Benutzerverwaltung / Sicherheit

Dieses Thema im Forum "macOS & OS X" wurde erstellt von CG68, 30.12.18.

?

Arbeitest Du i.d.R. mit Admin-Rechten an Deinem Mac?

  1. Ja

    6 Stimme(n)
    60,0%
  2. Nein

    4 Stimme(n)
    40,0%
  1. CG68

    CG68 Erdapfel

    Dabei seit:
    30.12.18
    Beiträge:
    4
    Hallo zusammen,

    ein einen Anflug von Sicherheitsdenken möchte ich endlich einen Standardbenutzer an meinem Mac einrichten und fortan als Standardbenutzer arbeiten.

    Begründung: Viren, laufenden Apache-Server, sensible Daten, intensivierte Arbeit am Mac, "Permission-Hell"-Problem

    Einerseits benötige ich zwar oft Admin-Rechte, möchte mich aber gegen Angriffe von Außen (zusätzlich zu Antivirensoftware und Firewall) dadurch schützen, dass ich mich bei der normalen Arbeit als Standardbenutzer anmelde.

    Meine ersten Versuche führten dazu, dass ich ständig das Admin-Passwort eingeben musste und an meine eigenen Daten (wurden als Admin angelegt) nicht mehr herankomme bzw. diese zweimal auf der Festplatte habe ...
    Fazit, ich würde hier gerne etwas planvoller vorgehen und Benutzerkonten sinnvoll einsetzen, Zugriffsrechtsprobleme vermeiden bzw. sinnvoll festlegen.

    Es wäre schön, wenn ihr mir einige Tipps hierzu geben könntet.

    Hierbei interessiert mich in erster Linie...
    1. Wie macht ihr das (arbeitet ihr immer mit Admin-Rechten)?
    2. Wo kann ich mich zu einer sinnvollen Benutzerverwaltung, die meine Arbeit nicht völlig aushebelt schlau machen (Buch Videos)? Kennt ihr da was zu?

    Vielen Dank, für Lesen, für's Antworten und natürlich insbesondere zum Bereitstellen diese Forums.
    Alls Neuer bitte einen Hinweis, falls ich in der völlig falschen Rubrik gelandet sein sollte, die Frage schon einmal beantwortet wurde (gesucht habe ich), oder ...
     
  2. raven

    raven Golden Noble

    Dabei seit:
    12.05.12
    Beiträge:
    19.045
    Willkommen im Forum @CG68,

    Zu 1. seit 8 Jahren am Mac und nur mit dem Admin. angemeldet.
    Keine Virenschon oder Verschlimmbesserungstool

    Denke die einfachste Variante wäre,
    - neuen Nutzer anlegen (mit Adminrechten)
    - dem best. Admin. Die Rechte entziehen

    Edit: vor allem zuerst mind. ein Backup sichern
     
  3. CG68

    CG68 Erdapfel

    Dabei seit:
    30.12.18
    Beiträge:
    4
    Vielen Dank für Deine Antwort.
    Einen neuen Benutzer anlegen wäre für mich ja keine Lösung, denn ich möchte bei meiner täglichen Arbeit am Mac dem Installieren von Schadsoftware und Angriffen vorbeugen, indem ich als Standardbenutzer angemeldet bin und somit bei einer evtl. Installation einer Schadsoftware vorher nach dem Admin-Passwort gefragt werde (ist doch korrekt oder?) Nach meinem Kenntnisstand (wie gesagt, z.Zt. sehr lückenhaft) erbt ein Angreifer die Rechte, mit denen ich eingeloggt bin?!
     
  4. Scotch

    Scotch Juwel aus Kirchwerder

    Dabei seit:
    02.12.08
    Beiträge:
    6.582
    Mit jedem beliebigen Buch zur Unix-Administration.

    Das ist aber ein Layer 8 Problem und keines, welches man mit einem Admin-Account löst...
    Code:
    man chown
    man chmod

    ist dein Freund ;)

    Seit 14 Jahren am Mac und ich arbeite grundsätzlich immer mit einem "normalen" Benutzeraccount :)

    "Normale" Benutzeraccounts hat Apple aber schon seit eingen Versionen abgeschafft - bzw. den "normalen" Admin-Account - daher ist es inzwischen aus Security-Sicht relativ egal, ob man mit einem Admin- oder Benutzeraccount arbeitet (auch bei einem Admin-Account funktioniert längst nicht alles ohne explizite Eingabe des Admin-Passworts; Apple hat da im Prinzip die Linux-Zugriffssteuerung umgesetzt). Wenn man Daten mehrerer Benutzer/Accounts auf einem Rechner hat - wenn ich was von einer Apache-Installation lese gilt das dann schon mal für die verschiedenen Systemaccounts, die angelegt sind/werden - sollte man natürlich weiterhin tunlichst dafür Sorge tragen, dass die Daten der verschiedenen Accounts mit den entsprechenden Rechten versehen und getrennt bleiben. D.h. man weiss entweder sehr genau, was man tut oder ist besser nicht die ganze Zeit mit einem Admin-Account unterwegs.

    Das kommt auf den Vektor an, aber grundsätzlich "Ja".
     
  5. m4d-maNu

    m4d-maNu Pfirsichroter Sommerapfel

    Dabei seit:
    29.01.10
    Beiträge:
    12.541
    Hallo @CG68 und willkommen bei Apfeltalk.

    ich selbst habe Anfangs genau wie du mit den Admin Userrechten gearbeitet, habe aber dann mal für mich entschieden, dass ich dies nicht mehr will. Liegt aber auch dran dass ich mehre Geräte daheim habe und mittlerweile auch ein Multiuser System genutzt wird. Da meine Lebensgefährtin auch meine Geräte nutzen darf so wie ich auch Ihren nutzen darf.

    Geräte:
    • NAS als Datengrab mit extra HDD für Backups
    • Mac mini als Server
    • 2 mobile Macs
    • Stationärer Rechner mit macOS und Windows
    • Gemeinschaftliches iPad welches fürs schnelle surfen genutzt werden kann aber eigentlich nur die HomeKit Zentrale und Bilderrahmen ist.
    • diverse Persönliche iDevices

    Entsprechend gibt es bei mir nun nicht nur nun eigentlich das Multiuser System:
    • Admin
    • Mich
    • Lebensgefährtin
    Sondern auch mehre Apple IDs:
    • Admin hat eine eigene, denn dieser Verwaltet auch die Familienfreigabe von iCloud
    • Meine Apple ID für mich
    • Apple ID meiner Lebensgefährtin


    Wie es @raven schon gesagt hat, den neuen Nutzer Adminrechte geben und deinen aktuellen Nutzer die Adminrechte entziehen. Du logst dich dann ja als CG68 ein und bist Standard Nutzer und wenn die Adminrechte benötigt werden, musst du die Daten vom Admin Account eingeben.

    In Normalfall, erscheint dann nicht so oft dieses Popup beim normalen Arbeiten am Rechner.
     
  6. CG68

    CG68 Erdapfel

    Dabei seit:
    30.12.18
    Beiträge:
    4
    Danke für alle Anmerkungen und Tipps!

    Es hörte sich für mich so an, als wenn ein neu-angelegter Benutzter mit Admin-Rechten das gleiche darf, wie der standardmäßig eingerichtete Admin-Account. Sorry, dann habe ich Deine Antwort nicht richtig verstanden.
    Ich werde mich mal schlau machen, welches Account was darf und checken, ob meine installierten Programme auch in einem Standard-Account ohne Admin-Rechte gut lauffähig sind.

    PS.: Besten Dank auch für den Hinweis, dass es sich um ein "Layer 8" Problem handelt.
     
    #6 CG68, 30.12.18
    Zuletzt bearbeitet: 30.12.18
  7. cryptosteve

    cryptosteve Empire

    Dabei seit:
    16.04.17
    Beiträge:
    85
    Moin,
    ich habe meinen Mini noch nichtmal 'ne Woche und bin damit ganz neu im MacOS-Lager. Von daher möchte ich mich an dieser Stelle mal mit einer Frage um Begrifflichkeiten einklinken.

    Nach meinem Verständnis ist die normale Anmeldung noch kein Admin-Account, sondern erstmal ein gewöhnlicher User-Account. Erweiterte-/Admin-Rechte erlangt man erst durch die Eingabe seines Passwortes bzw. durch die Verwendung von sudo. Unter Linux wäre das vermutlich gleichzusetzen mit der Gruppe wheel bzw. analog eben auch mit der Verwendung von sudo.

    Liege ich mit dieser Einschätzung richtig oder hat mein angemeldeter User schon erweiterte Rechte, bevor ich dies irgendwo mit meinem Passwort bestätigt habe?
     
  8. Macbeatnik

    Macbeatnik Golden Noble

    Dabei seit:
    05.01.04
    Beiträge:
    29.927
    Unter OS X/macOS gibt es den Standardnutzer, den Admin und den Root. In den Systemeinstellungen/Benutzer ist der Admin derjenige, der den Rechner verwalten darf, der standardnutzer ist eingeschränkt. Der Root muss explizit freigeschaltet werden und darf auch alles, was der Admin nicht darf. Seit OS X/macOS 10.7 ist der Unterschied in Bezug auf Sicherheit zwischen Admin und standardnutzer nicht mehr relevant.
    Hat man unter OS X/macOS nur einen nutzeraccount ist dieser ein Admin.
     
  9. Marcel Bresink

    Marcel Bresink Zehendlieber

    Dabei seit:
    28.05.04
    Beiträge:
    4.114
    Nicht ganz. In der Terminologie von macOS wird das schon Administrator genannt. Es kann beliebig viele Administratoren geben. Diese sind dadurch gekennzeichnet, dass sie der Benutzergruppe "admin" (GID 80) angehören.

    Das ist richtig. Aber nur Administratoren haben das Recht, durch nochmaliges Eingeben ihres Kennworts in diesen privilegierten Zustand (Vorübergehendes Arbeiten als Benutzer root) zu kommen. Das ist auf der Befehlszeile auch der Hauptunterschied, den es zwischen normalen Benutzern und Administratoren immer noch gibt. Den root-Benutzer könnte man als "obersten System-Account" bezeichnen. Apple verwendet dafür in der grafischen Oberfläche einfach die Bezeichnung "system". Windows würde das "Autorität System" ("NT Authority\System") nennen.

    Nein, das auf keinen Fall.
     
    cryptosteve und doc_holleday gefällt das.
  10. CG68

    CG68 Erdapfel

    Dabei seit:
    30.12.18
    Beiträge:
    4
    Besten Dank noch einmal für alle Antworten.
    Auch cryptosteve liefert weitere Stichworte mit denen ich mich zunächst einmal befassen muss (Linux, sudo, Dateirechte, der Mac Terminologie , vgl. Post von Marcel) usw.
    Die Notwendigkeit, die Nutzungsrechte genauer zu verstehen, entstand übrigens bei der Installation von node.js, um LESS-Dateien serverseitig transpilieren zu können. Ich möchte hier kein neues Fass aufmachen (phpstorm und less sind hier nicht das Thema), sondern deutlich machen, worum es mir ging bzw. geht. Nach zahlreichen Versuchen konnte ich node.js (serverseitig) nicht installieren (Permission-Error).
    Bevor ich mir selbst root-Rechte gebe und Veränderungen vornehme, die sich dann ggf. nur mittels komplettem Neuaufsetzen des Mac OS wieder zurücksetzen lassen, (vgl. https://support.apple.com/de-de/HT204012) muss ich wissen, welche Konsequenzen das hat. Zumal erscheint es mir extrem, dass irgendein Plugin (hier der serverseitige LESS-Compiler von node.js) in den versteckten Ordern des MAC-OS "rumfummelt". Die Lösung meines Ausgangsproblems (Less-Compiler installieren) besteht zunächst für mich also darin, LESS client-seitig zu verwenden.
     
  11. cryptosteve

    cryptosteve Empire

    Dabei seit:
    16.04.17
    Beiträge:
    85
    Ok. Danke für Deine genauen Ausführungen.

    Das heisst für mich im Umkehrschluss folgendes: Es lohnt sich, meinem (im MacOS-Terminus) Admin-User ein durchaus hochwertiges Passwort zu verpassen und bei jeder Art von Passwortabfragen genau darauf zu achten, dass sie auch mit gutem Grund und vom System selbst kommen. Dann habe ich aber auch keine Nachteile im Vergleich zum Standardbenutzer ohne jede Rechte, der dann aber bei jeder besten Gelegenheit eh zum Admin (oder sogar root) wird. MacOS handelt das dann ziemlich analog zu Ubuntu/Mint & Co auf Linuxseite.