Wie sehen denn deine Einstellungen bei der Firewall aus und die Liste der erlaubten Anwendungen?
Screensharing: ON
Remot Login (SSH): ON
Remote Management (ARD): ON - dann erhalte ich die Meldung, dass RM Screensharing kontrolliert
Bei allen Diensten sind jeweils "Einige Benutzer" ausgewählt, wobei diese beim Remote Management in den weiteren Optionen umfassende Rechte bekommen.
Das System fragt dann nach, ob man diesen und jenen Dienst in der FW für eingehende Daten freigeben wolle, was ich, da die Dienstnamen recht kryptisch sind, testweise bejahe.
In der FW
Alle eingehenden Verbindungen blockieren: OFF
Signierter SW automatisch Verbindungen erlauben: OFF
Tarnmodus: ON
Bei den Diensten werden
ScreenSharing
RemoteLlogin
RemoteManagement grün dargestellt
Etwas unvorhersehbar ist nun die Darstellung der einzelnen Anwendungen darunter (hierzu muss man wissen, ich habe mehrfach n CleanInstall durchgeführt und die Konfiguration mehrfach auch in gleicher Weise und Reihenfolge durchgeführt und zwar jeweils als Admin), trotzdem
- variieren die angegebenen Dienste in der Liste erheblich von Mal zu Mal
- verschiedene relevante Apps, die ich auf o. g. Nachfragen des Systems ausdrücklich freigegeben habe, werden blockiert dargestellt, insbesondere "screensharingd" sticht dabei heraus
- selbst wenn ich diese nun manuell wieder freischalte, werden diese, sehr regelhaft vor allem "screensharingd" nach einem Neustart, oder auch nur nach schließen und erneutem öffnen der FW-Konfiguration, als geblocked angezeigt.
Das Problem tritt auch auf, wenn ich auf Remote Login und -Management verzichte, also nur Screensharing aktiviere.
Löschen der FW-Configuration ("...alf.plist") bringt keinen dauerhaften Erfolg.
Auf einem System habe ich es mal stabil hingekriegt, das habe ich noch als Klon, möchte dort aber verschiedene Konfigurationen der Adminnutzer ändern und befürchte, dass dann wieder alles spinnt. Zumal es keine Lösung sein kann, in einer derart zentralen Systemkonfiguration dauerhaft auf einen Klon angwiesen zu sein.
Das Verhalten ähnelt sich auf verschiedenen Rechnern unter verschiedenen OS-Versionen (Mavericks, Yosemite, El Capitan).
Ich bin durchaus kein Einzelfall: In den Apple-Support-Communities, sowie im sonstigen Internet, gibts verschiedene Threads dazu, mit z. T. obskuren und daher langfristig nicht nachhaltigen Lösungsansätzen: man soll mehrfach hintereinander SchreenSharing aktivieren / deaktivieren... etc.
Mir scheint es, dass "entweder" oder "und"
- die File-Berechtigungen bzw. die notwendigen Berechtigungen der Adminuser nicht korrekt konfiguriert sind
- Das "Freigaben"-PrefPane nicht die entsprechenden Rechte besitzt, um die FW-Config "..alf.plist" zu lesen / konfigurieren, oder falsche Vorgaben hat, die es einstellt.
Besonders ärgerlich ist, das das Problem seit Jahren besteht (siehe Support-Communities) und Apple entweder das Problem nicht lösen kann (oder will) und es auch nicht ausreichend dokumentiert (z. B. wäre es ärgerlich und letztlich aus meiner Perspektive unverständlich, unnötig, und hinsichtlich der Bedienbarkeit und Systemsicherheit kontraproduktiv, aber Apple könnte auch einfach schreiben: Wenn sie ScreenSharing etc. nutzen wollen: schalten sie die lokale FW aus; das wäre zumindes konsequent und ehrlich).
Ich habe ein höhes Sicherheitsbedürfnis. Nach meinem technischen Verständnis schließen sich eine Application-Level-Firewall und Screensharing, Remote Login (SSH) sowie Remote Management (ARD) nicht aus. Und es macht auch Sinn, in einem LAN den Server gegen ....-User basal mittels lokaler FW zusätzlich zu schützen.
Als nächstes werde ich versuchen, wenn ich "root" aktiviere und es von dort konfiguriere. Ob wohl ich das gerne vermeiden möchte, selbst wenn man root auch wieder deaktivieren kann.
Langsam verliere ich die Lust, wegen so nem ... eigentlich als banal anzusehendem Problem mich derartig zu beschäftigen. Ich weiß nicht, wie Buisiness-User das sehen. Aber wenn entweder (FW) / oder (ScreenSharing und Konsorten) Apples Sicherheitspolitik ist... dann danke...
Frustrierte Grüße