Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Apple>Warum man andere User nicht mit Admin-Rechten arbeiten lassen sollte...

Warum man andere User nicht mit Admin-Rechten arbeiten lassen sollte...

Marcel_7501.10.0316:30
Die meißten werden es wissen, einige eventuell aber noch nicht - und genau für diese OSX-User ist dieser wichtige Hinweis gedacht:

Als User mit Admin-Rechten kann man das root-Passwort jederzeit ändern, und zwar mit Hilfe des Terminals!

- Terminal starten (Applications/Utilities)
- sudo /bin/tcsh [Dein User-Passwort eingeben]
- passwd root [beliebiges neues Passwort für den root eingeben]

Daran seht ihr sehr deutlich, dass es recht leichtsinnig ist, Usern Admin-Rechte zuzugestehen...

Auch ich arbeite 'nur' als User ohne Admin-Rechte, dies bietet maximale Sicherheit für das System!
Updates, Programminstallationen etc. mache ich bei Bedarf als User mit Admin-Rechten.
So kann man meiner Meinung nach viele Probleme gekonnt umschiffen...
0

Kommentare

Pseudemys
Pseudemys01.10.0317:02
Vielen Dank für diesen Hinweis!
(Bisher widerspricht auch keiner…)

Solche wichtigen Hinweise von allgmeinem Interesse liest man immer gerne!

<b>Ermunterung an die Experten, auch ohne konkreten Beitrags-Anlaß – wie hier - ihre Wissenstruhe für uns noch Unerfahrenen zu öffnen!</b>

Und im Zweifelsfalle besser nicht grübeln: „Soll ich…? Weiß womöglich schon jeder!“
0
ChrisK
ChrisK01.10.0317:11
Das ist ein guter Tip!
Wer das Passwort für den root-User besizt hat die <b>uneingeschrängte macht über den kompletten Computer</b>!
„Wer anderen eine Bratwurst brät, hat ein Bratwurstbratgerät.“
0
Marcel_7501.10.0317:13
Ergänzung: theoretisch reicht auch 'sudo passwd root', dann muss man sich nur als Admin mit seinem Kennwort identifizieren und danach kann man das neue root-Passwort eingeben...

Auch ich wäre für ähnliche wertvolle Hinweise ohne konkreten Anlass dankbar!

Das mactechnews-Forum ist wirklich toll, nur geht man manchmal nicht genug in die UNIX-Tiefen, welches ja einige Möglichkeiten aber eben auch Gefahren bietet...

Besonders meine gestern losgetretene Diskussion zum NetInfoManager und dem Zusammenhang der Gruppen- und User-IDs zeigt, dass viele von uns noch Bedarf an solchen Informationen haben bzw. hätten.

Siehe dazu auch:
0
oliver
oliver01.10.0317:15
sagen wir mal so: man sollte einen vernünftigen kompromiss zwischen maximaler systemsicherheit und komfort für sich selbst finden.

der tip mag für einen normaluser sehr gut sein, wenn man aber wie ich täglich programme instaliert und deinstalliert, tief im system herumfrickelt, usw. usf. würde mich ein user ohne admin-rechte den letzten nerv kosten.

aber sicher sehr gut für leute, die gern mal an ihrem system herumspielen und sonst alles verschlimmbessern würden
„multiple exclamation marks are a sure sign of a diseased mind. -- terry pratchett“
0
Marcel_7501.10.0317:23
@oliver:

und für Leute, die mit ihrem System arbeiten und Geld verdienen wollen...
0
Marcel_7501.10.0317:27
@Oliver Kurlvink:

heißt das, dass es normalerweise nicht funzen sollte (z.B. bei anderen UNIX-Systemen eventuell üblich?) - bei MacOS X aber so einfach ist?

Mir war ja eh schon immer etwas schleierhaft, wie sich die Zugriffsrechte immer wieder verändern können, so dass man sie von Zeit zu Zeit reparieren muss, aber dass das eventuell sogar die Privilegien des Admins beeinflussen kann so dass er vorübergehende root-Rechte bekommen kann?

Fakt ist, dass es so wie von mir beschrieben bei jedem OS X klappt, auch bei frisch installierten Systemen...
Also eine Art 'Sicherheitslücke'?

Mir würde es auch eher einleuchten, dass nur der root selbst sein Passwort ändern darf - aber wie man sieht bzw. selbst ausprobieren kann, ist dem leider nicht so...
0
Marcel_7501.10.0317:37
noch eine Ergänzung:
mit ’sudo passwd root’ darf tatsächlich JEDER! User mit ADMIN-RECHTEN das Passwort des root ändern, egal ob er die UID 501, 502 oder 503 hat...

Also ich wusste das ansich schon lange und genau aus diesem Grund habe ich auch immer allen Freunden empfohlen, nur als normaler User zu arbeiten - bin mal gespannt, was andere UNIX-Kracks dazu sagen?

Ist das bei Linux, NetBSD/FreeBSD, HP-UX, AIX, Solaris etc. auch so?

Und ändert sich daran eventuell etwas mit 10.3 Panther?
0
Pseudemys
Pseudemys01.10.0317:59
Marcel_75
[quote]…Das mactechnews-Forum ist wirklich toll, nur geht man manchmal nicht genug in die UNIX-Tiefen, welches ja einige Möglichkeiten aber eben auch Gefahren bietet...

Ich denke, für die Zurückhaltung muß man Verständnis haben.
Um über das Terminal in die Tiefen des UNIX-Systems vorzudringen, bedarf es schon doch für viele (schließe mich da ein) wohl erstmal der Überwindung einer gewissen Scheu. Ist ja auch heikel, aber natürlich auch spannend, da Erforscherdrang weckend…
Und in diesem Forum kann man ja u.a. auch lernen, diese Scheu abzulegen.


0
Pseudemys
Pseudemys01.10.0318:02
Pardon, kleiner Zitierfehler meinerseits:
Ab „Ich denke…“ ist von mir, und sollte daher nicht kursiv gesetzt sein.
0
Pseudemys
Pseudemys01.10.0318:19
<i>An die UNIX-Experten:</i>
Ihr könnt uns doch sicher gute Literatur zum Thema empfehlen.
Wahrscheinlich ist auch das Internet Eure Wissensquelle, dann
bitte auch die Links für Lernwillige nennen.
(Empfehlungen bitte für Einsteiger & Fortgeschrittene sortieren.)

Besten Dank!

0
Pseudemys
Pseudemys01.10.0318:41
Jetzt ist mir doch hier ein kleines Malheur passiert.
Ich „schließe“ jetzt mal mein noch offen gebliebenes Zitat, damit die Beiträge nicht weiter eingerückt werden.
Hoffe, das klappt, ansonsten muß unsere Administrator „NoName“ helfen.

Bitte Nachsicht für einen Novizen hier!
[/quote]

0
Pseudemys
Pseudemys01.10.0318:43
Pseudemys
"NoName - hilf!

0
Pseudemys
Pseudemys01.10.0318:52
Hat doch noch geklappt - alles wieder eingeränkt!

0
Agrajag01.10.0319:40
Marcel_75
Ergänzung: theoretisch reicht auch ’sudo passwd root’, dann muss man sich nur als Admin mit seinem Kennwort identifizieren und danach kann man das neue root-Passwort eingeben...
Ich kann mich ja irren, aber das klappt nur, wenn der root noch nicht aktiviert war. Ist er schon aktiviert, wird auch noch das root-Passwort abgefragt.

Ich kann es derzeit nicht ausprobieren, aber ich glaube es ist so.

Gruß
Mike

PS: Ich glaube die sudo-Berechtigten User stehen in /etc/sudoers
0
Marcel_7501.10.0320:23
@agrajag: Ich kann mich ja irren, aber das klappt nur, wenn der root noch nicht aktiviert war. Ist er schon aktiviert, wird auch noch das root-Passwort abgefragt.

Nein, leider eben nicht bzw. ja, Du irrst Dich (glaube ich)...
Es funktioniert auch so wie von mir oben beschrieben, wenn der root schon aktiviert war (also per NetInfoManager ein Passwort zugewiesen wurde)...
0
Pseudemys
Pseudemys02.10.0300:50
Meine Bitte um obige Buchempfehlungen habe ich auch gerade in einem Neu-Beitrag verallgemeinert zur Diskussion gestellt. Und zwar hier:
0
oliver kurlvink
oliver kurlvink01.10.0317:12
sudo erfragt aber in der regel das root-passwort. man kann also keine shell als root aufmachen ohne das root-passwort zu wissen. und dann ist man root und kann logischerweise auch das root-passwort ändern.
<br>
<br>sollte sudo befehle ohne passwortrückfrage ausführen, so ist die sudo-konfiguration entsprechend verstellt worden.
<br>
<br>sollte sudo grundsätzlich erlauben, dass admins root-befehle ausführen können (wie im ersten posting dargelegt), so sollte ebenfalls in der sudo-config nachgeschaut werden, was dadrin steht. evt. ist eingetragen, dass alle user der gruppe admin automatisch auch das recht haben, befehle als root unter eingabe des eigenen (nicht des root-pws) zu starten.
<br>
<br>grundsätzlich sollte man natürlich NIE normalen usern in einer multiuserumgebung admin-rechte geben. die heißen ja nicht umsonst admin-rechte und die unterteilung vom system in
<br>
<br>- root
<br>- admin
<br>- user
<br>
<br>ist schon ausgesprochen sinnig, um gewollten oder ungewollten schaden vom system abzuwenden.
<br>
<br>grundsätzlich gilt: wer als admin oder root arbeitet oder andere user einrichtet sollte wissen was er macht. ansonsten handelt er fahrlässig und muss damit leben, sich täglich in den eigenen fuß zu schießen.
0
oliver kurlvink
oliver kurlvink01.10.0319:58
Marcel_75<br>
heißt das, dass es normalerweise nicht funzen sollte (z.B. bei anderen UNIX-Systemen eventuell üblich?) - bei MacOS X aber so einfach ist?
<br>
<br>
<br>ich kann mich nicht daran erinnern, jemals unter freebsd das problem gehabt zu haben. da musst du aber auch sudo nachinstallieren, wogegen es bei mac os x aus unerfindlichen gründen dabei ist. normalerweise mach ich im terminal immer ein "su - NAME" um mich wirklich als der user anzumelden. dabei muss ich dann aber immer das passwort des users angegeben, zu dem ich mich suen will.
<br>
<br>wie das mit sudo ausschaut werde ich heute abend mal ausprobieren.
<br>
<br>bevor ich den rechner wegen umzug in seinen karton stopfe
<br>
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.