fremde Zugriffe auf eigenen Rechner beobachten?

sir.hacks.alot schrieb:
Das Problem bei Apple Rechnern ist, wenn jemand unbeobachtet an den Rechner kommt er sich ohne größere Probleme einen zusätzlichen Adminaccount anlegen kann.
Zum Vergrößern anklicken....

Das mag sein, aber wenn der Admin-Account dauerhaft eingerichtet wird, sollte man den doch sehen können (oder kann man den gegenüber anderen Admins verstecken?).
Wenn man natürlich die halbe Nacht hat, kann man sich als Admin einloggen, die syslogs fälschen und alles wieder löschen...
Natürlich ist Verschlüsseln die beste Alternative. Deshalb benutze ich Truecrypt und warte sehnsüchtig auf PGP-Whole-Disk-Encryption...
Bin auch paranoid :cool:

Gruß,
dag
 
dagget schrieb:
Das mag sein, aber wenn der Admin-Account dauerhaft eingerichtet wird, sollte man den doch sehen können (oder kann man den gegenüber anderen Admins verstecken?).
Wenn man natürlich die halbe Nacht hat, kann man sich als Admin einloggen, die syslogs fälschen und alles wieder löschen...
Natürlich ist Verschlüsseln die beste Alternative. Deshalb benutze ich Truecrypt und warte sehnsüchtig auf PGP-Whole-Disk-Encryption...
Bin auch paranoid :cool:

Gruß,
dag
Zum Vergrößern anklicken....

Löschen des Admin accounts geht mit 3 Terminalbefehlen Dafür muss man nach dem Runterfahren noch einmal kurz in den Single User Mode. Wenn mans häufiger braucht legt man an versteckter Stelle im System halt Scripte ab, die die Befehlssequenzen automatisieren.

Von wegen die halbe Nacht, Anlegen und Löschen des Users dauern bestimmt nur einen Bruchteil der Zeit die man benötigt um Daten zu sichten, oder was man sonst noch so als Angreifer vorhat.

Edit:

Es ist natürlich auch möglich Benutzer zu verstecken wenn man weiss wie. Um das rauszufinden muss man auch nur 5 Minuten googeln. Und schwups ist die dauerhafte Hintertür in den Apple eingerichtet, die der normale User und wahrscheinlich auch einige Admins garnicht suchen würden.
 
Zuletzt bearbeitet:
sir.hacks.alot schrieb:
Es ist natürlich auch möglich Benutzer zu verstecken wenn man weiss wie. Um das rauszufinden muss man auch nur 5 Minuten googeln. Und schwups ist die dauerhafte Hintertür in den Apple eingerichtet, die der normale User und wahrscheinlich auch einige Admins garnicht suchen würden.
Zum Vergrößern anklicken....

Und genau das war mir neu...

Gruß,
dag
 
sir.hacks.alot schrieb:
Es lässt sich dann natürlich immer noch rausfinden daß dieser User existiert, er taucht jedoch weder im Login Window, noch in Systemeinstellungen->Benutzer auf.
Zum Vergrößern anklicken....

OK, da finde ich "root" und "daemon" aber auch nicht, wg. UID=0 bzw. 1. Trotzdem sind die Konten da (und ich finde sie...).

Gruß,
dag
 
janch75 schrieb:
Ich arbeite im Büro mit einem neuen imac und ich habe das Gefühl dass sich in meiner Abwesenheit jemand Zugriff verschafft.
Zum Vergrößern anklicken....

Netzwerkadminstrator der Firma benachrichtigen, ggf. den Vorgesetzen. Ansonsten gehört der imac sicherlich der Firma und dementsprechend dürfe andere berechtigte Kollegen diesen auch benutzen (admin z.b. Sicherheitsupdates, etc).

AleX
 
below schrieb:
Doch. Aber wenn ich das machen würde, dann würde ich natürlich auch das Syslog frisieren.

Alex
Zum Vergrößern anklicken....

Da hättest Du schon bißchen mehr Arbeit, weil das nicht die einzige Stelle wäre. Vor allem solltest Du von einer anderen Platte starten ;)
 
MacMark schrieb:
Da hättest Du schon bißchen mehr Arbeit, weil das nicht die einzige Stelle wäre. Vor allem solltest Du von einer anderen Platte starten ;)
Zum Vergrößern anklicken....
Das ist natürlich richtig gemein, vom eigenen System auf USB oder Firewire Platte starten. Dann kann man ja mit der eingebauten Platte so einiges anstellen ohne daß es jemand merkt. Vor allem weil man das Booten von Externen Medien an Apple Rechnern nicht unterbinden kann.
 
sir.hacks.alot schrieb:
Es lässt sich dann natürlich immer noch rausfinden daß dieser User existiert, er taucht jedoch weder im Login Window, noch in Systemeinstellungen->Benutzer auf.
Zum Vergrößern anklicken....

dscl . -list /Users UniqueID
dscl . -list /Users NFSHomeDirectory
listet alle Benutzer und ihre IDs und ihr Home, "versteckt" oder nicht.

Zum "Verstecken" erst mal das Verhalten dazu Einschalten (keine Anzeige, wenn Id<500):
sudo defaults write /Library/Preferences/com.apple.loginwindow Hide500Users -bool YES

User-Id auf unter 500 wechseln:
sudo dscl . change /Users/joeuser UniqueID 503 499

Home verschieben, damit es nicht sofort auffällt:
sudo dscl . change /Users/joeuser NFSHomeDirectory /Users/joeuser /var/joeuser

Ein bißchen verräterisch ist dann noch das "Other…" im Anmeldefenster.
 
Zuletzt bearbeitet:
Dann hoffen wir mal, dass der Kollege von janch75 nicht auch in diesem Forum liest, sonst hat der jetzt jede Menge Tipps an der Hand ;)
Es gilt ja die allgemeine Regel: Sobald jemand, der sich auskennt erstmal physischen Zugang zum Gerät hat, hilft nicht mehr viel.

Gruß,
dag
 
dagget schrieb:
Es gilt ja die allgemeine Regel: Sobald jemand, der sich auskennt erstmal physischen Zugang zum Gerät hat, hilft nicht mehr viel.
Zum Vergrößern anklicken....



Denn auch das Firmware Passwort lässt sich durch ausbauen der Festplatte umgehen. Natürlich ist das aufwendig(er), das Risiko sollte aber jedem klar sein.

Alex
 
Zuletzt bearbeitet von einem Moderator:
Zurück
Oben Unten