1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. In diesem Bereich findet ihr Tutorials und Reviews. Die Forenrechte zur Erstellung neuer Themen sind hier eingeschränkt, da Problemdiskussionen bitte in den übrigen Forenbereichen auf Apfeltalk zu führen sind. Wer ein Tutorial oder Review einstellen möchte, kann im Unterforum "Einreichung neuer Tutorials" ein neues Thema erstellen. Die Moderatoren verschieben den Beitrag dann in den passenden Bereich.
    Information ausblenden

[OS X] Tutorial: System-Sicherheit erhöhen

Dieses Thema im Forum "Software-Tutorials" wurde erstellt von Cyrics, 18.03.06.

  1. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    Das Tutorial ist über ein Jahr alt und teilweise nicht mehr aktuell und mit dem Erscheinen von Leopard endgültig veraltet.

    Hallo,

    ich wollte ein paar vielleicht hilfreiche Worte zum Thema System-Sicherheit verlieren. OS X ist ansich ein sicheres Konstrukt, welches aber hier und da noch sicherer gestaltet werden kann. Es ist prinzipiell nach der Installation so ausgerichtet, dass es teilweise sicher ist. Bei aktiven Versuchen, dass System zu knacken, geht OS X dann aber ein. Dies lässt sich mit ein paar kurzen Handgriffen bereits erledigen. Die Möglichkeiten sind da unbegrenzt bis hin zur puren Paranoia. Diesen extremen Menschen empfehle ich die Airport-Card aus ihren Mac heraus zu reissen und zu verbrennen. Der Mac gehört dann eingeschloßen in ein Acryl-Gefäß welches Alarm gesichert ist. Den Gedanken können diese paranoiden Menschen dann gerne weiterspinnen.
    Für alle anderen ein kleiner kurzer Überblick über die Teilbereiche:

    1. Grundsätzliches zu Beginn
    2. Benutzereinstellungn
    3. Anmelde-Einstellungen
    4. Sicherheits-Einstellungen und Verschlüsselungen
    5. System-Aktualisierungen
    6. Schlüsselbund
    7. Classic OS
    8. Bluetooth
    9. Netzwerkdienste
    10. Verzeichnisdienste
    11. Firewall-Einstellungen
    12. Safari und Co.
    13. Zum Ende
    14. Links

    1. Grundsätzliches zu Beginn:
    Es ist nicht möglich ein absolut 100%ig sicheres System zu schaffen! Man kann es aber jedem Angreifer egal ob physikalischer oder netzwerk-technischer Natur verdammt schwer machen. Je mehr Zeit dieser Angreifer aufbringen muss, desto unattraktiver wird das angegriffene Objekt. Dies sollte sich jeder vorher klar machen. Ich distanziere mich dann von jeglichen Ansprüchen, die jemand mir gegenüber geltend machen will, wenn er nicht mehr an seine Daten kommt oder es mit der Sicherheit übertrieben hatte. Menschenverstand sollte bei diesem Thema einfach angeschaltet und auch benutzt werden. Danke
    Prinzipiell kann man sagen, dass man netzwerk-technische Angreifer durch das Herausziehen alle Netzwerk-Komponenten los ist. Angreifer die physikalischen Zugriff auf das Objekt haben, kann man es sehr schwer bis unmöglich machen an private Daten oder Benutzereinstellungen zu gelangen, jedoch kann man nicht verhindern, dass sie die Festplatte ausbauen/austauschen/formatieren lassen. Dies ist prinzipiell nicht verhinderbar und man sollte selber auch froh sein, dass diese Möglichkeit dann immer noch existiert!
    Dies alles bezieht sich hier also eher auf Privatanwender. Firmenrechner, wo zig unbekannte Menschen Zugriff haben, können nur teil-gesichert werden durch einige Tipps.

    Passwortüberlegeungen:
    Was sich mir schon manches für Passwörter auftaten, ist wirklich erschreckend. Daher sei dieser Absatz hier noch einmal vielen Menschen da draußen ans Herz gelegt. Man überlege sich bitte ein sicheres Passwort. Es sollte so schwer sein, dass man selber schon Probleme hat es sich zu merken. Als guter alter Tipp sei hier angebracht, dass man Passwörter auch ruhig auf einen Zettel schreiben kann und sich an den Computer kleben kann, sofern man seinen Mitbewohnern vertraut. In Firmennetzen und anderen öffentlichen Orten sollte man dies bitte absolut unterlassen!
    Unix-Systeme schenken einem schon so viel Sicherheit, wie es Windows niemals kann. Diese sollte man auch nicht kaputt machen durch leicht zu erratende Passwörter!
    Als Passwort-Überlegungen bieten sich folgende Optionen:
    • Gross- und Kleinschreibung
    • zusätzliche Zahlen-Kombinationen
    • Sonderzeichen-Verwendungen
    • Hacker-Sprache
    • Satz-Konstellationen
    • mehr als 12 Zeichen (am besten mehr als 20 Zeichen)
    • Passwort vom Passwort-Assistenten kreieren lassen

    Überlegen Sie sich einen Satz. Als Beispiel: Wir lieben Apfeltalk.
    Nun ändern wir es nach oben genannten Punkten um: :wI4!l0Ve&4pFe/!4lK
    Der Passwort-Assistent würde es als ziemlich sicher einschätzen. Das ist unser Ziel. Der Fantasie sind keine Grenzen gesetzt. Man sollte variieren und keinen Algorithmus erkennen lassen.

    2. Benutzereinstellungen:
    Prinzipiell: je weniger Benutzer, desto sicherer!

    Nach diesem Motto sollte man dann folgende Konstellation anstreben: einen Verwalter- und einen Benutzer-Account.
    Der Verwalter: dieser ist zur Verwaltung des Rechners befähigt.
    Der Benutzer: darf Anwendungen etc. ausführen und hat nur beschränkte Rechte in der globalen Datenstruktur

    Daher bietet sich dann folgendes an:
    Man geht zu Systemeinstellungen -> Benutzer.
    Man erzeugt durch "+" einen weiteren Benutzer. Sein Kurzname sollte kurz, bündig und nicht so leicht zu erraten sein, wie ntadmin, admin, etc.
    "Name" ist dann nur der Anzeige-Name sozusagen. Man sollte sich ein nicht leicht zu erratendes Passwort hier überlegen. Von der Merkhilfe sollte man hier Abstand nehmen, da diese oft eine Steilvorlage für das Erraten des Passwortes ist. Es kann jedoch ruhig das selbe Passwort bei Verwalter und Benutzer sein, wenn man der einzige Benutzer am Computer ist. Sollten weitere Benutzer darauf noch Zugriff haben, sollte man gleich von Anfang an ein anderes Passwort für den Verwalter nehmen als für den eigenen Benutzer.
    Ein Häckchen muss dann noch bei "der Benutzer darf diesen Computer verwalten" gemacht werden.

    [​IMG]

    Ich hab meinen Verwalter-Account Verwalter genannt und arbeite unter meinem Benutzer-Account. Dies erreicht man nachdem man den Verwalter-Account erzeugt hat. Dann kann man nämlich seinen Benutzer-Account das Häckchen entfernen bei "Der Benutzer darf diesen Computer verwalten". Es muss immer einen Admin bei OSX geben.
    Verwaltungswerkzeuge wie OnyX arbeiten nicht mehr unter einem normalen Benutzer-Account. Diese können nur als Adminstrator gestartet werden.

    3. Anmelde-Einstellungen
    Im selben Fenster bei der Benutzer-Verwaltung findet man die Anmelde-Optionen. Wenn man diese anklickt, landet man bei den Einstellungen.
    Hier sollte nun kein Häckchen drin sein. Ich bin gegen schnellen und damit unsicheren Benutzer-Wechsel, automatisches unsicheres anmelden und auch gegen die Auswahlen Neustart, Ruhezustand und Ausschalten beim Login. Die Kennwort-Merkhilfe blenden wir hier am besten auch gleich komplett aus.
    Wir ändern dann am besten noch bei "Anmeldefenster zeigt an" von "Liste und Benutzer" zu "Name und Passwort". So muss der Angreifer erst einmal die Benutzernamen wissen...

    root-Login
    Dieser sollte grundsätzlich auf jeden System deaktiviert sein! Jeder überprüfe das bitte bei sich. Dazu geht man zu Dienstprogrammen -> NetInfo Manager. Dort kann man sich entwender beim Menüpunkt Sicherheit -> "Identifizieren" oder auch indem man auf das Schloß klickt.
    Hat man die nötigen Rechte kann man beim Menüpunkt Sicherheit den root-Benutzer deaktivieren, falls dieser auf aktiv steht. Sollte er inaktiv sein, dann kann man ihn dort nur aktivieren, und das tun wir nicht!

    Hier kann man auch gleich im NetInfo-Manager das ausgeschriebene Benutzer-Passwort entfernen. Dazu wechselt man nachdem man sich identifiziert hat in der Spalten-Ansicht zu "users". Man sollte prinzipiell vorsichtig sein mit dem Bearbeiten und Löschen von Informationen im NIM! Hier kann man das Passwort welches in Klarsicht mit Sternchen in der Tabelle beim jeweiligen Benutzer steht, entfernen. Dies bitte nur bei normalen Benutzerns machen. Dazu geht man zum jeweiligen Benutzer. Z.B. dem Verwalter-Account (die Liste ist nach Kurznamen sortiert).
    Wenn man diesen anklickt, taucht die Listenübersicht unten auf und man markiert die Passwort-Zeile mit den Sternchen und entfernt diese.

    [​IMG]

    Dann sichert man die Einstellungen und übernimmt diese.
    Dieser Eingriff hat bei mir keine Probleme hervor gerufen. Ich denke es ist eher das berücktigte Überbleibsel, welches immer übrig bleibt, wenn ein Account und sein Passwort neu erstellten wurden. Womit das Passwort in Klarsicht rückkonvertiert werden kann mit dem richtigen Algorithmus (hier rate ich einfach nur wild)

    Ich verwende OnyX für verwaltende Aktionen unter OSX. Es ist Free-Ware und bietet Möglichkeiten bequem die Sicherheit ein bisschen zu erweitern.
    Zur Sicherheit zählt bei mir auch ein warnender Hinweis beim Anmelde-Bildschirm! Ich hab aus der Linux- und Netzwerk-Welt gelernt, dass ein Warn-Hinweis des Betretens von privatem Bereichen ausdrücklich erwähnt werden muss, um den Angreifer zu signalisieren, dass dies nicht erwünscht ist und auch verfolgt wird. Unter OnyX können wir unter dem Punkt Anpassen -> Login ein Häckchen machen, dass der Text im Login Windows angezeigt wird.
    Hier gehört nun ein Text hin, der vor dem Versuch des Einbruches in private Daten warnt aufgezeichnet und gegebenenfalls nach geltenen Recht zur Anzeige gebracht werden kann. Der Angreifer ist damit gewarnt und muss mit den Konsequenzen leben. Andernfalls kann es heissen, dass er ja nicht wusste, dass er nicht in den Account rein darf.

    Bei OnxY werden wir dann auch noch gleich die beiden Häckchen weiter unten aktivieren bei Neustart/Abmelden/Aussschalten-Befehle bei Login und Ruhezustand. Dadurch können keine ungesicherten Daten verloren gehen! Es bleibt jedoch immer noch die böswillige Möglichkeit den Power-Knopf wenige Sekunden gedrückt zu halten...

    4. Sicherheitseinstellungen und Verschlüsselungen
    Für diesen Punkt gehen wir in Systemeinstellungen -> Sicherheit.
    Hier legen wir ein Hauptkennwort fest, falls dieses noch nicht getan wurde. Wie der Name schon sagt, ist dies ein sehr großes mächtiges Kennwort. Denn mit diesem kann man die Benutzer und Verwalter-Passwörter zurücksetzen lassen indem man die Installations-DVD und deren Menü nutzt.
    Nachdem das Hauptkennwort festgelegt wurde, ist die Überlegung angebracht, ob man FileVault aktivieren möchte. FileVault ist eine Verschlüsselung der persönlichen Daten, indem das Benutzer-Verzeichnis als verschlüsseltes Image gesichert wird. Der Nachteil des Ganzen: es brauch ein bisschen mehr Platz und es gibt es den Speicherplatz von gelöschten Daten erst dann frei, wenn man sich abmeldet oder neustartet. Ansonsten hilft nur sicheres entfernen beim Papierkorb. Da werden die Daten sofort freigegeben, was seine Zeit dauert. Wenn man empfindliche Daten besitzt, sollte man diese per FileVault sichern. Sind die Daten kleiner, reicht auch ein kleines angelegtes verschlüsseltes Images. Das FileVault-Image liegt dann im Verzeichnis /Users/.Benutzername/Benutzername.sparseimage.
    Als nächstes sollte ein Häckchen bei "Kennwort verlangen nach Beenden des Ruhezustandes", "Automatisches Anmelden deaktivieren" (global), "Kennwort verlangen für die Freigabe ..." , "Sicheren virtuellen Speicher verwenden".

    [​IMG]

    Da ich schon das Tutorial von yinthaar verlinkt hatte, möchte ich noch gleich andere Möglichkeiten aufzählen, die sich für Verschlüsselungen und Schutz bieten.
    Die Verschlüsselung von openssl ist nutzbar. Dies erklär ich ein andermal.
    Dann existiert der GNU Privacy Guard. Im gleichen Atemzug sei PGP Mail noch genannt, welches in der Hinsicht das nach der GNU-License freiverfügbare PGP kostenpflichtig mit professionellen Support vertreibt.
    Eine weitere Schutzmaßnahme ist das setzen eines Firmware-Passwortes. Jedoch ist dies nur sehr bedingt sicher, und wie ich hier schon schrieb, lässt es sich auch relativ leicht ausheben. Alle Verschlüsselungen verhindern aber unerlaubten Zugriff durch den Firewire-Modus oder andere Kopier-Aktionen. Es bleibt nur eine verschlüsselte Datei, die erstmal entschlüsselt werden muss.

    5. Software-Aktualisierungen
    So ähnlich wichtig wie das Passwort! Jedes Programm, jedes Betriebssystem, jeder Daemon hat Sicherheitslücken und Fehler. Diese werden jedoch erst durch intensiven Gebrauch klar und vom Hersteller gestopft. Jedoch können diese Löcher auch nur gestopft werden, wenn auch die Möglichkeit für eine Aktualisierung gegeben ist.
    Daher gehen wir in Systemeinstellungen -> Software-Aktualisierung. Hier machen wir ein Häckchen bei Nach Updates suchen und stellen die Suche auf Täglich.
    Dazu sollte man bei allen Anwendungen wie z.B. MS Office 2004 darauf achten, dass die Aktualisierung aktiviert ist. Oft liegt es nicht am Betriebssystem, sondern an zusätzlichen Applikationen, die erst die Löcher ins System reissen durch schlechte Programmierung. Hier mache ich aber MS keinen Vorwurf, sondern brauchte nur eine Applikationsnamen als Beispiel. Also bitte nicht in den falschen Hals kriegen.

    6. Schlüsselbund
    Der Schlüsselbund... ein mächtiges und schützenswertes Tool! Hier sind alle gespeicherten Passwörter verwart und können auch mit dem richtigen Zugriff ausgelesen werden können.
    Finden tut man dieses Werkzeuge unter Dienstprogramme -> Schlüsselbund. Hier gehen wir erst einmal in die Einstellungen und aktivieren den "Status in der Menüleiste anzeigen". Hier sehen wir ob der Schlüsselbund geschützt oder offen ist. Außerdem können wir so schnell den Schreibtisch sperren. Alternativ können wir auch den Bildschirmschoner in eine der aktiven Ecken von Expose platzieren.
    Desweiteren können wir unter Erste Hilfe weitere Maßnahmen ergriffen werden. Jedoch hab ich hier nur das Häckchen beim dritten Punkt entfernt.
    Wichtiger erschien mir dagegen, nachdem wir die Einstellungen geschloßen haben, auf Bearbeiten -> Einstellungen für Schlüsselbund-Anmeldungen ändern zu gehen.

    [​IMG]

    Es ist nämlich standard-mäßig aktiviert, dass der Schlüsselbund während man angemeldet ist, nicht geschloßen wird, trotz Inaktivität! Ich hab es auf 5 Minuten Inaktivtät gesetzt. Nun wird man von manchen Programmen auch erst gefragt, ob sie ausgeführt oder auf bestimmte Schlüssel zugreifen dürfen, wenn man den Schlüsselbund längere Zeit nicht verwendet hat. Genauso muss der Punkt Schlüsselbund "Während des Ruhezustandes schützten" aktiviert sein.

    7. Classic OS
    Ein delikates Thema... hier sollte nach dem Motto agiert werden: If you don't use it, remove it!
    Ich selber nutze es aber, und brauche es auch für ein paar ältere Anwendungen. Mir sind keine gravierenden Sicherheitslücken bekannt. In der System-Sicherheit ist es aber immer am klügsten das zu administrierende System so klein wie möglich zu halten. Um Classic zu entfernen brauch es jedoch etwas Fingerspitzen-Gefühl...
    um alles komplett von Classic zu löschen, reichen folgende Befehle:
    sudo rm -rf /System/Library/PreferencesPanes/Classic.prefpane/
    rm -rf /System/Library/Classic/
    rm -rf /System/Library/Core Services/Classic Startup.app/
    rm -rf /System/Library/User Template/English.lproj/Deskop (Mac OS 9)/
    rm -rf /Systemordner/
    rm -rf /Mac OS 9 Files/
    rm -rf /Applications(Mac OS 9)/

    Um sudo ausführen zu können muss man als Admin angemeldet sein, da man sonst nicht in der /etc/sudo drin steht. Die Applikationen von OS 9 lassen sich auch bequem per Terminal löschen. Jedoch muss man den Systemordner schon mit etwas mehr Nachdruck per Terminal und root-Rechten entgegen treten.

    8. Bluetooth
    Dies ist ein Thema für sich.... Bluetooth ist bequem, eigentlich sehr nützlich und nicht ganz sicher. Es bietet zig Möglichkeiten mit verbundenen Rechnern schei**e zu bauen. Daher stell ich hier die Einstellungen etwas schärfer.
    Unter Systemeinstellungen -> Bluetooth kann man unter Einstellungen erstmal Bluetooth deaktivieren, falls dies noch nicht ist. Dann lassen wir uns den Status von Bluetooth in der Menüleiste anzeigen. Wir nehme auch das Häckchen bei "Sichtbar" heraus. So sollte nur ein Häckchen auf der Seite drin sein.
    Unter Geräte kann man die derzeitig verfügbaren Geräte sehen, wenn Bluetooth aktiviert ist. Unter Sharing sollte man die Dateiübertragung aussschalten und verschlüsseln. Indem man das Häckchen bei "Ein" heraus nimmt und eines beim Schlüssel setzt. Alle anderen Häckchen sollten entfernt werden oder nur die Verschlüsselung aktiviert sein. Als Ordner sollte ein eingeschränkter Unterordner ausgewählt werden, wie der "Öffentlich"-Ordner. Durch das Symbol in der Menüleiste lässt sich bei einer nötigen Benutzung von Bluetooth alles schnell wieder aktivieren und nutzen.

    9. Netzwerkdienste
    Nun beginnt erst der eigentliche Teil der Arbeit, denn die vorher besprochenen Sachen haben eher physikalischen Missbrauch verhindert. Nun müssen wir den Missbrauch von außen verhindern.
    Dazu gehen wir zu Systemeinstellungen -> Sharing -> Dienste.
    Hier gilt, nur das Nötigste aktivieren!

    [​IMG]

    Zur Erklärung der existierenden Dienste, und ob man diese brauch:
    Personal-File Sharing: Apple Filing Protocol. Brauch man natürlich auch nur, wenn man weitere Macs im Netzwerk hat denen man Freigaben per AFP ermöglicht.
    Windows Sharing: Samba oder Common Internet File System (kurz CIFS). Diesen Dienst brauch man auch nur, wenn die Freigaben per SMB genutzt werden und wenn auch Windows-Rechner im Netz sind, die diese Freigaben nutzen können. Zusätzlichen lassen sich auch Accounts für SMB einschränken.
    Personal Web Sharing: HTTP und der Dienst ist Apache HTTP Server. Diesen Dienst brauch man nur um seine eigene Homepage im Netzwerk online zu stellen. Weiterhin kann durch Router-Einstellungen der Dienst so genutzt werden, dass Zugriffe von außen auch auf die private Homepage möglich sind. Es empfiehlt sich jedoch ein Werkzeug namens MAMP zu installieren und zu nutzen. Durch ein kleines Widget ist so der HTTP und MySQL-Server schnell ein- und aus-zuschalten. HTTP-Server wimmeln durch installierte Plugins nur so von möglichen Schwachstellen.
    FTP-Zugriff: sollte man prinzipiell deaktivieren! Ich weiss nicht wozu man diesen Dienst bei einem privatgenutzten Mac aktivieren muss! Es nutzt den Dienst tntftpd.
    Apple Remote Desktop: kurz ARD. Ist dieser Dienst aktiviert, eröffnet man den ARD-Server. Nun kann mit Programmen wie VNC, SSH etc. auf den Mac zugegriffen werden. Es lässt sich einiges bei den Zugriffsrechten einschränken. Prinzipiell sollte dieser Dienst deaktiviert sein, aber in Notfällen wo man Hilfe von anderen brauch, ist es manchmal auch sehr hilfreich.
    Entfernte Apple Events: EPPC. Hier kann man als Airport Extreme Server z.B. agieren. Dabei reagiert man auf ausgesendete Signale von anderen Macs. Hiervon ist eigentlich erstmal Abstand zu nehmen.
    Printer Sharing: es nutzt CUPS und bedeutet, dass man einen angeschloßenen Drucker auch dem Netzwerk freigeben kann ohne Windows-Sharing aktiviert zu haben.
     
    #1 Cyrics, 18.03.06
    Zuletzt bearbeitet: 07.05.07
    iStefan, Leonardo, moornebel und 2 anderen gefällt das.
  2. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    10. Verzeichnisdienste

    Sind alle Dienste deaktiviert, die man nicht benötigt geht man zu Dienstprogramme -> Verzeichnisdienste und deaktiviert dort noch einmal alle nicht benötigten Dienste.

    [​IMG]

    Zur Erklärungen:
    Acitive Directory (Windows Domain Sharing)
    AppleTalk (Apple Netzwerk-Protokoll)
    Bonjour (Netzwerkkommunikation)
    LDAP (LDAP einfach)
    Lokale BSD und NIS (Unix Network Serice)
    NetInfo (Apples Verzeichnis und Authentifizierungs-Dienst)
    SLP (Druck und Datei-Server-Austausch)
    SMB (Windows Workgroup und Sharing)

    Beim LDAP muss man Konfigurieren, dass vom DHCP-Server KEINE LDAP-Server geliefert werden! Also das Häckchen entfernen, falls es gesetzt ist.
    Bei SMB lässt sich der Arbeitsgruppen-Name sonst noch einstellen. Den Rest nutze ich persönlich nicht.

    11. Firewall-Einstellungen
    Bei Systemeinstellungen -> Sharing -> Firewall lässt sich die Firewall aktivieren, was auch getan werden sollte.

    [​IMG]

    Sie ist ein besserer Schutz als gar kein Schutz. Jedoch bringt eine Firewall auch nur etwas gegen Angreifer im eigenen Netzwerk, da der Router ansich schon jeglichen Angriff von außen blockiert. Firewalls verhindern nur die Kommunikation von Rechnern im eigenen Netzwerk. Manchmal auf die gute und manchmal auf die schlechte Art.
    Die OSX-eigene hat den Vorteil schnell und leicht konfigurierbar zu sein, aber auch den Nachteil, dass sie ein bisschen sehr einfach gehalten und kaum konfigurierbar ist, z.B. durch eigene Firewall-Regeln. Es gibt genug Firewalls da draußem im Netz, die die OSX-eigene Firewall erweitern, womit zwei Firewalls zusammen arbeiten. Ich nutze dabei SunShield.
    Bei der OSX-Firewall sollten nun nur die Dienste durchgelassen werden, die auch aktiv sind. Außerdem ist es noch möglich iTunes Music Sharing und Co. passieren zu lassen.
    Unter Weitere Optionen aktivieren wir alle 3 Häckchen. Für ein feines Konfigurieren der Firewall liesse sich dann SunShield nutzen. Doch hier will ich nicht weiter drauf eingehen, da das Tutorial dann noch viel länger wird, als es jetzt schon ist.

    Es lassen sich dann weitere Möglichkeiten durch Veränderungen am Kernel per Terminal vornehmen. Ich werde zu jedem Befehl ein paar Worte verlieren...
    Mit sudo sysctl -w nimmt man Änderungen am Kernel vor. Dazu muss als Admin eingeloggt sein um sudo nutzen zu können. Hinter den einleitenden Befehl kommt dann folgende mögliche Parameter:
    erweiterertes Firewall-Logging aktivieren mit
    net.inet.ip.fw.verbose=1
    maximales Limit dieser Logs festlegen:
    net.inet.ip.fw.verbose_limit=65535
    Ablehnen und Verwerfen von ICMP Rück-Paketen:
    net.inet.icmp.drop_redirect=1
    Limit für ICMP-Pakte setzen:
    net.inet.icmp.icmplim=1024
    Protokollieren von ICMP-Paketen:
    net.inet.icmp.log_redirect=1
    IP-Source Routing deaktivieren:
    net.inet.ip.redirect=0
    net.inet.ip.sourceroute=0 (sollte seit Tiger eigentlich schon auf 0 sein)
    net.inet.ip.accept_sourceroute=0 (sollte seit Tiger eigentlich schon auf 0 sein)​
    Broadcast ECHO Response stoppen:
    net.inet.icmp.bmcastecho=0
    Broadcast Probes unterbinden:
    net.inet.icmp.maskrepl=0 (sollte seit Tiger eigentlich schon auf 0 sein)​
    TCP Delayed ack abschalten:
    net.inet.tcp.delayed_ack=0
    IP-Forwarding/Routing deaktivieren:
    net.inet.ip.forwarding=0 (sollte seit Tiger eigentlich schon auf 0 sein)​
    Spoofing-Attacken streng protokollieren:
    net.inet.tcp.strict_rfc1948=1 (mehr zu RFC) (mehr zur RFC 1948)

    Unter Panther funktionierten alle Befehle noch. Manche sollten sich seit Tiger aktualisiert mit neuen Werten haben. Aber an der Sache ändert es nichts, außer dass es bereits der Standard-Wert ist, und nichts weiter geändert werden muss.

    12. Safari und Co.
    Unter Safari kann man bei Einstellungen -> Allgemein "Sichere" Dateien nach dem Laden öffnen deaktivieren. Außerdem sollte man bei Programmen wie Enoturage oder Mail.app darauf achten, dass Security-Einstellungen so gesetzt sind, dass Datei-Anhänge beim Empfang nicht automatisch ausgeführt werden, die Spam-Bestimmungen hoch angesetzt sind etc.
    Hier bin ich sonst auch dankbar, wenn noch viele weitere Ideen kommen

    13. Zum Ende
    Also ich freue mich über Korrekturen etc. Ich bin in mancher Hinsicht auch nicht absolut sicher und sehe auch gerne meine Fehler ein, wenn dies richtig vorgebracht wird... ich erhoffe mir weitere nützliche Tipps für viele OSX-User, die ihre Sicherheits-einstellungen verfeinern wollen. Daher würde ich weitere Links und Informationen, die hier gepostet werden in den ersten Post miteinbinden. Ich möchte hier kein nutzloses Gelobe haben, so doof es auch klingt, aber dadurch geht die Übersichtlichkeit des Threads verloren, und jeder soll schnell und hilfreiche Informationen zum Thema Sicherheit bekommen. Daher bitte Spam und dergleichen unterlassen. Danke

    14. Links:
    Viren, Würmer und Trojaner unter OSX:
    Nummer 1, Nummer 2 (wurde durch das Sicherheits-Update im frühen März geschloßen), Nummer 3 (schon seit längerem geschloßen), Nummer 4.
     
    #2 Cyrics, 18.03.06
    Zuletzt bearbeitet: 19.03.06
  3. Sehr informativ, danke!
     
  4. Mainzelmaennsche

    Dabei seit:
    11.08.04
    Beiträge:
    2.478
    Wow, echt klasse gemacht, schönes Tuto!
     
  5. Herr Sin

    Herr Sin Millets Schlotterapfel

    Dabei seit:
    05.01.04
    Beiträge:
    4.752
    Danke schön. Langsam versteh ich das alles auch :-D

    Zum Thema Passwörter: Ich habe mir einen Satz überlegt und benutze jeden Anfangsbuchstaben als Passwort. Beispiel: "Apfeltalk ist mein Lieblingsforum! Da bin ich seit Januar 2001 angemeldet." Passwort: AimL!Dbis2a.

    Und nochwas: Leute, Passwörter wie "password", "passwort" oder "swordfish" sollte man wirklich nicht verwenden.

    Es wurde schon an mancher Stelle davon abgeraten "Tarn-Modus" (3. Häckchen) zu aktivieren.

    Quelle: MacMark

    Dein Vorschlag mit dem Schlüsselbund in der Menuleiste und 5 Minuten Inaktivität habe ich gleich in die Tat umgesetzt.
     
  6. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    ja, das mit dem Stealth-Modus und der Firewall ist wie gesagt nur ein Nutzen für das interne Netzwerk. Von außen her ist ja der Router unsere Firewall und die ist eigentlich ziemlich gut. Im internen Netz hätten wir aber keinen Schutz ohne Firewall. Nun gibt es interne Netze wie meins zu Hause welches ich als sehr sicher ansehe. Es gibt aber auch riesige Firmennetzwerke oder private LAN-Verbunde von 100 Leuten. Dort keine Firewall zu haben, ist etwas fahrlässig.
    Wenn man jemand Zugriff auf seinen Mac geben will, und er einen nicht findet im Netzwerk, dann weiss man schliesslich auch immer woran es liegt :) nämlich an der Firewall -> Stealth-Modus-Einstellung.
    Und das der Stealth-Modus für höhere Gewalten nicht ausreicht, ist auch klar. Aber da reicht auch die Standard-Firewall nicht aus um sich im internen Netz zu schützen. Ich hab bisher noch keinen PC-User gesehen, der mit der "nicht-Antwort" des Stealth-Modus umgehen konnte. Hier ist es wohl ähnlich wie der MAC-Filter beim Router. Dieser ist schnell umgehbar, aber trotzdem für viele schon ein großes Hindernis.
     
  7. pumpkin

    pumpkin Gelbe Schleswiger Reinette

    Dabei seit:
    01.11.04
    Beiträge:
    1.764
    .
     
    #7 pumpkin, 19.03.06
    Zuletzt bearbeitet: 07.10.07
  8. Herr Sin

    Herr Sin Millets Schlotterapfel

    Dabei seit:
    05.01.04
    Beiträge:
    4.752
    Mensch, sei nicht so kleinlich. Hat doch nur ein Buchstabe gefehlt. Das kann doch nicht solche Auswirkungen haben, oder?
     
  9. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    hehe doch, spätestens dann wenn du versuchst in dein FileVault-Benutzer-Verzeichnis reinkommst und dich wunderst, weil du doch eigentlich das richtige Passwort nutzt ;)
     
  10. pumpkin

    pumpkin Gelbe Schleswiger Reinette

    Dabei seit:
    01.11.04
    Beiträge:
    1.764
    .
     
    #10 pumpkin, 19.03.06
    Zuletzt bearbeitet: 07.10.07
  11. Wikinator

    Wikinator Adams Parmäne

    Dabei seit:
    21.08.04
    Beiträge:
    1.297
    kann eine Firewall auf dem jeweiligen Client nicht auch das "nach-hause-telefonieren" einzelner Programme verhindern, bzw. filtern Router auch in diese richtung?
     
  12. Dante101

    Dante101 Ralls Genet

    Dabei seit:
    11.10.05
    Beiträge:
    5.052
    Nein, stimmt auch nicht. Es müsste AimL!DbisJ2a. lauten! :p
     
  13. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    Die OSX-Firewall tut es nicht. Die wenigsten Router tun dies. LittleSnitch, ja. Also das kommt immer auf die Firewall, bzw. auf den Router an. Je nachdem wie die Firewall-Regeln definiert sind etc.
    Wenn man den Router geliefert bekommt, sind dessen Standard-Einstellungen meistens, dass die Firewall sogar aus ist. Wenn man nun diese aktiviert, unterscheiden sich ja jetzt schon die meisten Router, weil die noch nicht mal eigene Regeln definiert werden können. Wenn ja, dann wird nochmal unterschieden zwischen LAN-internet und Internet-LAN-Regeln. Oft existieren nur die Internet-LAN-Regeln. Viele Router haben auch dann noch LAN-Internet-Regeln. Dort wären dann die Einstellungen, die du suchst. Aber die haben oft keine Benachrichtung, sondern nur ein prinzipielles öffnen oder sperren. Die Feinheiten dieser Firewall sind doch selten wirklich fein, sondern nur sehr grob.
    Also ansich hast du recht, eine Firewall ist auch dafür ganz nützlich. Aber dies bekommt man eigentlich nur durch Erweiterungen hin um den rigorosen Netzwerk-Vekehr mitzukriegen. Die normalen Standard-Methoden von OSX-Firewall und Router können dies auf jeden Fall nicht verhindern, da die selten unterscheiden können welches Programm über Port 80 zum Beispiel gerade wegsurft. LittleSnitch unterscheidet ja da ganz gezielt welche Applikation und welcher Port und wie die Regel definiert ist.
     
  14. Wikinator

    Wikinator Adams Parmäne

    Dabei seit:
    21.08.04
    Beiträge:
    1.297
    wäre das nicht mit "iptables" oder einer sonstigen Firewall aus UNIX möglich?
     
  15. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    ich hab ehrlich gesagt noch nie probiert iptables bei OSX zum Laufen zu kriegen.
    Aber so wie du es dir vorstellst, ist es damit nicht möglich. Ich hab ein iptables-Skript auf meinem Server laufen, und es ist unumstritten die beste Firewall, die ich kenne für Debian, bzw. für ein Linux-System. Aber du kannst damit keine Software ausfindig machen, welche nach Hause telefoniert. Denn entweder sie telefoniert, oder sie tut es nicht. Es wird zwar immer ein Bericht zu den Aktivitäten aufgezeichnet... also die Logs, und man kann so ziemlich jede Attacke verhindern, kann Ports durch einen Ping, Portscan, etc. schliessen lassen, mit einem Zusatztool knocker durch ein geheimes Klopfsignal wieder öffnen lassen etc.
    Aber iptables ist ein Skript. Es hört auf das was du ihm sagst. Es ist in der Hinsicht nicht dynamisch, wie z.B. LittleSnitch.

    Also als Beispiel:
    ich hab Port 80 bei meinem Server offen. iptables soll auffälligen Verkehr, der ankommt, und der weggeht in die Logs schreiben und gegebenfalls reagieren. SYN-Pakete etc. sollen verworfen werden, und auffällige Ping-Attacken oder 3 versuchte Verbindungen innerhalb einer Minute durch Port-Schliessen für 10 Minuten unterbunden werden. Nun würde iptables aber nicht mitbekommen, dass nicht apache Pakete auf Port 80 schickt, sondern als dummes Beispiel das emulierte Adobe Photoshop 6. Ich kann nur eine Regel setzen entweder komplett den ganzen Verkehr auf Port 80 zu verwerfen oder durchzulassen, so fern nicht auffällig. LittleSnitch hat die Regel komplett erstmal Verkehr von LAN-zu-Internet zu verbieten und um authentifizierung zu bitten. Es achtet dabei auf Applikation, Port, Paket und Ziel-Adresse. Ich muss jedes Programm einzeln aufnehmen, also dynamisch anpassen. Bei iptables wäre das undenkbar.

    Eine wirklich gute Firewall lässt sich auch auf die eigenen Anforderungen abstimmen. Unter OSX brauch man einfach eine dynamisch agierende Firewall durch wechselnde Programme etc.
    Unter Linux brauch man eine zuverlässig, stabil-laufende, ressourcen-schonende Firewall, die strikte Regeln einhält.
    Das sind zwei verschiedene Sachen, wie ich find. Denn OSX ist ein Anwender-Bereich und Linux ist für mich Server-System. Ein Server-System ist vorkonfiguriert, fest-gesetzt und wird nicht mehr so schnell geändert.

    Ohje... jetzt hab ich mehr geschrieben als ich eigentlich wollte... :innocent:
    ich hoffe der eigentliche Gedanke kam jetzt rüber :)

    Linux hat ein paar feine Sachen, aber die lassen sich einfach nicht 1:1 auf OSX übertragen. Dafür sind die Anforderunen zu verschieden. Unter Linux hast du zum Beispiel keine nach-hause telefonierende Software ;) außer vielleicht die Spam-Bomben, die sich installieren.... aber die telefonieren auch nicht nach Hause *g*
     
  16. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    durch die NSA kam ich überhaupt erst auf die Idee ;)
    ich hatte damals nämlich einen Bericht gelesen über das "Sicher-Machen" von OSX unter Panther. War höchst interessant, aber auch ein bisschen Richtung paranoid.

    Aber ich gebe dir recht. Mein Tutorial war in der Hinsicht etwas durcheinander. Ich wusste mir da auch nicht besser zu helfen es zu strukturieren als durch aussagekräftige Überschriften und deren Abarbeitung.

    Mal schaun... vielleicht überarbeite ich es nochmal.
    Danke für den Hinweis. Das stört mich nämlich auch immer noch.

    PS: um mir wieder Karma-spenden zu können, musst du erst andere wieder beschenken ;) Ist eine komische Regelung... aber nur wer viel mit Karma um sich wirft kann andere schneller wieder damit glücklich machen... dies nur als Tipp am Rande :D
     
    turncoat gefällt das.
  17. kam-er

    kam-er Gast

    Hallo!ich bin schon älterem Datums und erst seit einem halben Jahr Mac-user.habe eine Frage zu deinen interessanten Anmerkungen.benutze den mac überwiegend zum surfen,gehe mit DSL-Modem
    ins Web,ohne Router.Wie ist das genau mit Stealth-Modus?Im Firewall-Protokoll habe ich dies des öfteren gelesen,wenn ich diverse Webseiten besucht habe.Eine Seite teilte mir mal mit,wo ich
    genau wußte,bei Win.war ein Troyaner eingebaut,ihren Browser unterstützen wir nicht,und die Web-seite war weg. Salü--kam-er
     
  18. Bonobo

    Bonobo Nathusius Taubenapfel

    Dabei seit:
    26.12.03
    Beiträge:
    5.482
    Hallo Kam-er, ich kann Deine Fragen zwar nicht beantworten, aber Du klempst ;)
     
    1 Person gefällt das.
  19. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    Salut mon copain,

    also der Stealth Modus macht nichts anderes als deinen Mac verstecken. Wenn du nur ein bisschen im Internet per Browser surfst auf Port 80, solltest du da nichts merken. Der Stealth-Modus macht sich bei Ping- oder anderen Identifikationsanfragen bemerkbar. Daher sieht man das sehr oft im Firewall-Log bei der Kommunikation zwischen Router und Mac. So schickt der Mac ein Paket an den Router und der Router versucht zu antworten mit einer Identifikation und pingt dabei den Mac an. Dieser schluckt diesen einfach und löst einen Fehler aus. Dieser ist aber nur ein Makel im Log.
    Das sein Browser nicht unterstützt werden soll, würde auf jeden Fall nicht daran liegen, wenn du nur nochmal surfst. Was sind das denn für Webseiten? Irgendwelche Java-Plugins? Mit welchem Browser bist du denn unterwegs?

    PS: Klempen, das muss ich mir merken! Es gibt ja echt für alles eine Bezeichnung.
     
  20. kam-er

    kam-er Gast

    Stealth-Mod

    Hallöchen! Ich surfe überwiegend mit Camino,der sich ausgibt als IE.Jezt lacht nur;
    Ich schaue mir im Web abundzu so an was die diversen Mädchen so alles treiben.Mit Win.war es gar
    gefährlich,sich da rumzutreiben(Troyaner,etc),Salü--kam-er

    war mit Shiira bei Yahoo.Sie ezählten mir;Sie verwenden IE für Mac.Zur
    optimalen Nutzung empfehlen wir die neuste Version von Firefox u.Safari.
    Ist doch wirklich beruhigend.
     
    #20 kam-er, 17.04.06
    Zuletzt von einem Moderator bearbeitet: 17.04.06

Diese Seite empfehlen