Mac sicherer als PC?

Und wieder kommt ihr vom Thema ab...

Versucht ihm seine Frage zu beantworten. Wenn ihr das nicht könnt (ob kompliziert oder einfach), versucht wenigstens den Threadersteller nicht weiter zu verwirren...

Der Mac ist, aufgrund seines Marktanteil, eben basierend darauf relativ sicher. Er ist aber grundsätzlich nicht sicherer wie ein Windows, unter den Vorgaben, dass unter Windows mal nicht alles installiert wird. Ich kenne Windows-Systeme, die seit Jahren safe sind und sich täglich aktiv Stunden im Internet befinden.

Beim Mac hast du den entscheidenden Vorteil, dass in der Regel ein Benutzereingriff notwendig ist, um eventuelle (und derzeitige) Schadsoftware auf dem System zu etablieren. Aber auch dann ist eine weitere Verbreitung relativ gering, weil dann wieder der Marktanteil greift.

Anders schaut es in dem Moment aus, wenn Dein System ein Windows-Schädling beherbergt und unter Umständen weiter verbreitet. Der Schädling an sich hat bei Deinem System keine Chance, solange Du Dich auf das Mac OS X begrenzt.

Anders gesagt, wenn Du Dich etwas in Acht nimmst, passiert Dir auf dem Mac nicht viel...

So einfach ist das liebe Leute, so einfach kann man das beantworten...
 
  • Gefällt mir
Reaktionen: Ryuu
Ich gebe dir recht. Kann ein Mod bitte die letzten 4 oder 5 Seiten in einen eigenen Thread ausgliedern? Dann kann es da weiter gehen und der TO wird nicht noch mehr verwirrt... Schließlich besteht jetzt schon fast die Hälfte des Threads aus Halbwahrheiten und kontextfremden Aussagen..
 
  • Gefällt mir
Reaktionen: SirSalomon
Ich kann an sich SirSalomon nur beipflichten. Jeder ist selbst dafür verantwortlich, wie sicher sein System ist. man kann auch dafür sorgen, das der Mac seine Türen weit offen hat. Windows kann auch mit zusätzlichen Tools Sehr sicher sein. Wenn man dann nicht unbedingt jeden Email Anhang öffnet, von Absendern die man nicht kennt. Kann man eigentlich nicht viel falsch machen.
 
asg schrieb:
… Aber, per default ist der login als root via ssh möglich. …
Zum Vergrößern anklicken....

Bei OS X ist SSH per Default aus. Aktiviert man es, dann ist ein root-login dennoch nicht möglich. Das müßte extra konfiguriert werden.
 
MacMark schrieb:
Bei OS X ist SSH per Default aus. Aktiviert man es, dann ist ein root-login dennoch nicht möglich. Das müßte extra konfiguriert werden.
Zum Vergrößern anklicken....

Das kommt darauf an, ob der Root-Account generell aktiviert wurde oder nicht. Ist der Root-login auf dem System eingeschaltet, funktioniert er auch per SSH.

Vergleiche: /etc/sshd_config
$ cat /etc/sshd_config | grep Root
#PermitRootLogin yes

Der Wert ist auskommentiert und damit gilt der Default-Wert.

und

$man sshd_config
Code: 
PermitRootLogin
             Specifies whether root can log in using ssh(1).  The argument
             must be ``yes'', ``without-password'', ``forced-commands-only'',
             or ``no''.  The default is ``yes''.

Nachtrag: Es reicht aus, Admin-User zu sein (was jeder Benutzer ist, der bei der Installation eingerichtet worden ist) um vollen Zugriff auf das System zu erhalten. Die Benutzer stehen in der Admingruppe, welche zu den Sudo'ern gehören. Es genügt das Passwort des Benutzers. Das nenne ich wirklich "sicher" ;)
 
Zuletzt bearbeitet:
_ebm_ schrieb:
Das kommt darauf an, ob der Root-Account generell aktiviert wurde oder nicht. Ist der Root-login auf dem System eingeschaltet, funktioniert er auch per SSH.

Vergleiche: /etc/sshd_config
$ cat /etc/sshd_config | grep Root
#PermitRootLogin yes

Der Wert ist auskommentiert und damit gilt der Default-Wert.
Zum Vergrößern anklicken....

Nein. Es genügt nicht, den Root-Account zum Login auf OS X freizuschalten. Dann kommt man nicht per SSH als root rein, selbst wenn SSH läuft.

#PermitRootLogin yes
bedeutet, daß Root-Login nicht erlaubt ist. Probier es aus.

Leopard verwendet die sshd_config außerdem nicht mehr allein, sondern berücksichtigt auch die Liste, die man im Sharing einstellen kann.

Edit: Unter Leopard genügt es, "enable root user" in den Directory Services zu machen und SSH einzuschalten, um sich als root per SSH anmelden zu können. Bei Tiger war das (nach "enbable root user" in NetInfo) immer noch nicht möglich, weil das "#PermitRootLogin yes" in sshd_config auskommentiert war.
Unter Leopard steht in der sshd_config erstmal nicht viel, denn hauptsächlich wird die Userliste unter Sharing verwendet, in der per Default "allow all users" aktiv ist.

Edit 2: Das gilt wohl nur für Leopard 10.5.0. Bei 10.5.2 komme ich mit "enabled root user" und "allow all users" nicht als root rein per ssh.

Edit 3: Dort liegt es wohl an meinem "AllowUsers macmark" in der sshd_config, wodurch root ausgeschlossen ist.
 
Zuletzt bearbeitet:
MacMark schrieb:
Nein. Es genügt nicht, den Root-Account zum Login auf OS X freizuschalten. Dann kommt man nicht per SSH als root rein, selbst wenn SSH läuft.

#PermitRootLogin yes
bedeutet, daß Root-Login nicht erlaubt ist. Probier es aus.

Leopard verwendet die sshd_config außerdem nicht mehr allein, sondern berücksichtigt auch die Liste, die man im Sharing einstellen kann.
Zum Vergrößern anklicken....

Habs eben ausprobiert. Ich habe im Verzeichnisdienst den Root-Account aktiviert und konnte mich dann erfolgreich per SSH anmelden! Soviel dazu...

Code: 
XXXX:~ carsten$ ssh root@aaa.bbb.ccc.ddd
The authenticity of host 'aaa.bbb.ccc.ddd (aaa.bbb.ccc.ddd)' can't be established.
RSA key fingerprint is xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'aaa.bbb.ccc.ddd' (RSA) to the list of known hosts.
Password:
XXXX:~ root# ls
.CFUserTextEncoding	.localized 		.viminfo
.bash_history		.macports		
.forward		.mc			Library
.lesshst		.sh_history
XXXX:~ root#

Edit, wenn du nochmal den Ausschnitt aus der Manpage liest, siehst du, dass "yes" "erlauben" bedeutet...

Ja, die Benutzer stehen im lokalen Verzeichnisdienst. Da SSH per PAM dort auch angebunden ist, reicht es aus, den Root-User zu aktivieren, um sich per SSH direkt als Root anzumelden. Aber: wie ich eben schon schrieb, braucht man das garnicht! Auch mit deaktiviertem Root-Benutzer erhält man mit dem Passwort eines Benutzers aus der Admin-Gruppe (die ja jeder Benutzer ist, der bei der Installation eingerichtet wurde) vollen Systemzugriff. Da braucht man keine Sicherheitslöcher und entsprechende Exploits, um in das System einzudringen.. *beifall klatsch*
 
Zuletzt bearbeitet:
_ebm_ schrieb:
Habs eben ausprobiert. Ich habe im Verzeichnisdienst den Root-Account aktiviert und konnte mich dann erfolgreich per SSH anmelden! Soviel dazu...
Zum Vergrößern anklicken....

Das liegt daran, daß unter Leopard die sshd_config komplett wirkungslos ist per default, es sei denn man schreibt etwas rein oder entfernt die Kommentare.
Du kommst rein, weil unter Sharing-Remote Login "enable all users" steht.

Probier das unter Tiger, was nur die sshd_config allein verwendet, dann siehst Du, daß "#PermitRootLogin yes" "nein" bedeutet.

Unsichere Paßworte für die User, die sudo nutzen dürfen, ist per se ein Risiko, aber ein generelles.

Edit: Benutzer der Admin-Gruppe unter Vista benötigen nicht einmal ein Paßwort, um Systemdateien zu ändern: Es genügen Klicks auf OK und Fortfahren.
 
Zuletzt bearbeitet:
MacMark schrieb:
Du kommst rein, weil unter Sharing-Remote Login "enable all users" steht.
Zum Vergrößern anklicken....

was die Standardeinstellung ist! Wehe dem unbedarften Benutzer...

Mich hätte übrigens gefreut, wenn du ein mal auf eines meiner Argumente eingegangen wärst, das auch MacOS als nicht sicher bezeichnet.
 
@MacMark & _Eebm_

Merkt ihr noch was? Bei welchem Thema seid ihr?
 
SirSalomon schrieb:
@MacMark & _Eebm_

Merkt ihr noch was? Bei welchem Thema seid ihr?
Zum Vergrößern anklicken....

Ich zitierte einen Sicherheitsaspekt von MacOS X Leopard (sudo)


Edit:

ich forder nochmals einen Moderator auf, den Teil mit zu tiefen technischen Details in einen anderen Thread auszulagern!
 
SirSalomon schrieb:
Beim Mac hast du den entscheidenden Vorteil, dass in der Regel ein Benutzereingriff notwendig ist, um eventuelle (und derzeitige) Schadsoftware auf dem System zu etablieren.
Zum Vergrößern anklicken....

@ SirSalomon: Danke, etwa so eine Antwort habe ich mir erhofft.

Ich möchte mich nochmal vergewissern, ob ich das richtig verstanden habe. Wenn ich nichts übersehen habe, war bisher niemand der Meinung, dass die obige Aussage von SirSalomon flasch sei.

Damit also ein Schadprogramm auf einem Mac Wirkung zeigen kann, ist ein Benutzereingriff nötig. Darunter stelle ich mir vor, ein PW einzugeben, um Änderungen am System durchzuführen, wie ich es von Linux kenne. Bei Windows braucht dieses Programm dieses PW/die Rechte nicht, kann also ohne Erlaubnis installiert werden.
Hab ich das richtig verstanden?
 
Ryuu schrieb:
Damit also ein Schadprogramm auf einem Mac Wirkung zeigen kann, ist ein Benutzereingriff nötig. Darunter stelle ich mir vor, ein PW einzugeben, um Änderungen am System durchzuführen, wie ich es von Linux kenne. Bei Windows braucht dieses Programm dieses PW/die Rechte nicht, kann also ohne Erlaubnis installiert werden.
Hab ich das richtig verstanden?
Zum Vergrößern anklicken....

Im Großen und Ganzen ist das richtig (abgesehen von den Veränderungen bei Windows Vista, die das ganze erschweren)
 
Ryuu schrieb:
Damit also ein Schadprogramm auf einem Mac Wirkung zeigen kann, ist ein Benutzereingriff nötig. Darunter stelle ich mir vor, ein PW einzugeben, um Änderungen am System durchzuführen, wie ich es von Linux kenne. Bei Windows braucht dieses Programm dieses PW/die Rechte nicht, kann also ohne Erlaubnis installiert werden.
Hab ich das richtig verstanden?
Zum Vergrößern anklicken....
Du hast das schon richtig verstanden.

Der einzige Haken an der Sache mit den Kennwort ist die relativ dürftige Hinweisführung beim Mac. Da solche Abfragen in der Regel recht häufig vorkommen, wenn man das Sicherheitskonzept durchgängig einhält, wird es recht anstrengend und der Benutzer wird fahrlässig, mit der Zeit sogar "betriebsblind".

Aber eben diese Betriebslindheit ist genau das, was dem Schädling wieder zu gut kommt. Der Mac entbindet den Benutzer nicht vorsichtig zu sein, bzw. Aufmerksam zu arbeiten.
 
Ryuu schrieb:
Was erschweren die Veränderungen?
Zum Vergrößern anklicken....

Die Änderungen in der Benutzerverwaltung (UAC User Access Control) erschweren es, Systemrechte zu erlangen. (Ja Mark, sie machen es nicht unmöglich.. aber das brachte uns ja schon ein japanischer Autohersteller bei). Benutzer erhalten beim Erzeugen keine Administrativen Rechte mehr und will ein Benutzer Software installieren oder Veränderungen am System tätigen, wird er nach dem Passwort des Systemadministrators gefragt.

(Hier liegt der Unterschied zu MacOS, da wird man nach dem eigenen Passwort gefragt)
 
  • Gefällt mir
Reaktionen: Ryuu
Ryuu schrieb:
Was meinst du mit dürftiger Hinweisführung?
Zum Vergrößern anklicken....
Ich meinte die Hinweise, die Dich zur Eingaben vom Kennwort auffordern. Sie sind in der Regel dürftig und nur auf einen besonderen Klick werden weitere Hinweise aufgeführt.

In wie weit diese dann von dem "gemeinen Benutzer" verstanden werden, steht auf einem anderen Blatt.
 
_ebm_ schrieb:
was die Standardeinstellung ist! Wehe dem unbedarften Benutzer...

.
Zum Vergrößern anklicken....


Könnte mir bitte jemand erklären was das für mich als unbedarften Benutzer bedeutet??
Muss/Kann ich die Einstellung ändern um mein MacBook sicherer zu machen?

MfG
Andy
 
defleppard1979 schrieb:
Könnte mir bitte jemand erklären was das für mich als unbedarften Benutzer bedeutet??
Muss/Kann ich die Einstellung ändern um mein MacBook sicherer zu machen?
Zum Vergrößern anklicken....

Sofern du nicht von extern per Remote-Anmeldung auf dein eigenes MacBook zugreifen willst, solltest du den Dienst (SSH) erst gar nicht aktivieren. Standardmässig ist er abgeschaltet.

Wenn er aktiv ist, können sich standardmässig alle auf deinem MacBook angelegten Benutzer anmelden - sofern das nur du bist, und dein Kennwort ausreichend stark ist, wäre auch das noch nicht so kritisch.

Das ist meiner Meinung nach nur dann relevant, wenn ein User sich SSH freischaltet und den Root-User aktiviert hat, aber das macht ein normaler Benutzer meiner Meinung nach eh nicht. Und alle anderen sollten wissen, was sie tun.

Prinzipiell gilt, alles was in den Systemeinstellungen unter Sharing freigeschaltet werden kann, sollte nur aktiviert werden, wenn man sich darüber klar ist was man tut und welche eventuellen Lücken sich dort auftun.
 
  • Gefällt mir
Reaktionen: MacMark
_ebm_ schrieb:
... will ein [Vista-] Benutzer Software installieren oder Veränderungen am System tätigen, wird er nach dem Passwort des Systemadministrators gefragt.
Zum Vergrößern anklicken....

Bei Vista ist der "Systemadministrator" ungleich der Gruppe der Admins. Nach dem Paßwort dieses ADMINISTRATORs (er wird tatsächlich so mit Großbuchstaben geschrieben), wird man nicht gefragt für Systemänderungen. Ist bei Vista alles etwas obskur: Es gibt den ADMINISTRATOR, den TrustedInstaller, LOCALSYSTEM, Adminstratoren, etc. ...

Ein Vista-User, der in der Gruppe der Admins ist (das ist man im Normalfall), wird nach keinem Paßwort gefragt, um Systemdateien zu ändern. Selbst Dateien, die dem TrustedInstaller gehören, kann man ändern und dafür sind für Admins nur OK- und Fortfahren-Klicks nötig, kein Paßwort.
Ein Admin-User unter OS X muß sich für so etwas per Paßwort authentifizieren.

Unter OS X wie auch unter Vista muß ein Normaluser sich als Admin per Paßwort ausweisen, um Systemdateien zu ändern.

Der zwangsweise nötige Installer unter hohen Rechten ist unnötiges Risiko unter Vista. Bei OS X kann ein Normaluser Programme für sich privat installieren, ohne unnötig hohe Rechte. Details dazu hier:
http://macmark.de/osx_security.php#installer
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

BEASTIEPENDENT
Neue Mac-Malware tarnt sich als beliebte Programme
2 3 4
Antworten
70
Aufrufe
2.440
maba_de
maba_de
SteveHH
IMAP Mail Konto sichern auf Mac
Antworten
8
Aufrufe
156
lulesi
lulesi
M
Wie sicher ist ein gebrauchter Mac ?
3 4 5
Antworten
88
Aufrufe
4.210
PiaggioX8
PiaggioX8
Kaykay
iPad 2 verbindet sich nicht mit PC Server
Antworten
0
Aufrufe
158
Kaykay
Kaykay
cruiserbass
i-Mac 2014 - noch sicher für Onlinebanking ?
2 3 4
Antworten
71
Aufrufe
2.969
pk2061
P
Zurück
Oben Unten