Wer arbeitet mit einem seperaten Admin Account unter OS X?

[P.Stylez]

Inspiriert durch den MoAB wollte ich mal eine kleine Umfrage initiieren.
Arbeitet Ihr mit einem seperaten Admin Account oder sagt ihr, dass der Standard-User für Euch sicher genug ist, weil des BSD unter der OS X Haube ja eh für Sicherheit garantiert.

Dann lasst mal hören

 

[kepptn]

Ich arbeite mit einem separaten Admin Account, bzw. umgekehrt, ich habe mir einen 2. Account eingerichet als normaler User mit dem ich arbeite.

 

[Bananenbieger]

Da man eh für alle systemkristischen Sachen noch einmal User und Passwort eingeben muss, kann der Besitzer-Useraccount = Adminaccount sein. Nur Leute, die bei mir "zu Gast" sind und nix an meinen Programmen oder am System ändern dürfen bekommen
eingeschränkte Accounts ohne Admin-Rechte.

Wofür soll auch ein separater Admin-Account gut sein?

Natürlich hab ich auch root freigegeben (allerdings mit einem separaten Passwort), falls man mal per Terminal was am System ändern will bzw. nette Unix-Sachen machen will (z.B. spezielle mounts oder auch mal einen Zwangsunmount, wenn die CD sich wegen physikalischer Fehler sonst nicht im Finder ejecten lässt).

 

[smile]

Natürlich hab ich auch root freigegeben (allerdings mit einem separaten Passwort), falls man mal per Terminal was am System ändern will bzw. nette Unix-Sachen machen will....

Öhm, dafür reicht doch auch ein schnödes sudo - IMHO kann man sich den root echt sparen - eine Angriffsfläche weniger?!

 

[Schwupz]

Die ersten Tage arbeitete ich mit dem normalen User, wie es vom Start konfiguriert ist. Wenig später habe ich aber einen Admin-User gemacht und meinem User dann die Admin-Rechte genommen

Ist auch ganz praktisch, da mein Bruder mich erst neulich ärgern wollte, aber die Änderungen nicht machen konnte (weil er das Admin-Password nicht kennt) Ich finde, dass es keine Einschränkung ist, da man sich schnell Authentifizieren kann

Chris

 

[Bananenbieger]

Öhm, dafür reicht doch auch ein schnödes sudo - IMHO kann man sich den root echt sparen - eine Angriffsfläche weniger?!

root ist bei mir wie auf den meisten Servern so eingerichtet, dass man sich nur im Terminal per su "rooten" kann. Ob man jetzt sudo pro Befehl oder su für größere Arbeiten nimmt ist sicherheitstechnisch echt gehoppst wie gesprungen.

 

[Bananenbieger]

Die ersten Tage arbeitete ich mit dem normalen User, wie es vom Start konfiguriert ist. Wenig später habe ich aber einen Admin-User gemacht und meinem User dann die Admin-Rechte genommen

Ist auch ganz praktisch, da mein Bruder mich erst neulich ärgern wollte, aber die Änderungen nicht machen konnte (weil er das Admin-Password nicht kennt) Ich finde, dass es keine Einschränkung ist, da man sich schnell Authentifizieren kann

Chris

Geht auch, ist aber viel zu Umständlich. Btw, wer verrät denn seinem Bruder das eigene User-Passwort.

 

[Schwupz]

Umständlich finde ich nicht

Naja... mein kleines schwarzes stand zugeklappt auf dem Wohnzimmertisch, ich war kurz draussen... er hat ihn einfach aufgeklappt um micht zu ärgern

War auch jetzt eher ein scherz von ihm Ich kann ihn schon an meinen Rechner lassen, ohne angst haben zu müssen

Chris

 

[Bananenbieger]

Okay, unter den Umständen...

Ich hab das bei mir anders geregelt: "Wer meinen Rechner anfasst, stirbt".

Funktioniert hervorragend

 

[Skeeve]

Da man eh für alle systemkristischen Sachen noch einmal User und Passwort eingeben muss, kann der Besitzer-Useraccount = Adminaccount sein.

Unwissend, wie ich 2003 war, hatte ich das auch gedacht und mir prompt die Terminal.app zerschossen...

Das kam so:
Klein-Skeeve, aus der Solaris/IRIX Welt kommend, entdeckte das Terminal und war begeistert! *WOW* Das werde ich ständig brauchen. Also *Schwupps* auf den Desktop für den schnellen Zugriff gelegt.

2 Tage später:
Oh! Da ist ja das Dock und da kann man ja auch was ablegen! *Schwupps* Terminal vom Desktop ins Dock gezogen.
*NANU*! Das liegt ja noch immer auf dem Desktop! *Schwupps* In den Papierkorb gelegt

2 Tage später:
*Ohhh*! Der Papierkorb ist voll! *Schwupps* geleert!

1h später:
*Schassback*! Das Terminal funktioniert nicht mehr...

Das war der Zeitpunkt an dem mir klar wurde: Ein eingeschränkter User Account wäre doch besser...

 

[Bananenbieger]

Also Terminal in Papierkorb schieben zählt nicht als "systemkritisch", oder? Kann man ja alles nachinstallieren. Und der Finder liegt nicht in Programme.

 

[ste^2]

Als Admin sollte man auch unter OSX nicht unterwegs sein. Siehe aktuelle "Lücke".

Guter Beitrag: http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=11919090&forum_id=110560

 

[Bananenbieger]

Als Admin sollte man auch unter OSX nicht unterwegs sein. Siehe aktuelle "Lücke".

Guter Beitrag: http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=11919090&forum_id=110560

Öhm... Heise-Foren?!? Da kann man ja gleich bild.t-online.de zitieren Aber für Heise ist der Beitrag echt gut.

Trotzdem sehe ich da jetzt nicht das praktische Problem, weil ich erstmal ne BOM in /Library/Receipts platzieren muss. Ich kann genauso gut einem nicht-Admin-User z.B. eine iTunes-Update.pkg schicken/unterjubeln, die nachdem der User brav sich mit den Admin-Zugangsdaten authentifiziert hat, alles mögliche im System anstellt. Die größte Sicherheitslücke ist immer 40cm vor dem Bildschirm. :-D

Btw:

$ sudo chmod -s (...)/DiskManagement.framework/Resources/DiskManagementTool

und die Lücke ist geschlossen.

 

[ganjo7]

Ich arbeite als User ohne Adminrechte. Nur zum Programme installieren wird der Adminname und das Kennwort angefordert. Den Root habe ich gar nicht aktiviert. Das ist ein Stück Sicherheit. Da MS Office für Mac soweit ich weiß nur im Admin-Account läuft, und dazu der Preis, sind es für mich zwei Gründe es nicht anzuschaffen.

 

[Schwupz]

Ich arbeite als User ohne Adminrechte. Nur zum Programme installieren wird der Adminname und das Kennwort angefordert. Den Root habe ich gar nicht aktiviert. Das ist ein Stück Sicherheit. Da MS Office für Mac soweit ich weiß nur im Admin-Account läuft, und dazu der Preis, sind es für mich zwei Gründe es nicht anzuschaffen.

Ich habe das auch so, und MS Office läuft ohne Probleme und ohne anfordern von Administrator-Name und Passwort

Chris

 

[Svenrique]

Habe ebenfalls zwei Konten, wobei ich immer noch nicht genau weiß weswegen. Rastafari hatte mir in einem anderen Thread solche Angst gemacht, dass ich eben aus diesem Grund mit eingeschränkten Rechten unterwegs bin.

 

[kepptn]

Sicher ist nunmal sicher, und eine Tür die es nicht gibt kann man auch nur schwer öffnen. Darum ist es bestimmt kein Fehler sich soweit es geht abzusichern. Ich wäge einfach sicherheit und beuemlichkeit ab und Max OS gibt mir hier einen, für mich zumindest, guten Kompromiss an. Ob das notwendig ist? Keine Ahnung.

 

[P.Stylez]

Hui... irgendwie schockt mich ja das Zwischenergebnis, dass fast die Hälfte aller User, die hier mit abgestimmt haben scheinbar mit dem Apple Standarduser arbeiten.

 

[Schwupz]

Was erschreckender ist, ist dass das gleiche Resultat in einem Windowsforum vorkommen würde

Chris

 

[kepptn]

Wieso schocken? Wie bereits erwähnt, wirklich notwendig ist es noch nicht den Admin Account zu trennen. Es ist lediglich eine der vielen sicherheitsstufen die man nutzen kann. Ich schätze mal das auch mehr als die Hälfte der User die Firewall nicht aktivieren, geschweige denn Little Snitch o.ä. betreiben. Das unterscheidet uns halt von den M$ Opfern.