[12 Monterey] Seit einem Crash lassen sich einige Programme nicht mehr starten.

[FritzS]

Seit einem Crash (2) lassen sich einige Programme nicht mehr starten - DriveDX, Android File Transfer, Find Any File.

Ich habe nun schon die UserCaches geleert indem ich in den SafeMode bootete und mich anmeldete.
Die Benutzer Berechtigungen im Wiederherstellungsmodus mit repairHomePermissions repariert
Spotlight Indizierung zurückgesetzt.
Die diesen Programme betreffenden Verzeichnisse und Dateien im Library durchgesehen, Verzeichnisse zum Teil umbenannt, damit sie neu angelegt werden.
Es ist der Benutzer (Normaluser, keine Admin Rechte), den ich vom alten Mac übernahm.
All das half bisher nicht.
Z.B. DriveDX startet zwar (in Aktivitätsanzeige sichtbar) kann aber anscheinend nicht das Verzeichnis ~/Library/Application Support/DriveDx schreiben.

Find Any File sucht zwar aber endlos und fährt die CPU Auslastung auf über 700% 'Programm reagiert nicht'.

Das Seltsame - beim Admin User den ich neu angelegt habe, funktioniert das alles. Was zum T.... 🤬 ist da 'Verbogen'? Ursache waren Abstürze (2). Wenn nicht die 'Restaurierung' von meinen Mail.app Daten wäre hätte ich den Mac schon neu aufgesetzt.

Das muss sich doch reparieren lassen! Den Rechner neu aufsetzten (nach Apple Vorgabe) und das Profil einspielen, da ist das Problem womöglich wieder da!

Was wäre wenn ich dem 'Normaluser' temporär Admin Rechte gäbe und die nachher wieder weg nehme, was könnte da an Nachteilen einstehen?

PS: Ich habe einen neuen Thread begonnen, damit das nicht alles 'vermischt' wird.

(1) Das war nur ein Teilthema:

[12 Monterey] - DriveDX 1.11.0 lässt sich nicht richtig starten

DriveDX startet nicht mehr richtig. Sichtbar in der Aktivitätsanzeige, aber kein DriveDX Fenster. Bis jetzt lief DriveDX ohne Probleme. Gestern hatte ich (beim Versuch, eine BlueRay-Audio-Disc zu öffnen) einen SystemCrash. Seitdem will DriveDX unter dem normalen Benutzer (keine Admin-Rechte)...

www.apfeltalk.de

(2) Die Crash Ursache:

[12.1 Monterey] BlueRay Audio Datei lässt M1 Mac abstürzen

Ich öffnete mit meinem externen Samsung CD/DVD/BlueRay Laufwerk eine BlueRay Audio Datei, darin befinden sich etliche Dateien. Die eigentlichen Musik Files befinden sich in einem Container, der lässt sich auch öffnen - bis dahin passiert noch nichts. Nur wenn ich versuche eine der Audio Dateien...

www.apfeltalk.de

----
Nachtrag:
dem Normalsuser/Arbeitsuser (wo das Problem auftritt) Admin Berechtigung erteilt, Reboot, das Problem ist noch immer da!

 

[FritzS]

Im Systemlog jede Menge an
Oct 26 18:36:52 Mac-mini DriveDx[605]: Could not find io classes of disk .... Dec 18 18:13:49 Mac-mini DriveDx[1063]: Could not find io classes of disk Dec 18 18:40:14 Mac-mini DriveDx[979]: Could not find io classes of disk Dec 19 08:19:35 Mac-mini DriveDx[490]: Could not find io classes of disk

Darunter Einige
Oct 26 18:36:52 Mac-mini DriveDx[605]: Error while getting parent service entry

Heute gleich nach dem Start des MacMini (über Nacht immer runter gefahren und Strom aus)
Dem Normal User 'Admin-Rechte' erteilt, neu gebootet - seltsamer Weise funktionieren die vorher betroffenen Apps wieder.

Frage in die Runde der Mac Sicherheitsexperten - welche Sicherheitsbedenken gäbe es denn mit einem Benutzer der Admin Rechte direkt beanspruchen kann, gäbe es denn wenn man dauernd damit arbeitet?
Was mir schon aufgefallen ist der Owner einer App (egal mit oder ohne Admin Berechtigung) darf den Inhalt eines App-Containers ändern! Vom 'Normaluser' aus mit Drag&Drop installierten Apps wird man nach Benutzername & Passwort eines Admins gefragt, der Owner bleibt trotzdem der 'Normaluser' - was die Folge hat, dass Updates innerhalb des App-Containers (es werden meist nur einige Dateien getauscht) ohne Passwortabfrage funktionieren - ist mir bei FF & TB aufgefallen. Das könnte z.B. auch ein Abgreifer der FF kompromitieren will, ausnutzen.

 

[tkreutz]

Oh Mensch, Du hast ja echt Pech mit Deinem Rechner. Hast Du mal in historischen Büchern geschaut, ob in Deinem Wohnort früher ein Galgenbaum stand - Hoffe, Du bekommst Deine Probleme in den Griff.

Leider kann ich in diesem Fall wohl keine große Hilfe anbieten. Ich habe allerdings auch den Verdacht, dass durch Migration älterer Systeme, teilweise Altlasten übernommen und nicht bereinigt werden.

Eigentlich wäre Marcel Bresinsk hier der Referenz Fachmann, der vielleicht helfen kann, wenn der Apple Support nicht weiter kommt.

 

[FritzS]

@tkreutz wenn die Apple Mail.app Konfiguration nicht soviel Arbeit machen würde, hätte ich den Rechner schon längst neu aufgesetzt!
Bisher war ich gewohnt einfach von TM rücksichern und das lief. Rechnete nicht damit, dass hier versteckte Altlasten übernommen werden. Als bei der Rücksicherung die Mail.app Daten sowieso nicht funktionierte hätte ich gleich neu anfangen sollen! Die meisten der anderen App Settings lassen sich einfach übernehmen indem man deren Ordner von Library in das neue Profil kopiert, selbst die Schlüsselbund Einträge kann man mit einem Trick übertragen.

Momentan läuft es ja wieder. Xcode hat 2x ein Update im Hintergrund gefahren, spukt Xcode da eventuell auch rein?

 

[Marcel Bresink]

Could not find io classes of disk

Das heißt, dass das Programm Einträge in der sogenannten "I/O Registry" von macOS nicht verarbeiten kann. Möglicherweise ist es mit der aktuellen Monterey-Version nicht oder nicht mehr kompatibel.

welche Sicherheitsbedenken gäbe es denn mit einem Benutzer der Admin Rechte direkt beanspruchen kann, gäbe es denn wenn man dauernd damit arbeitet?

Ab Mac OS X 10.7 so gut wie keine. Ein Administrator hat in der Regel nicht mehr Rechte als andere Benutzer, vom Zugriff auf alte Druckertreiber mal abgesehen.

Das einzige Sonderrecht, das ein Administrator hat, ist, sich nach einer zusätzlichen Authentifizierung (Kennwort oder Touch-ID-Fingerabdruck) für eine kurze Zeit von wenigen Minuten vorübergehend mehr Rechte verschaffen zu dürfen. Das geht auf der grafischen Oberfläche meistens mit dem Schlosssymbol oder auf der Befehlszeile über "sudo".

Und selbst das reicht bei modernen Macs nicht mehr für den Zugriff auf sämtliche Daten. Auf Dinge, die durch den Systemintegritätsschutz oder die Datenschutzfunktion oder die Sichere Enklave geschützt sind, kommt auch ein Administrator nach doppelter Authenfizierung nicht heran. Das erfordert dann noch weitere, manuelle Aufhebung von Schutzvorrichtungen oder ist komplett unmöglich.

Was mir schon aufgefallen ist der Owner einer App (egal mit oder ohne Admin Berechtigung) darf den Inhalt eines App-Containers ändern!

Nein, der Eigentümer einer App hätte nur das Recht, an der App selbst etwas zu verfälschen (was viele Apps normalerweise dank Code-Signatur bemerken und danach den Start verweigern).
Auf den Sandbox-Container einer App kann nur der Benutzer zugreifen, dem der Container (nicht die App) gehört.
Ein Administrator kann nach zweiter Authentifzierung diesen Schutz für kurze Zeit umgehen.

Oder verwechselst Du die Begriffe Container und Bundle (auf deutsch: Paket)?

 

[FritzS]

Ich habe eine App als Container bezeichnet - klar meine ich da das App-Bundle - zu Deutsch Paket.
In Firefox.app steckt z.B. das drinnen


Kann ein Angreifer da auf keinen Fall (außer einer Lücke) etwas ändern ohne dass das macOS mitbekäme?
Egal ob das Programm nun gerade läuft oder nicht?

Ein bösartiges Verfälschen von Apps könnte sich auch schlimm auswirken. Ich habe bisher immer vermieden, dass der Arbeitsuser Schreibrechte auf Apps hätte, bequemer geht es Admin natürlich schon, da viele Apps die nicht aus dem App Store stammen Update Funktion aufweisen. Manche dieser Apps (von weniger bekannten Herstellern) lade ich bei Updates herunter und prüfe diese mit Virustotal bevor ich sie installiere.
Zur 'Gewissensberuhigung' 🤩 lasse ich manchmal die freie Version von Malwarebytes laufen.

----
Von Firefox läuft nur ein Teil ohne Sandbox

 

[Marcel Bresink]

Ich habe eine App als Container bezeichnet - klar meine ich da das App-Bundle

OK, das war etwas verwirrend, weil das Wort in macOS bereits zwei feste andere Bedeutungen hat.

Kann ein Angreifer da auf keinen Fall (außer einer Lücke) etwas ändern ohne dass das macOS mitbekäme?

Ein Angreifer könnte das verändern, wenn er Schreibrecht hat, was in der Tat gefährlich ist. macOS hätte die technischen Möglichkeiten, diese Änderungen sofort zu erkennen, was aber leider nicht bedeutet, dass man darüber informiert wird.

Es kommt darauf an, welche Sicherheitseinstellungen der Hersteller der App für die Code-Signatur gewählt hat und ob die App diese laufend überprüft. Meine eigenen Programme erkennen z.B. Änderungen direkt und verweigern dann den nächsten Start mit einer Warnmeldung.

Ich habe bisher immer vermieden, dass der Arbeitsuser Schreibrechte auf Apps hätte

Das ist sehr sinnvoll, hat aber zunächst mal nichts mit Admin-Rechten zu tun.

 

[FritzS]

Das ist sehr sinnvoll, hat aber zunächst mal nichts mit Admin-Rechten zu tun.

Wenn man per drag&drop eine App die nicht aus dem Appstore 'installiert' vererbt diese die Rechte der dies tut.
Auch wenn man das als Nicht-'Admin' macht, da muss man zwar Username&Password eines Admin angeben, aber die Rechte ändern sich nicht.

Besser wäre es meiner Meinung, wenn es einen Dienst gäbe, der nach einem solchen Vorgang alle Rechte im Programme Ordner auf

ändern würde (zumindest aktivierbar). Damit müsste man sich immer authentifizieren. Leider gibt es meines Wissens in HFS+ bzw. APFS kein Feature, dass Dateien automatisch die Rechte des übergeordneten Ordners vererben. Soweit ich mich noch richtig erinnere, NTFS unter Windows kann das.

Der Programme Ordner selbst hat diese Rechte (aber das will ich nicht ändern!) damit haben Benutzer mit Admin Rechten den vollen Zugriff (außer bei Apps aus dem App Store):

 

[Marcel Bresink]

Wenn man per drag&drop eine App die nicht aus dem Appstore 'installiert' vererbt diese die Rechte der dies tut.

Nicht wirklich. Wenn eine Benutzer eine Datei herunterlädt, dann gehört sie danach natürlich ihm, sonst hätte er sie ja nicht auf die Platte schreiben dürfen.

Auch wenn man das als Nicht-'Admin' macht, da muss man zwar Username&Password eines Admin angeben,

Das passiert nur, wenn man das Programm in den Programme-Ordner kopiert, denn das ist einer der wenigen Ordner, in dem tatsächlich die Administratoren Schreibrecht haben und normale Benutzer nicht.

Leider gibt es meines Wissens in HFS+ bzw. APFS kein Feature, dass Dateien automatisch die Rechte des übergeordneten Ordners vererben.

Doch, das gibt es seit Mac OS X 10.3 Panther (2003). Man kann in jedem Ordner Rechte per Zugriffssteuerungsliste definieren und für jeden Eintrag der Liste vier Vererbungsoptionen ein- und ausschalten.

 

[FritzS]

.....
Doch, das gibt es seit Mac OS X 10.3 Panther (2003). Man kann in jedem Ordner Rechte per Zugriffssteuerungsliste definieren und für jeden Eintrag der Liste vier Vererbungsoptionen ein- und ausschalten.

Wo genau ist dieses Feature denn versteckt? Über den Pathfinder kommt man an mehr Einstellungen heran als über den Finder.
Ich installiere die Apps die nicht aus dem Appstore stammen meist eh in Unterordner von Programme. Besonders alles was mit dem Internet zusammenhängt. Da wäre eine zwingende Authentifizierung bei Updates hilfreich.
Wenn keine Schreibrechte kommt meist die Meldung, dass ein 'Helper' für das Updates die Schreibrechte benötigt. Woher stammt dieser - vom Programm selbst oder vom macOS?

----
Was das Ursächliche Problem betrifft. In diesem Zeitraum fand im Hintergrund eventuell gerade ein Update von Xcode statt. Verändert Xcode, außer in seiner App selbst auch etwas im System?
Xcode Installationen sind meiner Erfahrung immer sehr lang andauernd und erfordern einiges an System-Ressourcen.
Am neuen MacMini installierte ich Xcode nur wegen MacPorts, das ich mittlerweile wieder deinstallierte, da BIND named nicht richtig laufen wollte.

 

[Marcel Bresink]

Wo genau ist dieses Feature denn versteckt?

Mit Bordmitteln ist das über den Befehl chmod zugänglich, früher auch in alten Versionen der Bedieneroberfläche für macOS Server. Aber es gibt einige andere Zusatzprogramme, die dafür eine grafische Oberfläche bereitstellen.

Wenn keine Schreibrechte kommt meist die Meldung, dass ein 'Helper' für das Updates die Schreibrechte benötigt. Woher stammt dieser - vom Programm selbst oder vom macOS?

Die dazu nötige Rechteverwaltung ist Teil von macOS, der Helper ist normalerweise eine Eigenentwicklung des jeweiligen Programmanbieters.

Verändert Xcode, außer in seiner App selbst

Programme verändern niemals etwas in ihrem App-Bundle. Das würde ja die Code-Signatur zerstören.

auch etwas im System?

Kommt darauf an, was mit "System" gemeint ist. macOS an sich liegt ja seit einiger Zeit auf einem Nur-Lese-Medium und ist unveränderbar. Es werden aber durchaus zugreifbare Systemeinstellungen verändert (z.B. dass Xcode das Recht bekommt, laufende Prozesse zu debuggen), weitere Systembibliotheken und Befehlszeilenprogramme hinzugefügt, etc.

Xcode Installationen sind meiner Erfahrung immer sehr lang andauernd

Das liegt im Wesentlichen an der riesigen Größe von Xcode, womit der Viren-Scanner von macOS einige Arbeit hat. Xcode besteht aus über 540.000 Dateien.

 

[FritzS]

Mit Bordmitteln ist das über den Befehl chmod zugänglich, früher auch in alten Versionen der Bedieneroberfläche für macOS Server. Aber es gibt einige andere Zusatzprogramme, die dafür eine grafische Oberfläche bereitstellen.

Bitte einen Tip, welches da zu Empfehlen wäre?

Die dazu nötige Rechteverwaltung ist Teil von macOS, der Helper ist normalerweise eine Eigenentwicklung des jeweiligen Programmanbieters.

Gut zu wissen, so ein Helper könnte ja auch 'Böses vorhaben' - ich installiere eh nur bekannte und empfohlene Programme und diese IMMER von der Originalquelle! Wenn ich dann und wann das gesamte Programm für ein Update/Upgrade herunterlade lasse ich es immer auf der Virustotal Seite überprüfen.

Programme verändern niemals etwas in ihrem App-Bundle. Das würde ja die Code-Signatur zerstören.

Gerade bei den Mozilla Apps (FF, TB, inkl. Postbox das irgendwie auf TB basiert), scheint man, bei einen Update, nur Teile eines Programmes austauschen zu wollen, das sieht man schon an der Größe der Downloads, die manchmal wesenlicht kleiner sind als die gesamte App. Nur müsste dazu auch Sig-Files (XUL.sig, CodeResources) getauscht werden.

Kommt darauf an, was mit "System" gemeint ist. macOS an sich liegt ja seit einiger Zeit auf einem Nur-Lese-Medium und ist unveränderbar. Es werden aber durchaus zugreifbare Systemeinstellungen verändert (z.B. dass Xcode das Recht bekommt, laufende Prozesse zu debuggen), weitere Systembibliotheken und Befehlszeilenprogramme hinzugefügt, etc.
Das liegt im Wesentlichen an der riesigen Größe von Xcode, womit der Viren-Scanner von macOS einige Arbeit hat. Xcode besteht aus über 540.000 Dateien.

Ich meinte jene Systembibliotheken und Programme die Xcode außerhalb der Xcode.app hinzufügt. Über 540.000 Dateien, jetzt weiß ich warum die Xcode Installation so lange dauert, selbst auf dem M1 Mac mit SSD.
Befehlszeilenprogramme - hier musste ich bei MacPorts ja immer commadline-tool nachinstallieren und die Lizenzbedingungen 'abnicken' - natürlich alles im Terminal.

 

[FritzS]

Momentan [klopf auf Holz 🤩] scheint das ohne weiteres Zutun vorbei zu sein.
Hatte einige Zeit meinen 'Arbeitsuser' Admin Rechte vergeben, nun schon wieder einige Tage als Standarduser.