Sinn des Standard-Nutzers

[anhe]

Hallo @Forum,

bin ja noch relativ neu im Umgang mit OS X und habe eine Frage die ich mir bisher nicht zufriedenstellend beantworten kann.

Warum ist es sinnvoll, den Benutzer mit dem man "arbeitet" als "Standard" zu konfigurieren ?

Die Threads, die ich durch die SuFu gefunden haben, waren nicht so aufschlussreich. Da wurde meist im Nebensatz erwähnt: "... arbeite mal lieber nicht als Admin ...". Aber es wird leider nicht erklärt wieso.

Als Admin bin ich ja auch nicht Superuser. Ich muss ja bei Eingaben im Terminal.app bei Bedarf ja auch ein sudo vorwegschreiben. Der "Standarduser" steht ja auch bewust nicht in der sudoers Datei. Bei allen anderen Einstellungen werde ich ja auch als Admin nach meinem Kennwort gefragt. Beim Standarduser fragt er halt nach dem Namen eines Admins und dessen Kennwort. Sicher "erbt" ein Schädling die Rechte des Nutzers der ihn ausführt, aber ich weis ja (im Groben) was ich so mache und werde nicht von einer Kennwort-Abfrage "überrascht".

Das sind die Aspekte die mich an der Notwendigkeit zweifeln lassen. Wie gesagt, es ist ja nicht wie bei Linux/Unix wo ich als "root" angemeldet bin. Vielleicht könnt ihr mir ja ein paar wirkliche Argument nennen, die für ein arbeiten als "Standard" sprechen.

gruss und Euch allen ein schönes WE

André

Edit: OK, bei nochmaligen Lesen noch eine Anmerkung: Natürlich will ich den Standarduser nicht in Frage stellen. Kindersicherung usw. Nur das trifft bei mir ja nicht zu

 

[maceis]

U.a. weil der Admin Benutzer erweiterte Rechte im Dateisystem hat. Damit ist es z.B. möglich, dass "böse" Programme Dinge im System löschen, die Du noch brauchst, oder ein gutes Programm durch ein böses Programm ersetzen (das dann natürlich genau so heißt und aussieht wie das Original), ohne dass Du es merkst.

 

[anhe]

Hallo maceis,

wie ist das gemeint mit erweiterten Rechten im Dateisystem ? Zum Beispiel /usr/bin oder /bin hat 755, owner ist bei beiden root. Wenn ich als Adminuser angemeldet bin, bin ich ja (noch) nicht su. Um ein Programm wie dd oder ls o.ä. auszutauschen müsste ich ja erstmal ein sudo vorweghängen. Oder war das anders gemeint ?

gruss

André

 

[maceis]

Einfaches Besipiel:
Ein Adminbenutzer hat Schreibrecht im Verzeichnis /Applications (also Programme).
Damit kann ein Programm, das vom Adminbenutzer gestartetewird (z.B eine Freeware aus dem internet) Dein Safari löschen und durch ein Safari ersetzen, das nebenbei unbemerkt Deine Eingaben beim Onlinebanking abfängt und an den Entwickler sendet anstatt an Deine Bank.

 

[magheinz]

ie ist das gemeint mit erweiterten Rechten im Dateisystem ? Zum Beispiel /usr/bin oder /bin hat 755, owner ist bei beiden root.
André

Such doch einfach mal nach Verzeichnissen in denen admin mehr rechte hat als eine Standarduser.

 

[anhe]

Einfaches Besipiel:
Ein Adminbenutzer hat Schreibrecht im Verzeichnis /Applications (also Programme).

OK, da erhält der User über die Gruppenrechte Schreibzugriff. Ich kannte es bisher nur das ein weiter User (eben nicht root) zur Gruppe der Users gehörte. Ich habe bisher (unter Linux) mit sudoers gearbeitet. Bei Mac OS X scheint ja jeder User auch gleich eine eigene Gruppe zu bekommen ?! Also danke für die Auskunft jetzt kann ichs nachvollziehen ... Ich merke aber, dass ich mich noch ein wenig ( ) mit Benutzern und Gruppenzugehörigkeit auseinandersetzen muss ...

gruss

André

 

[magheinz]

Bei Mac OS X scheint ja jeder User auch gleich eine eigene Gruppe zu bekommen ?!

Bei Debian z.B. ist das auch die Standardkonfiguration. Jeder user ist in seiner eigenen Gruppe.

 

[maceis]

...
Bei Mac OS X scheint ja jeder User auch gleich eine eigene Gruppe zu bekommen ?!
...

Das ist abhängig von der Systemversion.
Unter 10.5 ist es wieder so, wie es z.B. unter 10.2 noch war, dass jeder "normale" Benutzer Mitglied der Gruppe 'staff' ist. Das Konzept "jeder Benutzer ist auch eine Gruppe mit einem Mitglied" ist nach meiner Ansicht auch nicht wirklich sinnvoll bzw. hat sich zumindest mir nie ein Sinn dahinter erschlossen.

 

[magheinz]

Das ist abhängig von der Systemversion.
Unter 10.5 ist es wieder so, wie es z.B. unter 10.2 noch war, dass jeder "normale" Benutzer Mitglied der Gruppe 'staff' ist. Das Konzept "jeder Benutzer ist auch eine Gruppe mit einem Mitglied" ist nach meiner Ansicht auch nicht wirklich sinnvoll bzw. hat sich zumindest mir nie ein Sinn dahinter erschlossen.

Wenn ein User eine Datei erzeugt, dann bekommt sie als user seinen und als gruppe seine primäre gruppe zugewiesen. Wenn alle user der Gruppe "users" angehören, dann haben alle Dateien standardmässig die gruppe "users" Wenn jetzt der user "theo" eine datei in /tmp anlegt, dann kann sie jeder user lesen. Das will man einfach nicht, deswegen bekommt jeder User standardmässig seine eigene Gruppe. Neue Dateien gehören dann theo:theo und nicht theo:users.

[edit]
http://www.debian.org/doc/manuals/securing-debian-howto/ch12.de.html Punkt 12.1.13

 

[anhe]

Bei Debian z.B. ist das auch die Standardkonfiguration. Jeder user ist in seiner eigenen Gruppe.

Das wusste ich nicht. Ich arbeite mit SuSE-Linux und habe vor einiger Zeit mal einen Ausflug zu gentoo unternommen. Bei Beiden gehörte ein neuer Benutzer zu users.

Wenn ein User eine Datei erzeugt, dann bekommt sie als user seinen und als gruppe seine primäre gruppe zugewiesen. Wenn alle user der Gruppe "users" angehören, dann haben alle Dateien standardmässig die gruppe "users" Wenn jetzt der user "theo" eine datei in /tmp anlegt, dann kann sie jeder user lesen. Das will man einfach nicht, deswegen bekommt jeder User standardmässig seine eigene Gruppe. Neue Dateien gehören dann theo:theo und nicht theo:users.

Da macht es Sinn. Aber wenn ich das richtig verstanden habe, dann ist das so ja auch nicht vorgesehen bzw. aus dem Finder o.ä. erreiche ich /tmp garnicht (nur von Konsole). Es gibt ja den Ordner "Public" (incl. Drop Box) die zum Austausch mit anderen dienen soll. Btw. ich habe eben mal ein "touch /tmp/test" gemacht. Die Datei hat die Gruppenzugehörigkeit "wheel" ?

Wenn ich ein "groups" durchführe erhalte ich aber nur mein eigene Gruppe ?

Danke Euch

André

 

[Abalone]

wie stelle ich denn ein, das ich ein Standard User bin und kein Admin ??

 

[anhe]

Hallo Abalone,

bei "Der Benutzer darf den Computer verwalten" das Häkchen entfernen.

Achtung: Bevor Du Deinem Nutzer die Admin-Rechte entziehst, solltest Du Dir sicher sein mindestens einen weiteren Benutzer zu haben, der über Admin-Rechte verfügt.

gruss

André

 

[BlueCougar]

einen neuen User anlegen und da nicht das häkchen bei "Der Benutzer darf diesen Computer verwalten" setzen.

 

[Roschtatoschta]

Die Lösung von ahne ist afaik die praktikabelere da dein Standarduser dein jetziger ist und du dir somit keine Gedanken über deine Daten und Einstellungen machen musst.

Tschüss,

Carsten

 

[maceis]

Wenn ein User eine Datei erzeugt, dann bekommt sie als user seinen und als gruppe seine primäre gruppe zugewiesen. Wenn alle user der Gruppe "users" angehören, dann haben alle Dateien standardmässig die gruppe "users" Wenn jetzt der user "theo" eine datei in /tmp anlegt, dann kann sie jeder user lesen. Das will man einfach nicht, deswegen bekommt jeder User standardmässig seine eigene Gruppe.
...

Das kann man doch so pauschal gar nicht sagen.

Zum Einen ist es so, dass man in vielen Umgebungen das eben schon will, z.B. in Unternehmensnetzwerken, Hochschulen, innerhalb der Familie etc.
Da bereitet es sogar sehr oft Schwierigkeiten, wenn andere Benutzer eben keine Möglichkeit des Zugriffs auf Dateien haben, die zwar "sichtbar" sind, wo aber die erforderlich Berechtigungen fehlen.

Zum Zweiten ist es so, dass man den Zugriff auf "private" Daten primär dadurch einschränkt, dass man sie ein einem Pfad ablegt, auf den "Ausßenstehende" schon mal gar keinen Zugriff haben, nämlich üblicherweise im Homeordner in einem nicht öffentlich zugänglich Bereich.

Zum Dritten spielt da noch die umask mit hinein. Die sorgt einerseits dafür, dass "other" in der Standardeinstellung die selben Rechte bekommen, die dem Gruppeneintrag zugewiesen werden (womit Deine Argumentation zumindest fragwürdig wird), andererseits kann man damit die Standardberechtigungen für neu angelegte Dateien den eigenen Anforderungen anpassen.

Von ACLs möchte ich gar nicht erst anfangen.

Lange Rede, kurzer Sinn: Um den Zugriff durch andere Benutzer als den Eigentümer einer Datei einzuschränken gibt es bereits ausreichend flexible Konzepte, die ohne eine Ein-Personen-Gruppe (was für ein Schwachsinn) auskommen. Nicht zuletzt deswegen ist Apple ja auch wieder zu dem alten Konzept zurückgekehrt.

 

[magheinz]

Das kann man doch so pauschal gar nicht sagen.

Zum Einen ist es so, dass man in vielen Umgebungen das eben schon will, z.B. in Unternehmensnetzwerken, Hochschulen, innerhalb der Familie etc.
Da bereitet es sogar sehr oft Schwierigkeiten, wenn andere Benutzer eben keine Möglichkeit des Zugriffs auf Dateien haben, die zwar "sichtbar" sind, wo aber die erforderlich Berechtigungen fehlen.

Grade in großen Umgebungen möchte man nicht das JEDER user die selben Gruppenrechte hat. Da legt man dann projektweis egruppen an o.ä.

Zum Zweiten ist es so, dass man den Zugriff auf "private" Daten primär dadurch einschränkt, dass man sie ein einem Pfad ablegt, auf den "Ausßenstehende" schon mal gar keinen Zugriff haben, nämlich üblicherweise im Homeordner in einem nicht öffentlich zugänglich Bereich.

/tmp war ein Beispiel. nimm halt einen Prjektordner. Die leute aus Projekt a wollen eventuell nicht das die Leut aus Projekt b ihre Daten lesen können.
Bei den meissten unixen sind die homeverzeichnisse Standardmässig 755, also für alle lesbar.

Zum Dritten spielt da noch die umask mit hinein. Die sorgt einerseits dafür, dass "other" in der Standardeinstellung die selben Rechte bekommen, die dem Gruppeneintrag zugewiesen werden (womit Deine Argumentation zumindest fragwürdig wird), andererseits kann man damit die Standardberechtigungen für neu angelegte Dateien den eigenen Anforderungen anpassen.

umask regelt die Rechte die eine Datei bekommt wen sie erzeugt wird. Nicht nur die für "others", du kannst da auch die fürv owner und group regeln.
Allerdings immer nur partitionsweise, nicht Verzeichnisweise. Das ist oft nicht fein granuliert genug.

Von ACLs möchte ich gar nicht erst anfangen.

neumodischer krimskram

Lange Rede, kurzer Sinn: Um den Zugriff durch andere Benutzer als den Eigentümer einer Datei einzuschränken gibt es bereits ausreichend flexible Konzepte, die ohne eine Ein-Personen-Gruppe (was für ein Schwachsinn) auskommen. Nicht zuletzt deswegen ist Apple ja auch wieder zu dem alten Konzept zurückgekehrt.

es ist in großen umgebungen eben nicht flexibel genug.

 

[maceis]

...
Grade in großen Umgebungen möchte man nicht das JEDER user die selben Gruppenrechte hat. Da legt man dann projektweis egruppen an o.ä.
...

Ja, sicher. Aber noch viel weniger möchte man, dass jeder Benutzer eine eigene Gruppe ist. Und dass die Standardeinstellng nicht auf große, komplexe Umgebungen eingestellt sein kann, ist auch klar

...
Das ist oft nicht fein granuliert genug.
...

...
neumodischer krimskram
...

...
es ist in großen umgebungen eben nicht flexibel genug.

Das ist aber jetzt etwas widersprüchlich.
Der "neumodische" Kram wurde ja entwickelt, um flexibler zu werden und feiner abstufen zu können.
Die klassischen Unix Rechte erlauben im Grunde auch fast alles, erfordern aber, dass sich die Ordnerstruktur fast ausschließlich an der Struktur der erforderlichen Zugriffsrechte orientiert. Das ist aber oft unerwünscht.

 

[Lynhirr]

Achtung: Bevor Du Deinem Nutzer die Admin-Rechte entziehst, solltest Du Dir sicher sein mindestens einen weiteren Benutzer zu haben, der über Admin-Rechte verfügt.

Ich habe das in 5 Jahren OS X noch nie probiert. Kann man dem einzigen Benutzer das Adminrecht entziehen ohne Warnmeldung? Das wäre ja dumm!