[10.9 Mavericks] Apps installieren ohne als Admin User angemeldet zu sein

[FritzS]

Ich habe (mehr durch Zufall) einen Weg gefunden Applikationen zu installieren ohne einen Benutzerwechsel zum Admin User zu machen. Wenn ich am Mac arbeite bin ich immer ohne direkte Admin Berechtigung des Users unterwegs.

Mit den Applikationen meine ich jene die man nur in den Ordner „/Applications/“ kopieren muss.

Wenn das Programm schon in einer älteren Version vorhanden ist verschiebe ich das vorher im Finder in den Papierkorb (natürlich ist da der Admin Account anzugeben).

Das neue Programm entpacke ich in den Ordner „/Users/Shared/“

Dann ein Terminal aufgemacht - Beispiel Firefox.app

$:~ NormalUser$ su AdminUser
Password:
$ cp -npRv  '/Users/Shared/Firefox.app' '/Applications/Firefox.app'

Ich muss mir noch genauer ansehen was die Parameter nach cp -npRv alles bedeuten - aber es funktioniert tadellos.

Verzeichnisse kopieren (Beispiel)
cp -npRv /Users/[name]/Pictures /Volumes/Backup/Bilder

Mit rsync will ich mich auch noch näher befassen:
Verzeichnisse syncen (Beispiel)
rsync -avhP /Users/[name]/Pictures /Volumes/Backup/Bilder

OffTopic dazu - Shortcuts erzeugen
1) Objekt markieren und anschliessend die Tastenkombination [cmd] + [L] drücken
2) Objekt markieren Tasten [cmd] + [alt] drücken und dabei das Quellobjekt mit der Maus an den Zielort ziehen.

 

[Bountyhunter]

und was bringt dir das - außer weniger Sicherheit ?

 

[smoe]

Wenn du im Terminal su AdminUser eingibst führst du den Befehl danach doch als AdminUser aus und benötigst auch das Passwort des AdminUsers. Das ist effektiv doch das selbe wie sich als AdminUser anzumelden. Was ist da nun das Problem oder die Frage?

 

[Rastafari]

Und wieso bitteschön ziehst du es nicht einfach im Finder an seinen Platz und gibst dann dort den Adminnamen mit Kennwort an?
Zu einfach und unkompliziert? Nicht "g33ky" genug?

 

[FritzS]

@Bountyhunter
Warum soll das mit weniger Sicherheit verbunden sein? Ich mache das am Terminal, was ich bei einem Benutzerwechsel zu einen Admin User auch täte. Die Updates und Upgrades von Homebrew erledige ich ja auch auf ähnlichen Weg über das Terminal und su.

@smoe
Ich mache das aus Zeitersparnis - mein MBP ist etwas älter und obwohl mit 8GB RAM aufgerüstet, ist der Benutzerwechsel jedes mal sehr zeitraubend. Die jetzige Methode ist da wesentlich schneller.

@Rastafari
Hast schon einmal bei deiner Variante nachgesehen, wer dann der Owner jenes Programms ist? In meiner Variante ist das jedenfalls der AdminUser, was meiner Meinung die Sicherheit erhöht.

Mit sudo vor dem Kopier Befehl wäre dann Root der Owner des Programms (was ich nicht mache).
Und ich würde keinesfalls mit einem Admin User arbeiten mit dem ich die Programme nach „/Applications/“ kopiere. Eine „böswillige“ Web-Seite wäre dann in der Lage z.B. Firefox, Chrome, iCab, Opera, SM-Browser, usw. unbemerkt zu manipulieren. Und sagt nicht das würde nicht funktionieren - Sicherheitslöcher existieren überall und man darf es Hackern nicht zu leicht machen.

 

[MacAlzenau]

[USER=5447]@Rastafari
Hast schon einmal bei deiner Variante nachgesehen, wer dann der Owner jenes Programms ist? In meiner Variante ist das jedenfalls der AdminUser, was meiner Meinung die Sicherheit erhöht.[/USER]

Solange es jeder Benutzer ausführen kann, sehe ich da keinen Gewinn an Sicherheit, ob es der Admin, das System oder ein Normalanwender ist.
Aber die tausende von Anwendern, die das bisher so machten, per Admin-Paßwort installieren, lagen wohl alle falsch.

 

[MACaerer]

Hast schon einmal bei deiner Variante nachgesehen, wer dann der Owner jenes Programms ist? In meiner Variante ist das jedenfalls der AdminUser, was meiner Meinung die Sicherheit erhöht.

Wenn du bei der Variante das Programm wie vorgesehen in den App-Ordner ziehst ist das System der Owner. Das heißt jeder Benutzer kann mit dem Programm arbeiten, aber es nicht löschen oder verändern. Mit dem "su-Befehl" im Terminal machst du auch nicht anders als dir auf etwas umständliche Art und Weise System-Rechte zu geben. Der End-Effekt ist der gleiche.

MACaerer

 

[FritzS]

Wenn du bei der Variante das Programm wie vorgesehen in den App-Ordner ziehst ist das System der Owner. Das heißt jeder Benutzer kann mit dem Programm arbeiten, aber es nicht löschen oder verändern.

Genau das stimmt nicht! Ich habe jetzt testhalber Firefox.app vom Normaluser aus „installiert“ (was kopieren bedeutet), Admin User&PW wurden zwar angefordert, der Owner von Firefox.app (und des Inhalt der App) ist der Normaluser.

Im Programmpaket selbst (wenn ich mir den Inhalt anzeigen lasse) kann ich ohne Passworteingabe vom Normaluser aus Änderungen an den enthaltenen Dateien durchführen - er ist ja der Owner. Genau darum verwende ich den Admin User dafür, damit dieser der Ower der im Programmpaket enthaltenen Dateien ist. Bitte probiert es einfach selbst mal aus.

Weist du jetzt warum ich das genau so mache? Ich will als Normaluser keinesfalls den Inhalt von Programmpakten ändern dürfen. Nennt mit paranoid, aber Sicherheit hat eben ihren Preis.

Die Rechte auf den Programme Ordner selbst, die habe ich nie verändert.
System: Lesen & Schreiben
admin: Lesen & Schreiben
everyone: Nur Lesen
Ich habe das System seit Leopard immer upgegraded (jetzt Mavericks) und schon einige Male die Rechte reparieren lassen.

 

[Rastafari]

kann ich ohne Passworteingabe vom Normaluser aus Änderungen an den enthaltenen Dateien durchführen

Du weisst aber schon, dass Programme standardmässig digital signiert sind, oder?
Da kannst du schon was dran ändern - aber nicht ohne dabei aufzufliegen.
Also was soll das bitte? Hm?
Und wenn das für dich dann trotzdem immer noch als Problem gesehen wird, warum änderst du nicht einfach den Owner (ebenfalls im Finder), und gut ist das?

In meiner Variante ist das jedenfalls der AdminUser, was meiner Meinung die Sicherheit erhöht.
Mit sudo vor dem Kopier Befehl wäre dann Root der Owner des Programms (was ich nicht mache).

Du willst dadurch die Sicherheit erhöhen, aber sie in maximaler Weise zu erhöhen, ausgerechnet davor scheust du dich? Urkomisch.

Nennt mit paranoid, aber Sicherheit hat eben ihren Preis.

Mach wie du meinst, Paranoid.

 

[MacAlzenau]

Ich habe jetzt testhalber Firefox.app vom Normaluser aus „installiert“ (was kopieren bedeutet), Admin User&PW wurden zwar angefordert, der Owner von Firefox.app (und des Inhalt der App) ist der Normaluser.

Da hast du Recht, bei mir - wenn auch mit einem älteren System - ist der oberste Eintrag bei den Rechten in der Dateiinfobox auch mein Nicht-Admin-Account, jedenfalls bei VLC, Firefox etc. Bei Programmen aus dem AppStore dagegen steht dort "System", vermutlich weil es über den OS-X-eigenen Installer lief.
Irgendein Problem kann ich da aber nicht erkennen, weder sicherheitsmäßig noch für die Benutzung.

 

[FritzS]

Du weisst aber schon, dass Programme standardmässig digital signiert sind, oder?
Da kannst du schon was dran ändern - aber nicht ohne dabei aufzufliegen.
Also was soll das bitte? Hm?
Und wenn das für dich dann trotzdem immer noch als Problem gesehen wird, warum änderst du nicht einfach den Owner (ebenfalls im Finder), und gut ist das?

Warum umständlich wenns einfach geht - so wie mein Weg?
Auch wenn die Apps signiert sind (manche, so wie Mozilla SM sind es nicht), stört mich dass sie über diesen Weg verändert werden können.
Meines Wissens verhalten sich Linux und freie BSD Distributionen hier wesentlich restriktiver.

Wenn ich den Owner einer App ändere muss ich zusätzlich die Rechte nach unten in den App-Container vererben lassen, das erfordert meiner Meinung mehr Aufwand als mein Weg.

Du willst dadurch die Sicherheit erhöhen, aber sie in maximaler Weise zu erhöhen, ausgerechnet davor scheust du dich? Urkomisch.

Und warum findest du das urkomisch, wenn jemand mal einen anderen Weg aufzeigt?

Mach wie du meinst, Paranoid.

Was stört dich eigentlich daran, wen jemand einen unkonventionellen Weg aufzeigt?

 

[Rastafari]

Warum umständlich wenns einfach geht - so wie mein Weg?

Einfach wäre es, sich zur Pflege des Systems vorübergehend als Admin einzuloggen.

Meines Wissens verhalten sich Linux und freie BSD Distributionen hier wesentlich restriktiver.

Meines Wissens existiert für Linux auch so etwa das tausendfache an ernstzunehmender Schadsoftware.
Und meines Wissens nach gelten weder Linux noch FreeBSD auch nur ansatzweise als benutzerfreundlich in der Bedienung.
Solche Vergleiche wirken auf mich immer ein wenig wie eine Gegenüberstellung von einer Reiselimousine aus Untertürkheim zu einem fahrbaren Baukran aus Leningrad.

muss ich zusätzlich die Rechte nach unten in den App-Container vererben lassen, das erfordert meiner Meinung mehr Aufwand als mein Weg.

Ein Mausklick.

Und warum findest du das urkomisch, wenn jemand mal einen anderen Weg aufzeigt?

Weil Schildbürger eben einen hohen humoristischen Wert haben.
Du möchtest die Sicherheit erhöhen, indem du lediglich einem anderen Anwenderkonto das Recht einräumst, das zu tun was du nicht willst.
Aber die Programme gleich jeglichem anmeldefähigen Konto zu entziehen -worin man einzig einen wirklichen Sinn erkennen könnte-, das verschmähst du. Wenn dir der makabre Witz dahinter nicht eingeht, vermag ich nicht weiter zu helfen.

Was stört dich eigentlich daran, wen jemand einen unkonventionellen Weg aufzeigt?

Andere könnten das für einen ernstzunehmenden Rat halten.
Auf diese Weise gelangte auch solch ausgemachter Schwachfug wie "regelmässiges Cache bereinigen" oder "Serverfestplatten verschlüsseln" in die Köpfe der digitalisierten Allesbesserwessis.

 

[FritzS]

Bei Programmen aus dem AppStore dagegen steht dort "System", vermutlich weil es über den OS-X-eigenen Installer lief.
Irgendein Problem kann ich da aber nicht erkennen, weder sicherheitsmäßig noch für die Benutzung.

Das habe ich selbst schon gesehen, MS Office, manche Programme die einen eigenen Installer mitbringen, Apps aus dem Appstore haben System als Owner - was meiner Meinung richtig ist. Jene Programme die nur in dem Applikation Ordner kopiert werden erben als Owner nur den Admin User unter dem dies geschieht - auch ein Grund warum die Gruppe admin Lese & Schreibrechte auf den Applikation Ordner hat.

Ich habe vor einiger Zeit ISC BIND named selbst kompiliert und den NS in einer Sandbox zum Laufen gebracht. Aus diesem Grund habe ich mich mit UNIX Rechten intensiv auseinander setzten müssen.

Auf der anderen Seite bin ich von MacPorts auf Homebrew gewechselt - eine der Gründe, Homebrew verwendet beim Kompilieren bewusst nicht sudo um vor einem Überschreiben von Systemdateien durch eine fehlerhafte Source oder ein fehlerhaftes Formulae (in dem liegen die Settings & Scripts fürs Kompilieren) während des Kompilierens zu schützen. Bei Homebrew verwende ich einen speziell dafür angelegten AdminUser dafür.

Ihr könnt dies „Basteleien“ nennen - ich informiere mich vor solchen Aktionen immer sehr umfassend auf seriösen Quellen im Internet und gehe mit Bedacht und der nötigen Vorsicht an solche Sachen heran.
Ein TM Backup und ein CCC Klone sind selbstverständlich.

 

[FritzS]

Einfach wäre es, sich zur Pflege des Systems vorübergehend als Admin einzuloggen.

Warum ich diesen Weg für mich zielführender finde, habe ich bereits geschrieben - es ist für mich auf meinen System einfach eine Zeitersparnis, wenn z.B. eine neue Version von Firefox erscheint.

Meines Wissens existiert für Linux auch so etwa das tausendfache an ernstzunehmender Schadsoftware.
Und meines Wissens nach gelten weder Linux noch FreeBSD auch nur ansatzweise als benutzerfreundlich in der Bedienung.
Solche Vergleiche wirken auf mich immer ein wenig wie eine Gegenüberstellung von einer Reiselimousine aus Untertürkheim zu einem fahrbaren Baukran aus Leningrad.

Abgesehen von der Bedienerfreundlichkeit, über die sich auch diskutieren ließe und wäre hier vollkommen OffTopic.
Welche wäre die tausendfach ernstzunehmendere Schadsoftware unter Linux/BSD?

Andere könnten das für einen ernstzunehmenden Rat halten.
Auf diese Weise gelangte auch solch ausgemachter Schwachfug wie "regelmässiges Cache bereinigen" oder "Serverfestplatten verschlüsseln" in die Köpfe der digitalisierten Allesbesserwessis.

Nur weils ein unkonventieller Weg ist, der genau den gleichen Effekt hat? Ein bei manchen Programmen beigepacktes Installer Script macht im Grunde genommen nicht viel anderes außer dass es vielleicht zusätzlich die Owner Rechte auf System setzt.

Und wirf das nicht mit den anderen Dingen und Ratschlägen in einen Topf.

 

[Rastafari]

Welche wäre die tausendfach ernstzunehmendere Schadsoftware unter Linux/BSD?

Zuerst solltest du mal richtig lesen.
Und dann die ellenlangen Listen einsehen, die es allein an "Massenware" für Linux gibt - von den hunderttausenden mit hochspezifischen Attacken erfolgreich kompromittierten Linux-Servern gar nicht zu reden. Das geeignete Werkzeug dafür nennt man Google.

 

[FritzS]

Das ergibt sich alleine aus der Tatsache, dass Linux als Server im Internet massiv verwendet wird.
Und wie viele erfolgreiche Linux Kernel Attacken sind es auf Systemen die richtig „gepflegt“ werden?

Wie viele Mac OS X Server findest du im Internet?
Gäbe es genau so viele Mac OS X Server wie Linux Server im Internet - die Statistik würde hier ganz anders aussehen.
Das kann man so nicht alleine mit „Schwarz-Weis“ betrachten.

Von Heartbleed wurde Mac OS X nur deshalb verschont, da Apple hier eine ältere Version von OpenSSL verwendet (das habe ich zufällig bemerkt als ich BIND named DNSsec einrichtete und die OpenSSL Version überprüfte).

Eines der sichersten Server OS im Internet wäre für mich sowieso Open BSD.

Und natürlich ist die größte Schwachstelle „der Mensch“ der die Systeme wartet! Die meisten erfolgreichen Angriffe sind sicherlich auf schlecht gewartete System zurückzuführen - das hat nicht mit der Wahl des OS selbst zu tun und trifft MS Windows genau so wie Unix, Linux, Mac OS X.

 

[FritzS]

Nachtrag:
PathFinder bietet ein gutes Feature um Rechte auf graphischer Ebene zu ändern und auch nach unten zu vererben, zumindest ist das meiner Meinung besser als im Finder gelöst.



PathFinder habe ich bei meiner BIND named Installation und Konfiguration schätzen gelernt.

 

[Rastafari]

Wie viele Mac OS X Server findest du im Internet?

Irrelevant. OS X Server ist auch nur ein ganz normales OS X, nur mit ein bisschen mehr installierter Software. Und insgesamt gesehen hängen eben mittlerweile *mehr* Rechner unter OS X direkt im Netz als unter allen GNU/Linux PC-Varianten zusammengenommen.

 

[FritzS]

Irrelevant. OS X Server ist auch nur ein ganz normales OS X, nur mit ein bisschen mehr installierter Software.

Das weis ich, ist ja UNIX „like“ - ich meine damit auch Serverdienste für andere Nutzer und Zwecke - z.B. mit laufenden Apache, BIND, Mailserver (POP3, SMTP, IMAP), usw.

Und insgesamt gesehen hängen eben mittlerweile *mehr* Rechner unter OS X direkt im Netz als unter allen GNU/Linux PC-Varianten zusammengenommen.

Wenn Du mit Rechner normale Mac Client-PCs (von der Nutzung her gesehen) meinst, kannst vielleicht recht haben - aber bei reinen Server-Diensten bezweifle ich das stark an. Bei HTML- und Mail-Server dürfte Linux, Unix, MS Windows Server vorherrschen.
Linux ClientPCs fallen hier noch immer nicht ins Gewicht, die werden noch lange ein Nischenprodukt bleiben.

Im LAN sind meist MS Windows Server vorherrschend. Auf Firewalls UNIX oder Linux (speziell gehärtet).

Die sicherheitsrelevanten Root DNS verwenden verschiedene Unix Varianten, die Länder DNS vermutlich auch. Nicht, dass hier die Anzahl hoch wäre, hier geht es vor allem um die Sicherheit.

In dieser Statistik der Server scheint Mac OS X gar nicht auf
http://news.netcraft.com/archives/category/web-server-survey/

Hier steht Microsoft Server vor Linux (Unix unter ferner liefen)
http://www.netcraft.com/internet-data-mining/hosting-provider-server-count/

Apple hat sich leider vom (großen) Servermarkt verabschiedet.
Sun geht es hier aber auch nicht gerade berauschend gut, detto trifft das auch für alle großen kommerziellen Unix Anbietern (oder wer von denen noch übrig ist) zu.

Das Match heist am Server Markt - Microsoft (Closed Source) versus Linux (Open Source).