[OS X] Tutorial: System-Sicherheit erhöhen

[Cyrics]

[FONT="Arial Black"]Das Tutorial ist über ein Jahr alt und teilweise nicht mehr aktuell und mit dem Erscheinen von Leopard endgültig veraltet.[/FONT]

Hallo,

ich wollte ein paar vielleicht hilfreiche Worte zum Thema System-Sicherheit verlieren. OS X ist ansich ein sicheres Konstrukt, welches aber hier und da noch sicherer gestaltet werden kann. Es ist prinzipiell nach der Installation so ausgerichtet, dass es teilweise sicher ist. Bei aktiven Versuchen, dass System zu knacken, geht OS X dann aber ein. Dies lässt sich mit ein paar kurzen Handgriffen bereits erledigen. Die Möglichkeiten sind da unbegrenzt bis hin zur puren Paranoia. Diesen extremen Menschen empfehle ich die Airport-Card aus ihren Mac heraus zu reissen und zu verbrennen. Der Mac gehört dann eingeschloßen in ein Acryl-Gefäß welches Alarm gesichert ist. Den Gedanken können diese paranoiden Menschen dann gerne weiterspinnen.
Für alle anderen ein kleiner kurzer Überblick über die Teilbereiche:

1. Grundsätzliches zu Beginn
2. Benutzereinstellungn
3. Anmelde-Einstellungen
4. Sicherheits-Einstellungen und Verschlüsselungen
5. System-Aktualisierungen
6. Schlüsselbund
7. Classic OS
8. Bluetooth
9. Netzwerkdienste
10. Verzeichnisdienste
11. Firewall-Einstellungen
12. Safari und Co.
13. Zum Ende
14. Links

1. Grundsätzliches zu Beginn:
Es ist nicht möglich ein absolut 100%ig sicheres System zu schaffen! Man kann es aber jedem Angreifer egal ob physikalischer oder netzwerk-technischer Natur verdammt schwer machen. Je mehr Zeit dieser Angreifer aufbringen muss, desto unattraktiver wird das angegriffene Objekt. Dies sollte sich jeder vorher klar machen. Ich distanziere mich dann von jeglichen Ansprüchen, die jemand mir gegenüber geltend machen will, wenn er nicht mehr an seine Daten kommt oder es mit der Sicherheit übertrieben hatte. Menschenverstand sollte bei diesem Thema einfach angeschaltet und auch benutzt werden. Danke
Prinzipiell kann man sagen, dass man netzwerk-technische Angreifer durch das Herausziehen alle Netzwerk-Komponenten los ist. Angreifer die physikalischen Zugriff auf das Objekt haben, kann man es sehr schwer bis unmöglich machen an private Daten oder Benutzereinstellungen zu gelangen, jedoch kann man nicht verhindern, dass sie die Festplatte ausbauen/austauschen/formatieren lassen. Dies ist prinzipiell nicht verhinderbar und man sollte selber auch froh sein, dass diese Möglichkeit dann immer noch existiert!
Dies alles bezieht sich hier also eher auf Privatanwender. Firmenrechner, wo zig unbekannte Menschen Zugriff haben, können nur teil-gesichert werden durch einige Tipps.

Passwortüberlegeungen:
Was sich mir schon manches für Passwörter auftaten, ist wirklich erschreckend. Daher sei dieser Absatz hier noch einmal vielen Menschen da draußen ans Herz gelegt. Man überlege sich bitte ein sicheres Passwort. Es sollte so schwer sein, dass man selber schon Probleme hat es sich zu merken. Als guter alter Tipp sei hier angebracht, dass man Passwörter auch ruhig auf einen Zettel schreiben kann und sich an den Computer kleben kann, sofern man seinen Mitbewohnern vertraut. In Firmennetzen und anderen öffentlichen Orten sollte man dies bitte absolut unterlassen!
Unix-Systeme schenken einem schon so viel Sicherheit, wie es Windows niemals kann. Diese sollte man auch nicht kaputt machen durch leicht zu erratende Passwörter!
Als Passwort-Überlegungen bieten sich folgende Optionen:

• Gross- und Kleinschreibung
• zusätzliche Zahlen-Kombinationen
• Sonderzeichen-Verwendungen
• Hacker-Sprache
• Satz-Konstellationen
• mehr als 12 Zeichen (am besten mehr als 20 Zeichen)
• Passwort vom Passwort-Assistenten kreieren lassen

Überlegen Sie sich einen Satz. Als Beispiel: Wir lieben Apfeltalk.
Nun ändern wir es nach oben genannten Punkten um: :wI4!l0Ve&4pFe/!4lK
Der Passwort-Assistent würde es als ziemlich sicher einschätzen. Das ist unser Ziel. Der Fantasie sind keine Grenzen gesetzt. Man sollte variieren und keinen Algorithmus erkennen lassen.

2. Benutzereinstellungen:
Prinzipiell: je weniger Benutzer, desto sicherer!

Nach diesem Motto sollte man dann folgende Konstellation anstreben: einen Verwalter- und einen Benutzer-Account.
Der Verwalter: dieser ist zur Verwaltung des Rechners befähigt.
Der Benutzer: darf Anwendungen etc. ausführen und hat nur beschränkte Rechte in der globalen Datenstruktur

Daher bietet sich dann folgendes an:
Man geht zu Systemeinstellungen -> Benutzer.
Man erzeugt durch "+" einen weiteren Benutzer. Sein Kurzname sollte kurz, bündig und nicht so leicht zu erraten sein, wie ntadmin, admin, etc.
"Name" ist dann nur der Anzeige-Name sozusagen. Man sollte sich ein nicht leicht zu erratendes Passwort hier überlegen. Von der Merkhilfe sollte man hier Abstand nehmen, da diese oft eine Steilvorlage für das Erraten des Passwortes ist. Es kann jedoch ruhig das selbe Passwort bei Verwalter und Benutzer sein, wenn man der einzige Benutzer am Computer ist. Sollten weitere Benutzer darauf noch Zugriff haben, sollte man gleich von Anfang an ein anderes Passwort für den Verwalter nehmen als für den eigenen Benutzer.
Ein Häckchen muss dann noch bei "der Benutzer darf diesen Computer verwalten" gemacht werden.



Ich hab meinen Verwalter-Account Verwalter genannt und arbeite unter meinem Benutzer-Account. Dies erreicht man nachdem man den Verwalter-Account erzeugt hat. Dann kann man nämlich seinen Benutzer-Account das Häckchen entfernen bei "Der Benutzer darf diesen Computer verwalten". Es muss immer einen Admin bei OSX geben.
Verwaltungswerkzeuge wie OnyX arbeiten nicht mehr unter einem normalen Benutzer-Account. Diese können nur als Adminstrator gestartet werden.

3. Anmelde-Einstellungen
Im selben Fenster bei der Benutzer-Verwaltung findet man die Anmelde-Optionen. Wenn man diese anklickt, landet man bei den Einstellungen.
Hier sollte nun kein Häckchen drin sein. Ich bin gegen schnellen und damit unsicheren Benutzer-Wechsel, automatisches unsicheres anmelden und auch gegen die Auswahlen Neustart, Ruhezustand und Ausschalten beim Login. Die Kennwort-Merkhilfe blenden wir hier am besten auch gleich komplett aus.
Wir ändern dann am besten noch bei "Anmeldefenster zeigt an" von "Liste und Benutzer" zu "Name und Passwort". So muss der Angreifer erst einmal die Benutzernamen wissen...

root-Login
Dieser sollte grundsätzlich auf jeden System deaktiviert sein! Jeder überprüfe das bitte bei sich. Dazu geht man zu Dienstprogrammen -> NetInfo Manager. Dort kann man sich entwender beim Menüpunkt Sicherheit -> "Identifizieren" oder auch indem man auf das Schloß klickt.
Hat man die nötigen Rechte kann man beim Menüpunkt Sicherheit den root-Benutzer deaktivieren, falls dieser auf aktiv steht. Sollte er inaktiv sein, dann kann man ihn dort nur aktivieren, und das tun wir nicht!

Hier kann man auch gleich im NetInfo-Manager das ausgeschriebene Benutzer-Passwort entfernen. Dazu wechselt man nachdem man sich identifiziert hat in der Spalten-Ansicht zu "users". Man sollte prinzipiell vorsichtig sein mit dem Bearbeiten und Löschen von Informationen im NIM! Hier kann man das Passwort welches in Klarsicht mit Sternchen in der Tabelle beim jeweiligen Benutzer steht, entfernen. Dies bitte nur bei normalen Benutzerns machen. Dazu geht man zum jeweiligen Benutzer. Z.B. dem Verwalter-Account (die Liste ist nach Kurznamen sortiert).
Wenn man diesen anklickt, taucht die Listenübersicht unten auf und man markiert die Passwort-Zeile mit den Sternchen und entfernt diese.



Dann sichert man die Einstellungen und übernimmt diese.
Dieser Eingriff hat bei mir keine Probleme hervor gerufen. Ich denke es ist eher das berücktigte Überbleibsel, welches immer übrig bleibt, wenn ein Account und sein Passwort neu erstellten wurden. Womit das Passwort in Klarsicht rückkonvertiert werden kann mit dem richtigen Algorithmus (hier rate ich einfach nur wild)

Ich verwende OnyX für verwaltende Aktionen unter OSX. Es ist Free-Ware und bietet Möglichkeiten bequem die Sicherheit ein bisschen zu erweitern.
Zur Sicherheit zählt bei mir auch ein warnender Hinweis beim Anmelde-Bildschirm! Ich hab aus der Linux- und Netzwerk-Welt gelernt, dass ein Warn-Hinweis des Betretens von privatem Bereichen ausdrücklich erwähnt werden muss, um den Angreifer zu signalisieren, dass dies nicht erwünscht ist und auch verfolgt wird. Unter OnyX können wir unter dem Punkt Anpassen -> Login ein Häckchen machen, dass der Text im Login Windows angezeigt wird.
Hier gehört nun ein Text hin, der vor dem Versuch des Einbruches in private Daten warnt aufgezeichnet und gegebenenfalls nach geltenen Recht zur Anzeige gebracht werden kann. Der Angreifer ist damit gewarnt und muss mit den Konsequenzen leben. Andernfalls kann es heissen, dass er ja nicht wusste, dass er nicht in den Account rein darf.

Bei OnxY werden wir dann auch noch gleich die beiden Häckchen weiter unten aktivieren bei Neustart/Abmelden/Aussschalten-Befehle bei Login und Ruhezustand. Dadurch können keine ungesicherten Daten verloren gehen! Es bleibt jedoch immer noch die böswillige Möglichkeit den Power-Knopf wenige Sekunden gedrückt zu halten...

4. Sicherheitseinstellungen und Verschlüsselungen
Für diesen Punkt gehen wir in Systemeinstellungen -> Sicherheit.
Hier legen wir ein Hauptkennwort fest, falls dieses noch nicht getan wurde. Wie der Name schon sagt, ist dies ein sehr großes mächtiges Kennwort. Denn mit diesem kann man die Benutzer und Verwalter-Passwörter zurücksetzen lassen indem man die Installations-DVD und deren Menü nutzt.
Nachdem das Hauptkennwort festgelegt wurde, ist die Überlegung angebracht, ob man FileVault aktivieren möchte. FileVault ist eine Verschlüsselung der persönlichen Daten, indem das Benutzer-Verzeichnis als verschlüsseltes Image gesichert wird. Der Nachteil des Ganzen: es brauch ein bisschen mehr Platz und es gibt es den Speicherplatz von gelöschten Daten erst dann frei, wenn man sich abmeldet oder neustartet. Ansonsten hilft nur sicheres entfernen beim Papierkorb. Da werden die Daten sofort freigegeben, was seine Zeit dauert. Wenn man empfindliche Daten besitzt, sollte man diese per FileVault sichern. Sind die Daten kleiner, reicht auch ein kleines angelegtes verschlüsseltes Images. Das FileVault-Image liegt dann im Verzeichnis /Users/.Benutzername/Benutzername.sparseimage.
Als nächstes sollte ein Häckchen bei "Kennwort verlangen nach Beenden des Ruhezustandes", "Automatisches Anmelden deaktivieren" (global), "Kennwort verlangen für die Freigabe ..." , "Sicheren virtuellen Speicher verwenden".



Da ich schon das Tutorial von yinthaar verlinkt hatte, möchte ich noch gleich andere Möglichkeiten aufzählen, die sich für Verschlüsselungen und Schutz bieten.
Die Verschlüsselung von openssl ist nutzbar. Dies erklär ich ein andermal.
Dann existiert der GNU Privacy Guard. Im gleichen Atemzug sei PGP Mail noch genannt, welches in der Hinsicht das nach der GNU-License freiverfügbare PGP kostenpflichtig mit professionellen Support vertreibt.
Eine weitere Schutzmaßnahme ist das setzen eines Firmware-Passwortes. Jedoch ist dies nur sehr bedingt sicher, und wie ich hier schon schrieb, lässt es sich auch relativ leicht ausheben. Alle Verschlüsselungen verhindern aber unerlaubten Zugriff durch den Firewire-Modus oder andere Kopier-Aktionen. Es bleibt nur eine verschlüsselte Datei, die erstmal entschlüsselt werden muss.

5. Software-Aktualisierungen
So ähnlich wichtig wie das Passwort! Jedes Programm, jedes Betriebssystem, jeder Daemon hat Sicherheitslücken und Fehler. Diese werden jedoch erst durch intensiven Gebrauch klar und vom Hersteller gestopft. Jedoch können diese Löcher auch nur gestopft werden, wenn auch die Möglichkeit für eine Aktualisierung gegeben ist.
Daher gehen wir in Systemeinstellungen -> Software-Aktualisierung. Hier machen wir ein Häckchen bei Nach Updates suchen und stellen die Suche auf Täglich.
Dazu sollte man bei allen Anwendungen wie z.B. MS Office 2004 darauf achten, dass die Aktualisierung aktiviert ist. Oft liegt es nicht am Betriebssystem, sondern an zusätzlichen Applikationen, die erst die Löcher ins System reissen durch schlechte Programmierung. Hier mache ich aber MS keinen Vorwurf, sondern brauchte nur eine Applikationsnamen als Beispiel. Also bitte nicht in den falschen Hals kriegen.

6. Schlüsselbund
Der Schlüsselbund... ein mächtiges und schützenswertes Tool! Hier sind alle gespeicherten Passwörter verwart und können auch mit dem richtigen Zugriff ausgelesen werden können.
Finden tut man dieses Werkzeuge unter Dienstprogramme -> Schlüsselbund. Hier gehen wir erst einmal in die Einstellungen und aktivieren den "Status in der Menüleiste anzeigen". Hier sehen wir ob der Schlüsselbund geschützt oder offen ist. Außerdem können wir so schnell den Schreibtisch sperren. Alternativ können wir auch den Bildschirmschoner in eine der aktiven Ecken von Expose platzieren.
Desweiteren können wir unter Erste Hilfe weitere Maßnahmen ergriffen werden. Jedoch hab ich hier nur das Häckchen beim dritten Punkt entfernt.
Wichtiger erschien mir dagegen, nachdem wir die Einstellungen geschloßen haben, auf Bearbeiten -> Einstellungen für Schlüsselbund-Anmeldungen ändern zu gehen.



Es ist nämlich standard-mäßig aktiviert, dass der Schlüsselbund während man angemeldet ist, nicht geschloßen wird, trotz Inaktivität! Ich hab es auf 5 Minuten Inaktivtät gesetzt. Nun wird man von manchen Programmen auch erst gefragt, ob sie ausgeführt oder auf bestimmte Schlüssel zugreifen dürfen, wenn man den Schlüsselbund längere Zeit nicht verwendet hat. Genauso muss der Punkt Schlüsselbund "Während des Ruhezustandes schützten" aktiviert sein.

7. Classic OS
Ein delikates Thema... hier sollte nach dem Motto agiert werden: If you don't use it, remove it!
Ich selber nutze es aber, und brauche es auch für ein paar ältere Anwendungen. Mir sind keine gravierenden Sicherheitslücken bekannt. In der System-Sicherheit ist es aber immer am klügsten das zu administrierende System so klein wie möglich zu halten. Um Classic zu entfernen brauch es jedoch etwas Fingerspitzen-Gefühl...
um alles komplett von Classic zu löschen, reichen folgende Befehle:
sudo rm -rf /System/Library/PreferencesPanes/Classic.prefpane/
rm -rf /System/Library/Classic/
rm -rf /System/Library/Core Services/Classic Startup.app/
rm -rf /System/Library/User Template/English.lproj/Deskop (Mac OS 9)/
rm -rf /Systemordner/
rm -rf /Mac OS 9 Files/
rm -rf /Applications(Mac OS 9)/

Um sudo ausführen zu können muss man als Admin angemeldet sein, da man sonst nicht in der /etc/sudo drin steht. Die Applikationen von OS 9 lassen sich auch bequem per Terminal löschen. Jedoch muss man den Systemordner schon mit etwas mehr Nachdruck per Terminal und root-Rechten entgegen treten.

8. Bluetooth
Dies ist ein Thema für sich.... Bluetooth ist bequem, eigentlich sehr nützlich und nicht ganz sicher. Es bietet zig Möglichkeiten mit verbundenen Rechnern schei**e zu bauen. Daher stell ich hier die Einstellungen etwas schärfer.
Unter Systemeinstellungen -> Bluetooth kann man unter Einstellungen erstmal Bluetooth deaktivieren, falls dies noch nicht ist. Dann lassen wir uns den Status von Bluetooth in der Menüleiste anzeigen. Wir nehme auch das Häckchen bei "Sichtbar" heraus. So sollte nur ein Häckchen auf der Seite drin sein.
Unter Geräte kann man die derzeitig verfügbaren Geräte sehen, wenn Bluetooth aktiviert ist. Unter Sharing sollte man die Dateiübertragung aussschalten und verschlüsseln. Indem man das Häckchen bei "Ein" heraus nimmt und eines beim Schlüssel setzt. Alle anderen Häckchen sollten entfernt werden oder nur die Verschlüsselung aktiviert sein. Als Ordner sollte ein eingeschränkter Unterordner ausgewählt werden, wie der "Öffentlich"-Ordner. Durch das Symbol in der Menüleiste lässt sich bei einer nötigen Benutzung von Bluetooth alles schnell wieder aktivieren und nutzen.

9. Netzwerkdienste
Nun beginnt erst der eigentliche Teil der Arbeit, denn die vorher besprochenen Sachen haben eher physikalischen Missbrauch verhindert. Nun müssen wir den Missbrauch von außen verhindern.
Dazu gehen wir zu Systemeinstellungen -> Sharing -> Dienste.
Hier gilt, nur das Nötigste aktivieren!



Zur Erklärung der existierenden Dienste, und ob man diese brauch:
Personal-File Sharing: Apple Filing Protocol. Brauch man natürlich auch nur, wenn man weitere Macs im Netzwerk hat denen man Freigaben per AFP ermöglicht.
Windows Sharing: Samba oder Common Internet File System (kurz CIFS). Diesen Dienst brauch man auch nur, wenn die Freigaben per SMB genutzt werden und wenn auch Windows-Rechner im Netz sind, die diese Freigaben nutzen können. Zusätzlichen lassen sich auch Accounts für SMB einschränken.
Personal Web Sharing: HTTP und der Dienst ist Apache HTTP Server. Diesen Dienst brauch man nur um seine eigene Homepage im Netzwerk online zu stellen. Weiterhin kann durch Router-Einstellungen der Dienst so genutzt werden, dass Zugriffe von außen auch auf die private Homepage möglich sind. Es empfiehlt sich jedoch ein Werkzeug namens MAMP zu installieren und zu nutzen. Durch ein kleines Widget ist so der HTTP und MySQL-Server schnell ein- und aus-zuschalten. HTTP-Server wimmeln durch installierte Plugins nur so von möglichen Schwachstellen.
FTP-Zugriff: sollte man prinzipiell deaktivieren! Ich weiss nicht wozu man diesen Dienst bei einem privatgenutzten Mac aktivieren muss! Es nutzt den Dienst tntftpd.
Apple Remote Desktop: kurz ARD. Ist dieser Dienst aktiviert, eröffnet man den ARD-Server. Nun kann mit Programmen wie VNC, SSH etc. auf den Mac zugegriffen werden. Es lässt sich einiges bei den Zugriffsrechten einschränken. Prinzipiell sollte dieser Dienst deaktiviert sein, aber in Notfällen wo man Hilfe von anderen brauch, ist es manchmal auch sehr hilfreich.
Entfernte Apple Events: EPPC. Hier kann man als Airport Extreme Server z.B. agieren. Dabei reagiert man auf ausgesendete Signale von anderen Macs. Hiervon ist eigentlich erstmal Abstand zu nehmen.
Printer Sharing: es nutzt CUPS und bedeutet, dass man einen angeschloßenen Drucker auch dem Netzwerk freigeben kann ohne Windows-Sharing aktiviert zu haben.

[Cyrics]

10. Verzeichnisdienste

Sind alle Dienste deaktiviert, die man nicht benötigt geht man zu Dienstprogramme -> Verzeichnisdienste und deaktiviert dort noch einmal alle nicht benötigten Dienste.



Zur Erklärungen:
Acitive Directory (Windows Domain Sharing)
AppleTalk (Apple Netzwerk-Protokoll)
Bonjour (Netzwerkkommunikation)
LDAP (LDAP einfach)
Lokale BSD und NIS (Unix Network Serice)
NetInfo (Apples Verzeichnis und Authentifizierungs-Dienst)
SLP (Druck und Datei-Server-Austausch)
SMB (Windows Workgroup und Sharing)

Beim LDAP muss man Konfigurieren, dass vom DHCP-Server KEINE LDAP-Server geliefert werden! Also das Häckchen entfernen, falls es gesetzt ist.
Bei SMB lässt sich der Arbeitsgruppen-Name sonst noch einstellen. Den Rest nutze ich persönlich nicht.

11. Firewall-Einstellungen
Bei Systemeinstellungen -> Sharing -> Firewall lässt sich die Firewall aktivieren, was auch getan werden sollte.



Sie ist ein besserer Schutz als gar kein Schutz. Jedoch bringt eine Firewall auch nur etwas gegen Angreifer im eigenen Netzwerk, da der Router ansich schon jeglichen Angriff von außen blockiert. Firewalls verhindern nur die Kommunikation von Rechnern im eigenen Netzwerk. Manchmal auf die gute und manchmal auf die schlechte Art.
Die OSX-eigene hat den Vorteil schnell und leicht konfigurierbar zu sein, aber auch den Nachteil, dass sie ein bisschen sehr einfach gehalten und kaum konfigurierbar ist, z.B. durch eigene Firewall-Regeln. Es gibt genug Firewalls da draußem im Netz, die die OSX-eigene Firewall erweitern, womit zwei Firewalls zusammen arbeiten. Ich nutze dabei SunShield.
Bei der OSX-Firewall sollten nun nur die Dienste durchgelassen werden, die auch aktiv sind. Außerdem ist es noch möglich iTunes Music Sharing und Co. passieren zu lassen.
Unter Weitere Optionen aktivieren wir alle 3 Häckchen. Für ein feines Konfigurieren der Firewall liesse sich dann SunShield nutzen. Doch hier will ich nicht weiter drauf eingehen, da das Tutorial dann noch viel länger wird, als es jetzt schon ist.

Es lassen sich dann weitere Möglichkeiten durch Veränderungen am Kernel per Terminal vornehmen. Ich werde zu jedem Befehl ein paar Worte verlieren...
Mit sudo sysctl -w nimmt man Änderungen am Kernel vor. Dazu muss als Admin eingeloggt sein um sudo nutzen zu können. Hinter den einleitenden Befehl kommt dann folgende mögliche Parameter:
erweiterertes Firewall-Logging aktivieren mit

net.inet.ip.fw.verbose=1

maximales Limit dieser Logs festlegen:

net.inet.ip.fw.verbose_limit=65535

Ablehnen und Verwerfen von ICMP Rück-Paketen:

net.inet.icmp.drop_redirect=1

Limit für ICMP-Pakte setzen:

net.inet.icmp.icmplim=1024

Protokollieren von ICMP-Paketen:

net.inet.icmp.log_redirect=1

IP-Source Routing deaktivieren:

net.inet.ip.redirect=0
net.inet.ip.sourceroute=0 (sollte seit Tiger eigentlich schon auf 0 sein)
net.inet.ip.accept_sourceroute=0 (sollte seit Tiger eigentlich schon auf 0 sein)

Broadcast ECHO Response stoppen:

net.inet.icmp.bmcastecho=0

Broadcast Probes unterbinden:

net.inet.icmp.maskrepl=0 (sollte seit Tiger eigentlich schon auf 0 sein)

TCP Delayed ack abschalten:

net.inet.tcp.delayed_ack=0

IP-Forwarding/Routing deaktivieren:

net.inet.ip.forwarding=0 (sollte seit Tiger eigentlich schon auf 0 sein)

Spoofing-Attacken streng protokollieren:

net.inet.tcp.strict_rfc1948=1 (mehr zu RFC) (mehr zur RFC 1948)

Unter Panther funktionierten alle Befehle noch. Manche sollten sich seit Tiger aktualisiert mit neuen Werten haben. Aber an der Sache ändert es nichts, außer dass es bereits der Standard-Wert ist, und nichts weiter geändert werden muss.

12. Safari und Co.
Unter Safari kann man bei Einstellungen -> Allgemein "Sichere" Dateien nach dem Laden öffnen deaktivieren. Außerdem sollte man bei Programmen wie Enoturage oder Mail.app darauf achten, dass Security-Einstellungen so gesetzt sind, dass Datei-Anhänge beim Empfang nicht automatisch ausgeführt werden, die Spam-Bestimmungen hoch angesetzt sind etc.
Hier bin ich sonst auch dankbar, wenn noch viele weitere Ideen kommen

13. Zum Ende
Also ich freue mich über Korrekturen etc. Ich bin in mancher Hinsicht auch nicht absolut sicher und sehe auch gerne meine Fehler ein, wenn dies richtig vorgebracht wird... ich erhoffe mir weitere nützliche Tipps für viele OSX-User, die ihre Sicherheits-einstellungen verfeinern wollen. Daher würde ich weitere Links und Informationen, die hier gepostet werden in den ersten Post miteinbinden. Ich möchte hier kein nutzloses Gelobe haben, so doof es auch klingt, aber dadurch geht die Übersichtlichkeit des Threads verloren, und jeder soll schnell und hilfreiche Informationen zum Thema Sicherheit bekommen. Daher bitte Spam und dergleichen unterlassen. Danke

14. Links:
Viren, Würmer und Trojaner unter OSX:
Nummer 1, Nummer 2 (wurde durch das Sicherheits-Update im frühen März geschloßen), Nummer 3 (schon seit längerem geschloßen), Nummer 4.

[Soul Monkey]

Sehr informativ, danke!

[Mainzelmaennsche]

Wow, echt klasse gemacht, schönes Tuto!

[Herr Sin]

Danke schön. Langsam versteh ich das alles auch

Zum Thema Passwörter: Ich habe mir einen Satz überlegt und benutze jeden Anfangsbuchstaben als Passwort. Beispiel: "Apfeltalk ist mein Lieblingsforum! Da bin ich seit Januar 2001 angemeldet." Passwort: AimL!Dbis2a.

Und nochwas: Leute, Passwörter wie "password", "passwort" oder "swordfish" sollte man wirklich nicht verwenden.

Unter Weitere Optionen aktivieren wir alle 3 Häckchen.

Es wurde schon an mancher Stelle davon abgeraten "Tarn-Modus" (3. Häckchen) zu aktivieren.

Der sogenannte Tarnmodus (stealth mode) nützt nicht wirklich etwas, sondern behindert den Rechner, weil er dann nicht mehr dem Internetstandard entspricht. Wenn der Rechner tatsächlich nicht da wäre, würde die letzte Station vor dem Rechner an den anfragenden Rechner melden, daß das Ziel nicht erreichbar ist. Im Tarnmodus kommt jedoch keine Nachricht zurück. Wenn der Rechner internetkonform eingestellt wäre, dann würde er selbst eine Antwort schicken. Also kann man aus der Tatsache, daß keine Antwort zurückkommt, schlußfolgern, daß der Rechner da ist, aber nicht antwortet.

Quelle: MacMark

Dein Vorschlag mit dem Schlüsselbund in der Menuleiste und 5 Minuten Inaktivität habe ich gleich in die Tat umgesetzt.

[Cyrics]

ja, das mit dem Stealth-Modus und der Firewall ist wie gesagt nur ein Nutzen für das interne Netzwerk. Von außen her ist ja der Router unsere Firewall und die ist eigentlich ziemlich gut. Im internen Netz hätten wir aber keinen Schutz ohne Firewall. Nun gibt es interne Netze wie meins zu Hause welches ich als sehr sicher ansehe. Es gibt aber auch riesige Firmennetzwerke oder private LAN-Verbunde von 100 Leuten. Dort keine Firewall zu haben, ist etwas fahrlässig.
Wenn man jemand Zugriff auf seinen Mac geben will, und er einen nicht findet im Netzwerk, dann weiss man schliesslich auch immer woran es liegt nämlich an der Firewall -> Stealth-Modus-Einstellung.
Und das der Stealth-Modus für höhere Gewalten nicht ausreicht, ist auch klar. Aber da reicht auch die Standard-Firewall nicht aus um sich im internen Netz zu schützen. Ich hab bisher noch keinen PC-User gesehen, der mit der "nicht-Antwort" des Stealth-Modus umgehen konnte. Hier ist es wohl ähnlich wie der MAC-Filter beim Router. Dieser ist schnell umgehbar, aber trotzdem für viele schon ein großes Hindernis.

[pumpkin]

.

[Herr Sin]

Hm, müsste dein Passwort dann nicht eher AimL!DbisJ2a lauten?!

Mensch, sei nicht so kleinlich. Hat doch nur ein Buchstabe gefehlt. Das kann doch nicht solche Auswirkungen haben, oder?

[Cyrics]

hehe doch, spätestens dann wenn du versuchst in dein FileVault-Benutzer-Verzeichnis reinkommst und dich wunderst, weil du doch eigentlich das richtige Passwort nutzt

[pumpkin]

.