cilly schrieb:
Das ist nur zum Teil richtig:
Hat der Admin sich bereits einmal als Admin authorisiert, wird er unter Umständen nicht mehr gefragt, d.h. die sudo Rechte bleiben für eine gewisse Zeit erhalten und können auch plötzlich für andere Programme, die der Admin benutzt; aktiv werden! Dies kann man alles in /etc/authorisation einstellen.
In der GUI, wo die Autorisation über das Security-Framework gemacht wird, ist das nicht der Fall. Die Autorisation gilt dort nur für genau eine Aktion.
Dass sudo eine Zeit lang aktiv bleibt, ist normal, hat aber nichts damit zu tun.
._ut, worauf ich Anspiele: Wer installiert denn nicht mal kurz was und gibt geschwind das Admin-Kennwort ein, surft dabei gleichzeitg als Admin im Internet, etc. ? Die Gefahr wird einfach unterschätzt!
Eben, ganz meine Rede. Wenn das Admin-Passwort nicht bekannt ist, keine Gefahr. Wenn das Passwort bekannt ist, kein Unterschied.
Es macht eben doch einen Unterschied ob man als Admin oder normaler Benutzer arbeitet. (Wenn man sich als normaler Benutzer aber als Admin authorisiert, dann macht es "fast" keinen Unterschied mehr.)
Ich arbeite als normaler Benutzer ohne Admin-Rechte und wenn ich mit diesem Benutzer eingeloggt bin, authorisiere ich mich nie als Admin, obwohl ich das könnte, weil ich den Admin-Account kenne. Benötige ich Admin-Rechte benutze ich Fast-User-Switching oder logge mich aus und melde mich mit dem Admin-Account an. Sobald ich die Admin-Rechte nicht mehr benötige, logge ich mich aus dem Admin-Account aus.
Leider gibt es immer noch viele, die den Admin-Account missverstehen und diesen für den alltäglichen Gebrauch verwenden. Das dabei entstehende Sicherheitsrisiko ist derzeit bei OS X nicht so groß. Wenn aber einmal die ersten Trojaner etc. geschrieben sind, kann durch den Missbrauch eines Admin-Accounts großen Schaden entstehen. Versierte und erfahrene Benutzer können mit diesem Sicherheitsrisiko zwar umgehen und es auch begrenzen, es aber nicht gänzlich ausschließen.
Meine Empfehlung daher auch für alle neuen Mac OS X User:
1. Der erste eingerichtete Account hat immer Admin-Rechte, diesen Account sollte man nur dann benutzen, wenn man etwas installieren möchte, oder die Admin-Rechte braucht.
2. Richte einen 2. Benutzer ohne Admin-Rechte ein und benutze diesen Account für den alltäglichen Gebrauch. Wenn du Admin-Rechte brauchst, dann logge dich aus oder benutze Fast-User-Switching und logge dich in deinen Admin-Account ein. Benötigst du den Admin-Account nicht mehr, dann melde dich sofort wieder ab. Authorisiere dich jedoch nie als Admin, nicht einmal für eine klitze-kleine Kontrollfeld-Einstellung, denn dann sind die Vorteile des normalen Benutzer-Accounts weitgehendst dahin.
Du gehst hier von falschen Voraussetztungen aus. Das Verhalten des Security-Frameworks unterscheidet sich erheblich von dem sudos.
Sudo orientiert sich nur an Benutzer- und Gruppenrechten, bei sudo bleibt die Autorisation für 5 Min bestehen und gilt für die unterschiedlichsten Aktionen, die nach der Autorisation ausgeführt werden.
Bei der Konzeption des Sercurity-Frameworks hat Apple allerdings den menschlichen Faktor so weit mit berücksichtigt. Jede Autorisation gibt es nur für genau eine Aktion. (Das gilt natürlich auch für Schlösschen öffnen bzw. schließen, in genau einem Programm.) Das geht das sogar so weit, dass bestimmte Aktionen Autorisation erfordern, obwohl sie von den Gruppenrechten des Admins her eigentlich erlaubt sein müssten (z.B. im Finder /Library in den Papierkorb, Installtion nach /Programme mit dem Installer etc.). Apple hat den Admin-Account so weit geschlossen, dass mit ihm gefahrlos (d.h. nicht gefährlicher, als mit einem normalen Account) gearbeitet werden kann.
Der Mac-OS-X-Admin-Account *ist* für den alltäglichen Gebrauch gedacht.
Nicht umsonst ist auch bei einfachen Installationen der einzige Account ein Admin-Account. Außerdem gibt es keine Technote von Apple, die eine Empfehlung wie Deine enthält. Wäre der Admin-Account so viel unsicherer, wie Du es beschreibst, würde bei der Installation automatisch ein zusätzlicher einfacher Arbeitsaccount angelegt und per default aktiviert werden oder es gäbe zum mindesten einen Hinweis.
Außerdem, auch mit dem Fast-User-Switchong macht es keinen Unterschied. Ist ein eventueller Trojaner einmal über diesem Account installiert, wird er mit root-Rechten laufen (oder als Trojaner nicht funktionieren). Ganz egal, mit welchen Rechten Du als Person arbeitest. Die Rechte eines Programmes, dass unter einem Admin-Account gestartet wurden, unterscheiden sich nicht von denen, die ein Programm hat, dass unter einem normalen Benutzer gestartet wurde. Um ein Programm mit root-Rechten aus einem Benutzeraccount heraus zu starten bzw. dem Programm erweiterte Rechte zu geben, musst Du Dich in jedem Falle autorisieren, egal, ob der Benutzeraccount ein Admin oder ein normaler ist.
So, wie Du es handhabst, wird es zwar umständlicher, aber nicht sicherer. (Oder andersherum betrachtet, die zusätzliche Sicherheit, die Du zu gewinnen trachtest ist trügerisch.)