[10.10 Yosemite] Admin User - Arbeitsuser - Frage zu Dateirechten

[leooo]

Hallo,

bis dato hab ich auf meinen Mac's immer als Admin gearbeitet. Ja ich weiß Schande auf mein Haupt. Nun möchte ich das auf meinem neuen Mac ändern. Ich werde also einen Admin Account anlegen und einen weiteren User X unter dem ich dann immer arbeiten werde.

Kann es beim einspielen von meinen alten Daten zu Problemen kommen, da diese ja als Admin angelegt worden sind?

Freue mich auf Eure Antworten.

Beste Grüße, leooo

 

[Marcel Bresink]

Seit Mac OS X 10.7 sind die Dateirechte des Betriebssystems so eingestellt ist, dass es nicht sicherer ist, wenn man nicht als Admin arbeitet. Arbeiten als Admin wird von Apple als Normalfall angesehen.

Einzige Ausnahme wären Sicherheitslücken im Betriebssystem selbst. Tatsächlich gab es so einen Fehler (CVE-2013-1775), der aber in OS X 10.8.5 behoben wurde.

Kann es beim einspielen von meinen alten Daten zu Problemen kommen, da diese ja als Admin angelegt worden sind?

Kommt darauf an, was mit "Einspielen" gemeint ist. Bei der Übernahme von Daten fremder Computer kann es immer zu Problemen kommen, da es sich um unterschiedliche Benutzer-Accounts handelt. Die Frage, ob man Admin ist, spielt dabei keine Rolle. Das "Einspielen" über den OS X-Migrationsassistenten sollte diese Probleme aber lösen.

 

[MACaerer]

Daten von einem Benutzerkonto auf das andere zu übertragen geht wegen der standardmäßig gesetzten Zugriffsrechte nicht so ohne weiteres. Du musst dem anderen Benutzerkonto die entsprechenden Zugriffsrechte erteilen (im Informationsdialog), bzw. am besten du gibst "everone" Lesen und Schreibrechte. Nach dem Transfer kannst du ja die Rechte auf dem neuen Konto so einstellen wie beliebt, also "Ich" => Lesen & Schreiben sowie "staff" und "everone" auf nur lesen.

MACaerer

 

[Marcel Bresink]

Du musst dem anderen Benutzerkonto die entsprechenden Zugriffsrechte erteilen (im Informationsdialog)

Davon ist sehr, sehr dringend abzuraten. Wenn die Daten von der Platte eines fremden Rechners kommen, kann man aber vorübergehend einfach die Einstellung "Eigentümer auf diesem Volume ignorieren" verwenden.

 

[raven]

Seit Mac OS X 10.7 sind die Dateirechte des Betriebssystems so eingestellt ist, dass es nicht sicherer ist, wenn man nicht als Admin arbeitet. Arbeiten als Admin wird von Apple als Normalfall angesehen.

Danke dir für den Beitrag. genau so arbeite ich nähmlich.

 

[Rastafari]

Seit Mac OS X 10.7 sind die Dateirechte des Betriebssystems so eingestellt ist, dass es nicht sicherer ist, wenn man nicht als Admin arbeitet.

Protest. Admins sind nach wie vor viel zu mächtig, um damit sorgenfrei durchs Netz zu laufen.

Arbeiten als Admin wird von Apple als Normalfall angesehen.

Strolche lieben den Normalfall über alles.

 

[raven]

Protest. Admins sind nach wie vor viel zu mächtig, um damit sorgenfrei durchs Netz zu laufen.

Kannst du mir es näher erklären warum? Wir haben nun hier zwei User _Fachkräfte_ die gegentelige Meinungen haben. Und ich würde zu gerne wissen, was nun richtig oder richtiger ist. Wäre nett, wenn man das heir weiter erklären könnte. Danke

 

[Rastafari]

Kannst du mir es näher erklären warum?

Weil eine Rechteausweitung vom "gewöhnlichen" Admin zu root unter den werksseitigen Vorgabeeinstellungen des Systems der reinste Sonntagsspaziergang ist.
Admins dürfen (bzw können, ohne zusätzliche Authentifizierung) u.a. folgendes tun:
- Systemzeit ändern (klingt harmlos, ist aber fatal)
- Beliebige Dateizugriffsrechte modifizieren
- Hintergrundprozesse starten, die sich Privilegien von anderen, legitimen Aktionen aneignen können
- Kritische Freigabedienste (auch Fernkontrolle) nach Belieben starten, stoppen und modifizieren
- Beliebige Datenträger (auch TM-Backups) löschen oder mit Verschlüsselung unzugänglich machen
- Startvolume-Einstellungen modifizieren und damit beim nächsten Reboot zB einen unentdeckbaren Rootkit etablieren
- Das Wiederherstellungs- und Basisinstallationssystem (aka "Recovery HD") beliebig modifizieren und damit eine Infektion mit Schadsoftware auch in frisch installierter Systemsoftware nahezu vollständig persistent machen.
- und etliches mehr...

 

[raven]

@Rastafari Besten dank für deine auführliche Beschreibung.

Aber:
Die Admins müssen dafür was machen, es macht nichst automatisch. Richtig? Und in dem Fall gebe ich dir recht, wenn jemand nicht weiss was er tut, dann ist/kann es fatal sein.

Wenn aber der Admin das alles nicht manuell macht geschieht auch nichts?

• Richtig?
• Falsch?

- Startvolume-Einstellungen modifizieren und damit beim nächsten Reboot zB einen unentdeckbaren Rootkit etablieren
- Das Wiederherstellungs- und Basisinstallationssystem (aka "Recovery HD") beliebig modifizieren und damit eine Infektion mit Schadsoftware auch in frisch installierter Systemsoftware nahezu vollständig persistent machen.

Kann das passieren ohne Zutun vom Admin, oder was müsste er machen, damit da was passiert?
Nicht, dass ich das versuchen wollte, aber auschliessen, dasss es passieren kann.

 

[Rastafari]

Wenn aber der Admin das alles nicht manuell macht geschieht auch nichts?

Alles was du manuell tun kannst, lässt sich auch skripten und automatisieren. Egal ob mit, oder ohne dein Wissen.

 

[raven]

Alles was du manuell tun kannst, lässt sich auch skripten und automatisieren. Egal ob mit, oder ohne dein Wissen.

Und das skripten würde wer machen? ich bin überigens alleine am System und niemand sonst.

 

[Rastafari]

ich bin überigens alleine am System und niemand sonst.

Du benutzt ausschliesslich Software von Apple und solche, die du selbst geschrieben hast?
Du arbeitest niemals mit fremden Daten oder Medien?
Du surfst mit einem Browser, in dem nicht regelmässig alle paar Tage neue Sicherheitslecks entdeckt werden?

 

[raven]

Du benutzt ausschliesslich Software von Apple und solche, die du selbst geschrieben hast?

Auf meinen Mac sind ausser Pixelmator den ich nicht nutze noch Office 2011 für Mac, Firefox und Java 8-45 installiert.

Du arbeitest niemals mit fremden Daten oder Medien?

Mit fremden Daten arbeite ich nicht. Medien eigentlich auch nicht.

Du surfst mit einem Browser, in dem nicht regelmässig alle paar Tage neue Sicherheitslecks entdeckt werden?

Hauptsächlich nutze ich Firefox aktuell 38.0.5

Und ich klicke nicht alles an was blinkt oder bunt ist. WA, FB & Co habe ich nicht.

 

[Rastafari]

Java 8-45 installiert.

Das dient welchem Zweck, wo du doch scheinbar gar keine Java-basierten Apps nutzen willst?
Dir ist bisher entgangen, dass ausgerechnet eine Java-RE mit zu den löchrigsten Einfallstoren für Schadsoftware gehört, die man sich überhaupt selbst auf den Rechner holen kann? (absolut auf Augenhöhe mit Flash oder sonstigem Adobe-Murks)

Mit fremden Daten arbeite ich nicht.

Woraus denkst du besteht das ganze Web?
Und wie schirmst du deinen Posteingang dagegen ab? Wie verhinderst du denn, dass dir jemand zB eine Bilddatei als Anhang zum Spam schickt, die durch ein aktuell bekanntes und bis dato ungefixtes Sicherheitsleck eine Ausführung von angehängtem Code erlaubt, und die evtl schon allein durch die Anzeige eines Vorschaubildes einschlägt, oder durch eine im Hintergrund stattfindende Indizierung?
(Wie zB bei TIFF oder ZIP schon mehrfach geschehen)

Hauptsächlich nutze ich Firefox aktuell 38.0.5

Firefox ist ein relativ junger Browser - hältst du so hohe Versionsnummern für ein Qualitätsmerkmal? Da kann man auch andere Schlüsse daraus ziehen.

Und ich klicke nicht alles an was blinkt oder bunt ist.

Allgegenwärtige, z.T. nicht mal vermeidbare Symbol- und Vorschaudarstellungen, QuickLook, Spotlight oder andere in deinem Namen handelnde Systemdienste erledigen das gerne für dich. Auch wenn dir das nicht bewusst ist.
Selbst so etwas profanes wie eine Schriftendatei (wird auch standardmässig automatisch genutzt) kann ausführbaren Code beinhalten, der ohne dein Wissen und ohne jede Interaktion aktiv werden kann, wenns dumm läuft - und in der Vergangenheit ist das bereits mehrfach ganz genau so dumm gelaufen. Es wird immer wieder passieren, verlass dich drauf.
(Genaugenommen bestehen zB PS-Typ1 und OTF Fonts sogar fast ausschliesslich aus ausführbarem Code - ganz offiziell und gewollt. Der kleinste Fehler im dazugehörigen Interpreter, ein veröffentlichter "0-day" Exploit dazu, und rumms, das Netz "brennt" innerhalb von Minuten oder Stunden lichterloh.)

Als Admin seine täglichen Routineaufgaben zu erledigen....
...das ist etwa so wie sich im Auto durch den Sicherheitsgurt "vor jeder Gefahr geschützt" zu wähnen, obwohl du ihn noch nicht mal angelegt hast. Doppelnaiv - und grob fahrlässig. Daran ändern weder 2, noch 20, noch 200 rundum eingebaute Airbags rein gar nichts.

 

[raven]

@Rastafari Danke dir für deine ausführliche Schulderung. Zu Java fogendes. Musste ich damals haben, um in die Firma (KV) einzuloggen. Da ich nicht % weiss wie man 1d00a sauber deinstalliert ging ich den Weg der Updates. besseer aktuell als eine veraltete Version. Es gibt eine Anwendung von meinem Provider die ich alle paar Moanet man nutze, das sit ein Speedtest. dazu muss ich aber jedes mal die Erlabnis erteilen.

Mein Posteingang: Ich bekome selten eine Mail. Die Spam bekomme ich keine ausser in den letzen tagen auf die eine Adresse. Da ging dann gleich aus dem Kundenzenter einen Spamreport an meinen Provider, seither ist da Ruhe. War nur Text keine Links keine Bilder nichts drin. Wurde gelöscht, papierkorb geleert. Würde ich auf die Adresse noch eine Spam erhalten, würde ich die canceln. Bilder bekomme ich keine.

Zu Firefox kann ic nicht sagen wie jung oder alt der ist. Aber die versionen gingen zu beginn als ich den Installierte nicht von15, 16,17 bis 38. Dazu kann ich nicht beitragen, weil ich es einfach nicht weiss.

Spotlight oder andere in deinem Namen handelnde Systemdienste erledigen das gerne für dich. Auch wenn dir das nicht bewusst ist.

Nein das ist/war mir bis dato nicht bewusst. Spotlght nutze ich nicht mal.
Du hast möglicherweise recht, ich kann es nicht beurteilen. Dann sei die Frage erlaubt, weshalb @Marcel Bresink da ganz anderer Meinung ist wie du. So habe ich es jedenfalls verstanden. Man möge mich korrigieren, sollte ich das falsch verstehen.

Und ja ich würde gerne noch andere Meinungen zu dem Thema lesen. Soll nicht heissen, dass ich dir misstraue. deine Kenntnisse übersteigen weit die von meinen. Aber seit 3 jahren arbeite ich nun so am iMac und seit 4 Jahren am MBP. Wobei am MBP sehr wenig. Dort werden meine beiden Iphones, und das ipad synchronisiert. Lokal über iTunes mit dem Kabel. Und die dateien die sehr wichtig sind werden dort auch nochmals abgespeichert.

Nun weiss ich im Moment nicht wie ich vorgehen sollte. Einen neuen User mit Adminrechten anlegen und dann mit dem die Adminrechte vom jetzigen Administartor (mein Name) entziehen? So sehe ich den Weg, um weiter an allen Dateien zu arbeiten. Nur verschlimmbessern möchte ich nichts.

Eigentlich benötigte ich noch einen 2. User, damit ich das iPad von meinem Mann auch lokal synchronisieren könnte. Die Arbeit liegt eh nur bei mir, er hat eine eigen AppleID. Bewirtschaftet wird alles von mir.

 

[Rastafari]

Spotlght nutze ich nicht mal.

Selbstverständlich tust du das - auch wenn du selbst niemals bewusst eines der Eingabefelder mit Suchfunktion in irgendeinem Programm verwendest. Oder willst du mir weismachen, du benutzt noch nicht mal den Finder oder das Dock?
(oops... )

 

[raven]

Doch natürlich benutze ich den Finder und aus dem Dock starte ich die Programme.
Was ?

(oops... )

Du weisst, dass du viel mehr Kenntnisse hast als ich je erwerben werde ja?
Deshalb wie gehe ich jetzt am besten vor?

 

[Rastafari]

Deshalb wie gehe ich jetzt am besten vor?

Nutze die Möglichkeiten, die das System zur Steigerung der Gesamtsicherheit bereits bereit stellt.
Vor allem dort, wo das einen nur geringfügigen Verzicht auf Bequemlichkeiten bedeutet.
Nicht weniger - aber auch nicht mehr. Dann passt das im grossen Ganzen schon.

 

[raven]

Nutze die Möglichkeiten, die das System zur Steigerung der Gesamtsicherheit bereits bereit stellt.
Vor allem dort, wo das einen nur geringfügigen Verzicht auf Bequemlichkeiten bedeutet.
Nicht weniger - aber auch nicht mehr. Dann passt das im grossen Ganzen schon.

Heisst was?
Auf Office bin ich angewiesen. Und im Moment arbeite ich wie schon erwähnt als Admin. Und genau das sollte ich nach deiner Aussage nicht mehr machen. Die ganzen daten mit denen ich aber arbeite sind nur mit dem Account erstellt, inkl das Backup selbstverständlich. Wichtige Dateien werden zusätzlich noch gesichert. Kalender sind in der Cloud, damit ich die termine von mir und meinem Mann bewirtschaften kann.

Wenn du mit der Bequemlichkeit Firefox meinst, da kann ich ich umstellen und Safari nehmen. Aber der Rest?
Wie gehe ich vor, um weiter meine daten zu bewirtschaften aber mit einem User-Account ?

 

[Marcel Bresink]

Weil eine Rechteausweitung vom "gewöhnlichen" Admin zu root unter den werksseitigen Vorgabeeinstellungen des Systems der reinste Sonntagsspaziergang ist.

Nun ja. Diese Werkseinstellung kann man ändern. Hierzu "Systemeinstellungen > Sicherheit > Privatsphäre > Weitere Optionen > Administratorpasswort für den Zugriff auf systemweite Einstellungen verlangen" ankreuzen. Bezüglich der Rechteausweitung sollte dann zwischen der Anmeldung als Admin und Nicht-Admin kein wesentlicher Unterschied mehr bestehen.

Es besteht allerdings grundsätzlich das Problem, dass jede Authentifizierung als Administrator (auch durch einen Nicht-Admin) bestimmte Sperren der grafischen Oberfläche standardmäßg 300 Sekunden lang abschaltet. D.h. alleine durch die Tatsache, dass sich ein Admin authentifiziert, kann es 5 Minuten lang zu einer Situation mit verminderter Sicherheit kommen. Das "Arbeiten als Admin" an sich ist dabei weniger das Problem, aber der dazu nötige Anmeldevorgang.