avalon
Aktives Mitglied
- Dabei seit
- 19.12.2003
- Beiträge
- 28.699
- Reaktionspunkte
- 4.913
elastico schrieb:
Vor allem bleibt dir dann die Microsoft intern genannte "DLL Hölle" erspart..
Vor allem bleibt dir dann die Microsoft intern genannte "DLL Hölle" erspart..
sanamiguel
Aktives Mitglied
- Dabei seit
- 15.08.2002
- Beiträge
- 1.565
- Reaktionspunkte
- 0
Aber es ist doch richtig, daß man als Admin angemeldet sein muß, um im Terminal mit sudo arbeiten zu können, oder?._ut schrieb:
Michael
A
abgemeldeter Benutzer
Auch und gerade dann macht es keinen Unterschied, ob als Admin oder normaler Benutzer gearbeitet wirdcilly schrieb:
Entweder der Benutzer kennt das Passwort und er wird es benutzen, egal, ob er Admin oder normaler Benutzer ist oder er besitzt besonders viel Selbstdisziplin und er wird es nicht eingeben, egal. ob er Admin oder normaler Benutzer ist. Sicherheitsmäßig kommt das genau aufs gleiche raus. In beiden Fällen hängt es nur an der Selbstdisziplin des Benutzers.
Admin oder normaler Benutzer macht nur einen Unterschied, wenn ein anderer Benutzer (will sagen ein anderer Mensch) an dem Rechner arbeiten soll, aber nichts verstellen dürfen soll. Sobald der aber das Admin-Kennwort kennt, kann er auch gleich als Admin arbeiten.
@ sanamiguel
Das ist richtig. Aber auch hier, es ist nur ein Schritt mehr (su admin -> Passwort, dann sudo -> Passwort), wenn das Admin-Passwort bekannt ist. Nur wenn das Passwort nicht bekannt ist, funktioniert diese Sperre.
Zuletzt bearbeitet von einem Moderator:
A
abgemeldeter Benutzer
Es gibt hier im Forum auch Beispiele von Leuten, denen es geschadet hat.cubd schrieb:
![[TB]Lucky](/data/avatars/m/10/10722.jpg?1435574836){kind=avatar}
[TB]Lucky
Aktives Mitglied
- Dabei seit
- 17.11.2003
- Beiträge
- 778
- Reaktionspunkte
- 0
Ich habe mal eine blöde Frage, ich arbeite mit dem Account den Mac OS X bei der Installation anlegt, das ist ja ein Admin. Aber er hat ja nur Root rechte wenn ich sudo benutze, richtig?
Weil, wenn ja dann würde ich den Account ruhig weiterverwenden. Installieren könnten sich Sicherheitsrelavante Programme ja nur wenn man sudo benutzt...
- björn
Weil, wenn ja dann würde ich den Account ruhig weiterverwenden. Installieren könnten sich Sicherheitsrelavante Programme ja nur wenn man sudo benutzt...
- björn
C
cilly
Nun, ein normaler Benutzer, der sich nicht als Admin authorisiert, kann z.B. den /Library Ordner nicht löschen, oder einfach irgendwelche Programme in den Papierkorb verschieben. Er müsste sich authentisieren!._ut schrieb:Auch und gerade dann macht es keinen Unterschied, ob als Admin oder normaler Benutzer gearbeitet wird
._ut, wird nun ein Admin nach dem Passwort gefragt, wenn er obige Aktionen ausführt?
Es macht eben immer ein Unterschied ob man als normaler Benutzer arbeitet (d.h. sich nicht als Admin authorisiert) oder als Admin. Dieser Unterschied resultiert logischer Weise aus den Rechten.
Wenn ein normaler Benutzer während seines Logins sich einmal als Admin authorisiert, dann und erst dann macht es keinen Unterschied zum Admin-Account. Grund: Der Authentication Server merkt sich die Authentifizierung als Admin und der normale Benutzer hat dann plötzlich Admin-Rechte. Das ist in OS X leider etwas lax in
Code:
/etc/authorization
Zuletzt bearbeitet von einem Moderator:
P
pique
Hallo Peterli,
zu deinem Titel des Fres möchte ich gern folgendes sagen:
Unter OS 7,8,9 hätte ich das vorbehaltlos unterschrieben.
Unter OS X sehe ich das dann eher wie Jeff Raskin,
der sagt, das Mac OS habe sich mit OS X stark dem Windows genähert
und zeige eine gewisse Inkonsequenz und eine leichte
Verwässerung des Original Konzepts.
Trotzallem ist OS X aufgrund der stark an OS 9 aufgebauten GUI
immer noch übersichtlicher als zb. ein Win XP und auch ein Linux.
Verfügt man allerdings schon über einige Erfahrung im Umgang mit
Computern, ist dieser Unterschied dann doch nicht so sehr gewaltig.
Ein Neueinsteiger der Computer Welt wird allerdings immernoch schneller
auf einem Mac Betriebssystem in der Lage sein, erste vorzeigbare
Erfolge zu verbuchen.
zu deinem Titel des Fres möchte ich gern folgendes sagen:
Unter OS 7,8,9 hätte ich das vorbehaltlos unterschrieben.
Unter OS X sehe ich das dann eher wie Jeff Raskin,
der sagt, das Mac OS habe sich mit OS X stark dem Windows genähert
und zeige eine gewisse Inkonsequenz und eine leichte
Verwässerung des Original Konzepts.
Trotzallem ist OS X aufgrund der stark an OS 9 aufgebauten GUI
immer noch übersichtlicher als zb. ein Win XP und auch ein Linux.
Verfügt man allerdings schon über einige Erfahrung im Umgang mit
Computern, ist dieser Unterschied dann doch nicht so sehr gewaltig.
Ein Neueinsteiger der Computer Welt wird allerdings immernoch schneller
auf einem Mac Betriebssystem in der Lage sein, erste vorzeigbare
Erfolge zu verbuchen.
A
abgemeldeter Benutzer
Auch ein Admin wird nach dem Passwort gefragt, wenn er /Library oder /Programme in den Papierkorb bewegen will.cilly schrieb:
Bei einzelnen Programmen ist das natürlich was anderes, die hat er ja auch selber da rein gelegt.
C
cilly
Das ist nur zum Teil richtig:._ut schrieb:
Hat der Admin sich bereits einmal als Admin authorisiert, wird er unter Umständen nicht mehr gefragt, d.h. die sudo Rechte bleiben für eine gewisse Zeit erhalten und können auch plötzlich für andere Programme, die der Admin benutzt; aktiv werden! Dies kann man alles in /etc/authorisation einstellen.
._ut, worauf ich Anspiele: Wer installiert denn nicht mal kurz was und gibt geschwind das Admin-Kennwort ein, surft dabei gleichzeitg als Admin im Internet, etc. ? Die Gefahr wird einfach unterschätzt!
Es macht eben doch einen Unterschied ob man als Admin oder normaler Benutzer arbeitet. (Wenn man sich als normaler Benutzer aber als Admin authorisiert, dann macht es "fast" keinen Unterschied mehr.)
Ich arbeite als normaler Benutzer ohne Admin-Rechte und wenn ich mit diesem Benutzer eingeloggt bin, authorisiere ich mich nie als Admin, obwohl ich das könnte, weil ich den Admin-Account kenne. Benötige ich Admin-Rechte benutze ich Fast-User-Switching oder logge mich aus und melde mich mit dem Admin-Account an. Sobald ich die Admin-Rechte nicht mehr benötige, logge ich mich aus dem Admin-Account aus.
Leider gibt es immer noch viele, die den Admin-Account missverstehen und diesen für den alltäglichen Gebrauch verwenden. Das dabei entstehende Sicherheitsrisiko ist derzeit bei OS X nicht so groß. Wenn aber einmal die ersten Trojaner etc. geschrieben sind, kann durch den Missbrauch eines Admin-Accounts großen Schaden entstehen. Versierte und erfahrene Benutzer können mit diesem Sicherheitsrisiko zwar umgehen und es auch begrenzen, es aber nicht gänzlich ausschließen.
Meine Empfehlung daher auch für alle neuen Mac OS X User:
1. Der erste eingerichtete Account hat immer Admin-Rechte, diesen Account sollte man nur dann benutzen, wenn man etwas installieren möchte, oder die Admin-Rechte braucht.
2. Richte einen 2. Benutzer ohne Admin-Rechte ein und benutze diesen Account für den alltäglichen Gebrauch. Wenn du Admin-Rechte brauchst, dann logge dich aus oder benutze Fast-User-Switching und logge dich in deinen Admin-Account ein. Benötigst du den Admin-Account nicht mehr, dann melde dich sofort wieder ab. Authorisiere dich jedoch nie als Admin, nicht einmal für eine klitze-kleine Kontrollfeld-Einstellung, denn dann sind die Vorteile des normalen Benutzer-Accounts weitgehendst dahin.
orgonaut
Aktives Mitglied
- Dabei seit
- 09.08.2004
- Beiträge
- 10.256
- Reaktionspunkte
- 771
Ähm, und wie soll ich dann den Benutzer-Account an meine Bedürfnisse anpassen? da beisst sich doch die Katze irgendwie in den Schwanz!cilly schrieb:
C
cilly
Wieso denn? Das geht doch auch ohne Admin-Rechte! Das ist ja das tolle an Mac OS X, dass man auch ohne Admin-Rechte alle Programme ausführen kann und arbeiten kann. Bei Windows funktioniert das ja nicht einwandfrei.orgonaut schrieb:
Nur für die Systemweiten Einstellungen, z.B. Energiesparen, Netzwerk, Datum... braucht man Admin-Rechte, das sind aber keine Benutzereinstellungen sondern Systemeinstellungen. An dieser Stelle finde ich übrigens OSX nicht gelungen, man müsste die Kontrollfelder besser trennen nach Benutzer- und Systemeinstellungen.
orgonaut
Aktives Mitglied
- Dabei seit
- 09.08.2004
- Beiträge
- 10.256
- Reaktionspunkte
- 771
cilly schrieb:
Wenn ich Dich richtig verstehe, dann wirken sich systemweite Einstellungen auf alle Accounts gleich aus? Welche sind denn eigentlich Systemweit (sind das alle Einstellungen unter 'Systemeinstellungen') und welche nicht?
A
abgemeldeter Benutzer
In der GUI, wo die Autorisation über das Security-Framework gemacht wird, ist das nicht der Fall. Die Autorisation gilt dort nur für genau eine Aktion.cilly schrieb:
Dass sudo eine Zeit lang aktiv bleibt, ist normal, hat aber nichts damit zu tun.
Eben, ganz meine Rede. Wenn das Admin-Passwort nicht bekannt ist, keine Gefahr. Wenn das Passwort bekannt ist, kein Unterschied.
Du gehst hier von falschen Voraussetztungen aus. Das Verhalten des Security-Frameworks unterscheidet sich erheblich von dem sudos.
Sudo orientiert sich nur an Benutzer- und Gruppenrechten, bei sudo bleibt die Autorisation für 5 Min bestehen und gilt für die unterschiedlichsten Aktionen, die nach der Autorisation ausgeführt werden.
Bei der Konzeption des Sercurity-Frameworks hat Apple allerdings den menschlichen Faktor so weit mit berücksichtigt. Jede Autorisation gibt es nur für genau eine Aktion. (Das gilt natürlich auch für Schlösschen öffnen bzw. schließen, in genau einem Programm.) Das geht das sogar so weit, dass bestimmte Aktionen Autorisation erfordern, obwohl sie von den Gruppenrechten des Admins her eigentlich erlaubt sein müssten (z.B. im Finder /Library in den Papierkorb, Installtion nach /Programme mit dem Installer etc.). Apple hat den Admin-Account so weit geschlossen, dass mit ihm gefahrlos (d.h. nicht gefährlicher, als mit einem normalen Account) gearbeitet werden kann.
Der Mac-OS-X-Admin-Account *ist* für den alltäglichen Gebrauch gedacht.
Nicht umsonst ist auch bei einfachen Installationen der einzige Account ein Admin-Account. Außerdem gibt es keine Technote von Apple, die eine Empfehlung wie Deine enthält. Wäre der Admin-Account so viel unsicherer, wie Du es beschreibst, würde bei der Installation automatisch ein zusätzlicher einfacher Arbeitsaccount angelegt und per default aktiviert werden oder es gäbe zum mindesten einen Hinweis.
Außerdem, auch mit dem Fast-User-Switchong macht es keinen Unterschied. Ist ein eventueller Trojaner einmal über diesem Account installiert, wird er mit root-Rechten laufen (oder als Trojaner nicht funktionieren). Ganz egal, mit welchen Rechten Du als Person arbeitest. Die Rechte eines Programmes, dass unter einem Admin-Account gestartet wurden, unterscheiden sich nicht von denen, die ein Programm hat, dass unter einem normalen Benutzer gestartet wurde. Um ein Programm mit root-Rechten aus einem Benutzeraccount heraus zu starten bzw. dem Programm erweiterte Rechte zu geben, musst Du Dich in jedem Falle autorisieren, egal, ob der Benutzeraccount ein Admin oder ein normaler ist.
So, wie Du es handhabst, wird es zwar umständlicher, aber nicht sicherer. (Oder andersherum betrachtet, die zusätzliche Sicherheit, die Du zu gewinnen trachtest ist trügerisch.)
Zuletzt bearbeitet von einem Moderator:
C
cilly
Die systemweiten Einstellungen lassen sich nur verändern, wenn man auf das Schloss klickt und sich als Admin authorisiert. (Die Einstellungen werden nach erfolgreicher authorisierung als Admin änderbar, d.h. sie sind nicht mehr ausgeblendet.) Diese Einstellungen wirken sich auf alle Accounts aus, richtig. Die nicht-systemweiten Einstellungen oder ich nenne diese mal Benutzer-bezogene Einstellungen lassen sich ohne Authorisierung als Admin ändern, d.h. es gibt auch kein Schloss.
C
cilly
Das stimmt einfach nicht, tut mir Leid. Nach dieser Aussage müsste man folgern, dass der normale Benutzer die gleichen Rechte wie ein Admin hätte. Und es gilt: je mehr Rechte desto höher das Sicherheitsrisiko.._ut schrieb:
Edit: ._ut, entweder wir reden aneinander vorbei, oder du willst mich nicht verstehen. Ich kann nicht glauben, dass du als erfahrener Nutzer diesbezüglich eine andere Auffassung hast.
Zuletzt bearbeitet von einem Moderator:
C
cilly
So?._ut schrieb:
Sorry, aber das ist BS.
C
cilly
So, so und warum kann man den /Library Ordner einfach in den Papierkorb schieben, nach dem man sich als Admin in den Kontrollfeldern authorisiert hat?._ut schrieb:
sanamiguel
Aktives Mitglied
- Dabei seit
- 15.08.2002
- Beiträge
- 1.565
- Reaktionspunkte
- 0
Das wußte ich nicht - und wieder etwas dazugelernt. Danke._ut schrieb:
@ all
ein schönes Wochenende
Michael
klettern6c
Aktives Mitglied
- Dabei seit
- 07.10.2004
- Beiträge
- 108
- Reaktionspunkte
- 0
Ist doch ein wenig hoch gegriffen, oder?peterli schrieb:
Waren doch nicht mehr als 2... Habe anfangs auch Thunderbird benutzt, bin zwischenzeitlich aber auf Mail umgestiegen. Das Zusammenspiel mit dem Adressbuch und dem Kalender ist einfach spitze. Wollte nicht mehr zurück! Würde ich mir wirklich nochmals überlegen. Zumal ich jetzt auch die Verschlüsselung verwende und die ist wirklich einfach und vor allem problemlos zu installieren gewesen.peterli schrieb:
Ansonsten kann ich mich nur anschließen: OS X is one of a kind!
Grützi nach Zürich,
Marcus
MacGeneral
Aktives Mitglied
- Dabei seit
- 19.01.2004
- Beiträge
- 280
- Reaktionspunkte
- 1
._ut schrieb:
FALSCH!
"Befehl" + "Shift" + "U" (Programme/Dienstprgramme)
dann "NetInfo Manager" ausführen.
Im Menu "Sicherheit" dann auf "Identifizieren".
Passwort eingeben
Menu "Sicherheit" dann "root-Benutzer aktivieren" ...
dann kommt: "Warnung! root Kennwort nicht gesetzt..."
dann einfach das root Kennwort einstellen, sich abmelden und dann auf "Andere" klicken und da dann "root" mit "[Kennwort]" eingeben...
ABER DAVON IST DRINGENDS ABZURATEN! (Es sei denn du weißt genau, was du tust!)