Weil der erste Trojaner da ist, eine kleine Umfrage:

erm... ich bin der einzige benutzer meines powerbooks - wenn ich nicht als admin arbeiten wollen würde, bräuchte ich einen zweiten (inaktiven) benutzer... irgendwie ist das nicht im sinne des erfinders..

...doch, eigentlich schon

tfelder
das ist schon im Sinne des Erfinders/Kerns (UNIX)
was macht es schon einen zweiten (inaktiven !) admin anzulegen:-/
Ich mach immer die Installation (falls erforderlich) zu ende, lege dann einen zweiten admin account an und melde den Hauptbenutzer/Besitzer des Rechners als Standard (== darf den Rechner nicht verwalten) an - das wars:-P
Als admin anmelden muss man sich sowieso nur bei wenigen Programmen (CCC z.B.) selbst Office(sick) kann man durch pures Identifizieren installieren.

Admin != root. Also Panikmache ist überhaupt nicht angebracht, falls jemand als Admin arbeitet. So viel mehr Rechte besitzt der Admin auch nicht.

Admin = Root?
Als Root muss ich doch erst die entsprechenden Rechte freischalten (NetInfo Manager)
Oder täusche ich mich?

1. root (superuser) darf alles
2. admin darf nicht alles was der root darf
3. user darf nur in seinem Verzeichnis alles

Peter_:
!= != =

Rantanplan

Der Admin (Hauptbenutzer) darf aber auch zB in das Programme Verzeichnis schreiben!

ok, ok. Übersehen.
hab die Schrift jetzt größer eingestellt!

Ich gestehe:
Arbeite auch als Hauptbenutzer = Admin != Root

Werde das sofort umstellen

JustDoIt
Du arbeites als Admin(!)
Nicht als Root(!) Letzterer ist inaktiv. Es gibt Unterschiede.;-)

Bodo
Genau, es gibt Unterschiede:
!= != =

PS
Das wird heute mein Lieblingsspruch:-D

Und wer weiss es jetzt genau? Dachte auch, dass man root speziell aktivieren muss (gehe mal in Terminal rein)
Scheint etwas verwirrend...

root muss man im netinfo manager zuerst explizit aktivieren, ansonsten ist er standartmässig deaktiviert. früher wars mal so, dass jeder admin user in den ersten 5 minuten nach dem booten root rechte hatte - ob das immer noch so ist müsste ich erstmal ausprobieren

mauko
Root muss man speziell aktivieren. Entweder über das Terminal oder über den Netinfomanager. Und nur Root darf wirklich ALLES.;-)

Hier auf diesem Rechner arbeite ich als normaler User, surfe allerdings nur.
Auf meinem anderen Mac, der nicht im Internet ist, mache ich als Admin alles andere

wir haben auf unseren macs nur jeweils einen admin user der alles einrichten darf und mehrer einzelne normale, aber nicht personen bezogene user für verschiedene funktionen optimiert ... schnittplatz, internet/mail/bürokram, dvd produktion, fotografie ...

Die Umfrage bestätigt nur was ich auf anderen Macs und PCs sehe. Sachlich spricht alles für einen extra Admin Account. Aber wer hat schon gerne Götter äh Administratoren neben oder gar über sich?

Computer werden eben für Menschen gemacht. Und Menschen sind nunmal so. Ein Aspekt der von den Copmputerherstellern leider viel zu wenig beachtet wird. Eigentlich ist es doch so: Ein jahrelanger, millionenfacher, weltweiter Feldversuch hat ergeben, dass die Lösung mit einem extra Verwaltungsaccount vom Kunden nicht angenommen wird @@ eine andere Lösung muß her!

och ...
ich weiß gar nicht.

Wenn ich was installiere muss ich immer mein Passwort eingeben.
Bin ich dann kein Admin wenn ich das muss?

rocka

auch als admin musst du ein Passwort eingeben beim installieren. Wenn du es nicht weißt bist du wohl ein admin...

Jessas, was ein Operator für Verwirrung stiften kann Gemeint ist natürlich "Admin ist nicht root"

JustDoIt

Das ist richtig, sehe ich aber nicht als Problem. Es gibt genügend andere bösen Dinge, die man auch ohne Admin-Rechte tun kann.

Und bei mir ist das sowieso mehr oder weniger wurst, weil ich die Mehrzahl der Programme in einem Ordner in meinem Benutzerverzeichnis habe und nicht in /Applications

..ihr bringt mich alle völlig durcheinander, was muss man denn jetzt machen?

Ich bin als Admin eingtragen und habe natürlich auch die meisten Programm nur für mich (da ja kein anderer Benutzer angelegt ist) installiert.

Wenn ich nun, wegen des bösen Wurms (oder was auch immer das sein soll), einen weiteren Account anlege wird dieser automatisch als "normaler" User angelegt.
OK, so weit so gut, nur alle Daten die ich bis jetzt angelegt habe, liegen ja bekanntlich in dem Benutzerordner des Admin Accounts.

Muss ich, wenn ich den normalen Account benützen will, die Dateien alle in den "öffentlichen" Ordner schieben um sie lesen und bearbeiten zu können?

morannon

thx, probier ich gleich mal aus.

morannon

Und jetzt verrätst du mir noch, was er dann gewonnen hat?

Arbeite als einziger an meinen Macs und habe mir noch nie einen zweiten Account eingerichtet. Bin also Admin.
Wenn ich diesen Thread lese, scheint es, dass dies problematisch sein (oder werden?) kann.
Wehalb?
Habe mich noch nie damit befasst.

hier gibt es eine software die einen vor böser software schützt: ganz kostenlos und ohne risiko
bin auch admin auf meinen rechnern... ich klick aber auch nicht wild auf alles was mir unter die maus kommt

Als Admin kann man per sudo kurzzeitig Admin-Rechte bekommen, deshalb ist er so gefährlich!!!

heise hat mittlerweile etwas detailiertere Infos zum Wurm/Virus/Trojaner:

Ups, sorry, es sollte natürlich heißen:

Als Admin kann man per sudo kurzzeitig root-Rechte erhalten!

Übrigens: rantaplan hat dahingehend nicht unrecht mit seiner Frage "wem nützt es", dass der komplette Home-Ordner des angemeldeten Benutzers natürlich trotzdem "in Gefahr ist", aber das liegt in der Natur der Sache.

Theoretisch darf ein "böses" Programm alles, was man als jeweiliger Benutzer auch dürfte - also eben z.B. auch "den Dokumente-Ordner des angemeldeten Benutzer in den Papierkorb verschieben und diesen dann sicher löschen".

Regelmäßige Backups sind also ein MUSS in der heutigen Zeit...

Als einfacher Workaround für alle, die sich als Admin nicht (mehr) so wohl fühlen:

Einfach einen neuen Nutzer erstellen,
diesem Admin-Rechte geben,
sich abmelden,
als der neue Admin anmelden,
dem alten Admin-Konto (also dem Nutzer-Konto) die Admin-Rechte entziehen,
sich als Admin ausloggen,
als normaler User wieder einloggen und unbeschwert arbeiten.

Ist ne Sache von 3 min und nachher funzt alles wie vorher, nur dass man eben nicht mehr im Apps-Folder rumschustern kann. Falls man im Terminal doch mal sudo braucht, kann man sich ja via "login"-Befehl als admin anmelden.

Keine Ahnung, ob das sicherheitstechnisch notwendig ist - schaden tut's kaum. Per schnellem Nutzerwechsel kann man auch spontan mal ne Installation vornehmen. Grundsätzlich kann es IMO aber nicht schaden, dass Arbeiten AM System vom Arbeiten MIT dem System etwas zu trennen.

Marcel_75@work
Na wenn das alles ist, dann ist es völlig ungefährlich sudo tut ohne Eingabe deines Passwortes garnix und danach kannst du sudo 5 Minuten ohne Passwort verwenden, danach geht das Spiel wieder von vorne los. Ein Schadprogramm kann durch sudo keine root-Rechte erlangen, außer du gibst sie ihm in vollem Bewußtsein.

morannon

Zum Alias: wenn das Schadprogramm z.B. einfach ein rm -rf . absetzt, dann bist du sicher, denn das folgt Aliasen nicht (kennt sie überhaupt nicht).

LaRate
[quote]Als einfacher Workaround für alle, die sich als Admin nicht (mehr) so wohl fühlen:

Einfach einen neuen Nutzer erstellen,
diesem Admin-Rechte geben,
/quote]

wie meinst du das?
wie gebe ich einem neuen Nutzer admin Rechte?

Hui ... hier raucht einem ja der Kopf!
Root ... Admin ... Standart ... Sudo ... Trojaner ... User ... Terminal ... Gefahr ... Mord ... Totschlag ... Spionage ... Aliens ... Weltuntergang ... schwarzes Loch ...
Böse Welt.

Hier ist ja Panik ausgebrochen ...

=-O:-D

LaRate
[quote

Einfach einen neuen Nutzer erstellen,
diesem Admin-Rechte geben,
[/quote]

wie meinst du das?
wie gebe ich einem neuen Nutzer admin Rechte?

achso, und der jetzige Admin kriegt das Häkchen weg!?
Bleiben dann alle Startupitems usw. erhalten?

Der NetInfo-Eintrag regelt nur, ob man sich als root anmelden/einloggen kann.

Root wird auch "System" genannt. Schaut mal in den Activity Monitor: Dort könnt Ihr sehen, was alles unter root/System ist.

Mehr dazu unter osx.realmacmark.de/osx_security.php

oh, cool habs ausprobiert, geht ja wirklich einfach!
Danke!:-)

Ich bin über das Zwischenergebnis dieser Umfrage doch etwas erstaunt. Ausser zum Installieren von Software braucht man das Administrator-Konto doch gar nicht. Weshalb also sich unnötiger Gefahr aussetzen und sich für die gewöhnliche Arbeit als Administrator anmelden? Ich kann das nicht wirklich nachvollziehen.

burdensart: "Muss ich, wenn ich den normalen Account benützen will, die Dateien alle in den "öffentlichen" Ordner schieben um sie lesen und bearbeiten zu können?"

Nein, lege einfach einen zweiten Nutzer an, dem Du Administrator-Rechte gibst. Anschliessend meldest Du Dich unter diesem neuen Nutzer an und vergibst Deinem vormaligen Administrator-Konto nur noch die Standard-Rechte. Et voilà!

Rantanplan: "Und jetzt verrätst du mir noch, was er dann gewonnen hat?"

Er hat Freude daran, als Standard-Benutzer in geringerem Umfang den Gefahren ausgesetzt zu sein, die in der bösen Computerwelt auf ihn lauern.

Ausserdem ist das die wohl schnellste Methode, die eigenen Daten auf ein Standard-Konto zu übertragen.

Freude herrscht!

Frage an alle, die sich damit auskennen:

Ich habe meine gesamten persönlichen Dateien auf eine zweite Festplatte ausgelagert. Um schnell auf diese Dateien Zugriff zu haben, habe ich eine Aliasdatei erstellt, die im Dokumente-Ordner in meinem Heim-Verzeichnis liegt.
Wenn jetzt ein schädliches Programm meinen Home-Ordner löscht, sind dann meine ausgelagerten Dateien auch davon betroffen? Oder anders gefragt: Kann ein Schadprogramm über die Alias-Datei an meine ausgelagerten Dateien gelangen?

In den Systemeinstellungen gehst Du aufs Feld "Benutzer" und dort auf den Reiter "Sicherheit". Irgendwo sollte ein Feld sein mit der Beschriftung "Der Benutzer darf diesen Computer verwalten". Dort ein Häkchen setzen. Fertig.