Frage zu Adminstratorrechten

Tobi1051 · 17.02.06

Hallo,

bedingt durch den Trojaner, der gestern aufgetaucht ist, keimt die Diskussion wieder auf, dass man es tunlichst lassen soll, als Administrator angemeldet zu sein. Bei Windows kann man ja standardmäßig generell alle Dateien schreiben. Bei Linux, wenn man sich als root anmeldet, ebenfalls.

Allerdings verstehe ich das Prinzip bei Mac OS X noch nicht ganz so. Ich habe Tiger. Ich melde mich als Benutzer "user" an. Folglich kann ich eigentlich auch nur Programme und Dateien öffnen, die mir gehören oder die einer Gruppe gehören, der ich angehöre. (Außer natürlich die Dateien sind für alle freigegen.) Was passiert jedoch, wenn ich in der Benutzerverwaltung "Der Benutzer darf diesen Computer verwalten" anhake. Werde ich dann Mitglied in Administratorgruppen wie root oder wheel? Bekomme ich eine niedrigere UID zugewiesen? Wenn ich root-Programme ausführen will, muss ich aber trotzdem noch sudo ausführen und ein Passwort eingeben.

Im Prinzip interessieren mich die technischen Hintergründe, die passieren, wenn ich den Schalter setze. Ich möchte bitte keine Diskussion über das für und wider des Themas. Kann mich da mal wer aufklären?

Danke!

Gruß
Tobi

Soul Monkey · 17.02.06

Wenn du für den Benutzer die Option "Der Benutzer darf diesen Computer verwalten" aktivierst, bekommt dieser User Administratoren Rechte. Dieser User ist dann Administrator aber nicht Root. Der Root User muss extra aktiviert werden (im NetInfo Manager).

Da du die Option "Der Benutzer darf diesen Computer verwalten" bei deinem(?) Benutzer aber aktivieren kannst, gibt es schon einen Admin in deinem System, bei mir gibt es nur einen Admin (mich) und da ist diese Option aktiviert und lässt sich logischerweise auch nicht deaktivieren.

Sehe für mich kein Problem darin als Admin zu arbeiten, root User bleibt aber deaktiviert.

Schomo · 17.02.06

Du bist als user einer Art Super User (su), das hat Apple genau wegen solcher Viren eingeführt. Als Administrator (root) sich einzuloggen sollte man tunlichst bleiben lassen, wenn man nicht weiss was man da macht. Als Super User kannst du zwar alles installieren was du willst, und hast fast alle Rechte, aber eben nicht alle. Soweit ich gelesen haben langen aber gerade diese Super User Rechte, um diesen Wurm zu aktivieren. Aber der Wurm verlangt die Eingabe deines Passwortes.
Ich frage mich ehrlich wie doof man sein muß, um beim Öffnen eines Bildes nach einem Passwort gefragt zu werden und dieses dann auch noch einzugeben. Ich meine jetzt keinen von euch damit.

Gruß Schomo

Rastafari · 17.02.06

Tobi1051 schrieb:
Was passiert jedoch, wenn ich in der Benutzerverwaltung "Der Benutzer darf diesen Computer verwalten" anhake.

Die wichtigste Änderung besteht darin, dass du zu einem Mitglied der besonders privilegierten Gruppe #80 (admin) wirst.

Damit erlangst du das Recht, in Bereichen Änderungen vorzunehmen, wo diese Gruppe Schreibrecht besitzt.
Das umfasst die Ordner /Applications/ (Programme) sowie die lokale /Library/.
Für Zugriffe auf den Bereich /System/ brauchst du nach wie vor ein Kennwort, da diese Zone zur Gruppe "wheel" gehört, ebenso wie die unsichtbaren Strukturen des Unix-Unterbaus.

Ausserdem erlangst du als Mitglied der Gruppe "admin" die Möglichkeit, dir nach einer Authentifizierung (erneute Kennworteingabe) vorübergehend und beschränkt dir die Rechte des Benutzers "root" anzueignen.

Das wäre mal das wesentlichste...

Werde ich dann Mitglied in Administratorgruppen wie root oder wheel?

Eine Gruppe "root" wie bei anderen Unix-Varianten gibt es bei BSD-Systemen nicht.
Die Gruppe "wheel" trägt hier die Nummer Null und ist damit quasi die "Privatgruppe" des Benutzers "root". Der Unterschied liegt aber nur im Namen, der Verwechslungen zwischen Benutzer und Gruppe vermeiden soll. Technisch gesehen ist es völlig egal, ob das nun "wheel", "apfelsaft" oder "blaukraut" heisst. Die Magie liegt in der Nummer.

Tobi1051 · 17.02.06

Unter Linux kann man ebenfalls den root-Account sperren und alles über den Befehl sudo machen. Um sudo benutzen zu können, muss man jedoch ermächtigt sein. Aber auch wenn man ermächtigt ist, arbeitet man eigentlich auf der sicheren Seite, da man bei den root-Aktionen ein Passwort eingeben muss. Mir ist momentan auch nicht bekannt, wie man das umgehen kann. Wenn das jetzt bei MacOSX genauso ist, sollte es überhaupt nicht tragisch ist, wenn man die Systemverwalter-Option angehakt hat.

Wenn es wirklich stimmt, dass bei diesem Trojaner ebenfalls ein Passwort eingegen wird, habe ich absolut kein Problem damit. Wer hier sein Passwort eintippt, ist selbst schuld.

Tobi

Tobi1051 · 17.02.06

@Rastafari

Danke, das ist doch das, was ich wissen wollte.

Tobi

moornebel · 17.02.06

Das Passwort wird bei dem TrojViraner nur bei nicht Admin-Usern abgefragt. Admin-User sehen davon nichts. So zumindest wird es überall geschrieben.

Grüsselchen
moornebel

Rastafari · 17.02.06

Tobi1051 schrieb:
Wenn es wirklich stimmt, dass bei diesem Trojaner ebenfalls ein Passwort eingegen wird, habe ich absolut kein Problem damit. Wer hier sein Passwort eintippt, ist selbst schuld.

Das Problem ist weitreichender als es aussieht.
Es wird höchste Zeit für Apple, das bereits begonnene Authorisierungskonzept mittels digitaler Signatur fertigzustellen, um Administratoren eine "sichere Applikationsumgebung" bieten zu können.

(Ich nehme an, das "Verwalten" des Computers wird unter MOX eines Tages die Existenz einer iSight Kamera oder ähnliches erfordern. Ich bin mir sicher, dass ich mir das gar nicht wünsche.)

Fabolu · 18.02.06

Hallo,

ich habe bislang immer einen Admin-Account genutzt, aber es gibt dafür eigentlich keinen wirklichen Grund. Daher wollte ich jetzt auf einen normalen Nutzer-Account wechseln. Ich habe dazu einen neuen Admin-Benutzer eingerichtet und mir die "Administration des Rechners" in den Systemeinstellungen entzogen.

Im Mac OS X-Betrieb ist das auch alles fein. Installiere ich nun Programme, werde ich kurz nach Admin-Rechten gefragt und fertig ist die Sache. Mit diesem Schritt behält man also auch selbst deutlich mehr Überblick, wann man etwas "gefährliches" machen könnte.

Ich würde aber trotzdem gerne als eingeschränkte Nutzer im Terminal "sudo" nutzen können, da ich hier gar nicht den Benutzer wechseln kann. Daher meine Frage, wie die Einstellung in sudoers (ich schätze mal, dass man in dieser Datei etwas ändern muss unter /private/etc/sudoers ) aussieht.

KayHH · 18.02.06

Moin Fabolu,

„man sudoers“ im Terminal hilft weiter. Es gibt dort auch ein paar Beispiele.

Gruss KayHH

Rastafari · 19.02.06

Fabolu schrieb:
Ich würde aber trotzdem gerne als eingeschränkte Nutzer im Terminal "sudo" nutzen können,

su Adminstratorname

Alles andere ist Murx

Suche

Suche

Frage zu Adminstratorrechten

Tobi1051

Uelzener Rambour

Soul Monkey

Gast

Schomo

Zehendlieber

Rastafari

deaktivierter Benutzer

Tobi1051

Uelzener Rambour

Tobi1051

Uelzener Rambour

moornebel

Pomme Miel

Rastafari

deaktivierter Benutzer

Fabolu

Gast

KayHH

Gast

Rastafari

deaktivierter Benutzer

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)