierte PCs nur mit dem Administrator-Account wirklich verwenden lassen. Dadurch wird der Computer allerdings potenziellen Angriffen ausgesetzt. Mit der Mac OS X Standardkonfiguration besteht hingegen bestmöglicher Schutz gegen Hacker, die die Kontrolle über Ihr System übernehmen wollen.
"
0
DonQ
DonQ10.04.0716:48
win ist root standardmässig aktiviert
osx nicht

feineinstellungen gibt es da aber auch genug.
„an apple a day, keeps the rats away…“
0
dburkel10.04.0716:51
Root ist was anderes als der Admin.
0
DonQ
DonQ10.04.0716:53
bei win nicht
„an apple a day, keeps the rats away…“
0
Martin Springer10.04.0718:32
Ist nicht der jenige ein Admin dem der Rechner auch gehört? Also standartmäßig? Denn im Benutzeraccount steht bei mir "Administrator" Passwörter muss ich dann ja aber trotzdem ab und zu eingeben, wenn bestimmte Systemeinstellungen geändert werden.
0
pünktchen
pünktchen10.04.0718:45
standardmäßig ist der erste nutzer, den du bei der installation einrichtest, administrator. es handelt sich dabei um einen normalen nutzer, der mitglied er admin-gruppe ist und dadurch über gewisse sonderrechte verfügt:

erstens darf er z.b. auch in den verzeichnissen /programme und /library rumpfuschen.

und zweitens kann er einzelnen prozessen vorübergehend root-rechte zuweisen. dazu musst du jeweils dein passswort eingeben. im terminal läuft das mit dem befehl 'sudo', deshalb nennt man die hierzu berechtigten auch 'sudoer'. du bist aber eben nicht root und darfst nicht jederzeit allen unfug anstellen.

0
dburkel11.04.0711:12
@pünktchen: OK das beantwortet meine Frage. Der Mac OS X Admin entspricht in etwa einen Windows Vista Admin mit Benutzersteuerung.
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.