Benutzerverwaltung / Sicherheit

[CG68]

Hallo zusammen,

ein einen Anflug von Sicherheitsdenken möchte ich endlich einen Standardbenutzer an meinem Mac einrichten und fortan als Standardbenutzer arbeiten.

Begründung: Viren, laufenden Apache-Server, sensible Daten, intensivierte Arbeit am Mac, "Permission-Hell"-Problem

Einerseits benötige ich zwar oft Admin-Rechte, möchte mich aber gegen Angriffe von Außen (zusätzlich zu Antivirensoftware und Firewall) dadurch schützen, dass ich mich bei der normalen Arbeit als Standardbenutzer anmelde.

Meine ersten Versuche führten dazu, dass ich ständig das Admin-Passwort eingeben musste und an meine eigenen Daten (wurden als Admin angelegt) nicht mehr herankomme bzw. diese zweimal auf der Festplatte habe ...
Fazit, ich würde hier gerne etwas planvoller vorgehen und Benutzerkonten sinnvoll einsetzen, Zugriffsrechtsprobleme vermeiden bzw. sinnvoll festlegen.

Es wäre schön, wenn ihr mir einige Tipps hierzu geben könntet.

Hierbei interessiert mich in erster Linie...
1. Wie macht ihr das (arbeitet ihr immer mit Admin-Rechten)?
2. Wo kann ich mich zu einer sinnvollen Benutzerverwaltung, die meine Arbeit nicht völlig aushebelt schlau machen (Buch Videos)? Kennt ihr da was zu?

Vielen Dank, für Lesen, für's Antworten und natürlich insbesondere zum Bereitstellen diese Forums.
Alls Neuer bitte einen Hinweis, falls ich in der völlig falschen Rubrik gelandet sein sollte, die Frage schon einmal beantwortet wurde (gesucht habe ich), oder ...

 

[raven]

Willkommen im Forum @CG68,

Zu 1. seit 8 Jahren am Mac und nur mit dem Admin. angemeldet.
Keine Virenschon oder Verschlimmbesserungstool

Denke die einfachste Variante wäre,
- neuen Nutzer anlegen (mit Adminrechten)
- dem best. Admin. Die Rechte entziehen

Edit: vor allem zuerst mind. ein Backup sichern

 

[CG68]

Vielen Dank für Deine Antwort.
Einen neuen Benutzer anlegen wäre für mich ja keine Lösung, denn ich möchte bei meiner täglichen Arbeit am Mac dem Installieren von Schadsoftware und Angriffen vorbeugen, indem ich als Standardbenutzer angemeldet bin und somit bei einer evtl. Installation einer Schadsoftware vorher nach dem Admin-Passwort gefragt werde (ist doch korrekt oder?) Nach meinem Kenntnisstand (wie gesagt, z.Zt. sehr lückenhaft) erbt ein Angreifer die Rechte, mit denen ich eingeloggt bin?!

 

[Scotch]

Wo kann ich mich zu einer sinnvollen Benutzerverwaltung, die meine Arbeit nicht völlig aushebelt schlau machen (Buch Videos)?

Mit jedem beliebigen Buch zur Unix-Administration.

Meine ersten Versuche führten dazu, dass ich ständig das Admin-Passwort eingeben musste und an meine eigenen Daten (wurden als Admin angelegt) nicht mehr herankomme bzw. diese zweimal auf der Festplatte habe ...

Das ist aber ein Layer 8 Problem und keines, welches man mit einem Admin-Account löst...

man chown
man chmod

ist dein Freund

Zu 1. seit 8 Jahren am Mac und nur mit dem Admin. angemeldet.

Seit 14 Jahren am Mac und ich arbeite grundsätzlich immer mit einem "normalen" Benutzeraccount

"Normale" Benutzeraccounts hat Apple aber schon seit eingen Versionen abgeschafft - bzw. den "normalen" Admin-Account - daher ist es inzwischen aus Security-Sicht relativ egal, ob man mit einem Admin- oder Benutzeraccount arbeitet (auch bei einem Admin-Account funktioniert längst nicht alles ohne explizite Eingabe des Admin-Passworts; Apple hat da im Prinzip die Linux-Zugriffssteuerung umgesetzt). Wenn man Daten mehrerer Benutzer/Accounts auf einem Rechner hat - wenn ich was von einer Apache-Installation lese gilt das dann schon mal für die verschiedenen Systemaccounts, die angelegt sind/werden - sollte man natürlich weiterhin tunlichst dafür Sorge tragen, dass die Daten der verschiedenen Accounts mit den entsprechenden Rechten versehen und getrennt bleiben. D.h. man weiss entweder sehr genau, was man tut oder ist besser nicht die ganze Zeit mit einem Admin-Account unterwegs.

Nach meinem Kenntnisstand (wie gesagt, z.Zt. sehr lückenhaft) erbt ein Angreifer die Rechte, mit denen ich eingeloggt bin?!

Das kommt auf den Vektor an, aber grundsätzlich "Ja".

 

[Mitglied 105235]

Hallo @CG68 und willkommen bei Apfeltalk.

ich selbst habe Anfangs genau wie du mit den Admin Userrechten gearbeitet, habe aber dann mal für mich entschieden, dass ich dies nicht mehr will. Liegt aber auch dran dass ich mehre Geräte daheim habe und mittlerweile auch ein Multiuser System genutzt wird. Da meine Lebensgefährtin auch meine Geräte nutzen darf so wie ich auch Ihren nutzen darf.

Geräte:

• NAS als Datengrab mit extra HDD für Backups
• Mac mini als Server
• 2 mobile Macs
• Stationärer Rechner mit macOS und Windows
• Gemeinschaftliches iPad welches fürs schnelle surfen genutzt werden kann aber eigentlich nur die HomeKit Zentrale und Bilderrahmen ist.
• diverse Persönliche iDevices

Entsprechend gibt es bei mir nun nicht nur nun eigentlich das Multiuser System:

• Admin
• Mich
• Lebensgefährtin

Sondern auch mehre Apple IDs:

• Admin hat eine eigene, denn dieser Verwaltet auch die Familienfreigabe von iCloud
• Meine Apple ID für mich
• Apple ID meiner Lebensgefährtin

Einen neuen Benutzer anlegen wäre für mich ja keine Lösung

Wie es @raven schon gesagt hat, den neuen Nutzer Adminrechte geben und deinen aktuellen Nutzer die Adminrechte entziehen. Du logst dich dann ja als CG68 ein und bist Standard Nutzer und wenn die Adminrechte benötigt werden, musst du die Daten vom Admin Account eingeben.

In Normalfall, erscheint dann nicht so oft dieses Popup beim normalen Arbeiten am Rechner.

 

[CG68]

Danke für alle Anmerkungen und Tipps!

@CG68,
- neuen Nutzer anlegen (mit Adminrechten)
- dem best. Admin. Die Rechte entziehen

Es hörte sich für mich so an, als wenn ein neu-angelegter Benutzter mit Admin-Rechten das gleiche darf, wie der standardmäßig eingerichtete Admin-Account. Sorry, dann habe ich Deine Antwort nicht richtig verstanden.
Ich werde mich mal schlau machen, welches Account was darf und checken, ob meine installierten Programme auch in einem Standard-Account ohne Admin-Rechte gut lauffähig sind.

PS.: Besten Dank auch für den Hinweis, dass es sich um ein "Layer 8" Problem handelt.

 

[cryptosteve]

Moin,
ich habe meinen Mini noch nichtmal 'ne Woche und bin damit ganz neu im MacOS-Lager. Von daher möchte ich mich an dieser Stelle mal mit einer Frage um Begrifflichkeiten einklinken.

Nach meinem Verständnis ist die normale Anmeldung noch kein Admin-Account, sondern erstmal ein gewöhnlicher User-Account. Erweiterte-/Admin-Rechte erlangt man erst durch die Eingabe seines Passwortes bzw. durch die Verwendung von sudo. Unter Linux wäre das vermutlich gleichzusetzen mit der Gruppe wheel bzw. analog eben auch mit der Verwendung von sudo.

Liege ich mit dieser Einschätzung richtig oder hat mein angemeldeter User schon erweiterte Rechte, bevor ich dies irgendwo mit meinem Passwort bestätigt habe?

 

[Macbeatnik]

Unter OS X/macOS gibt es den Standardnutzer, den Admin und den Root. In den Systemeinstellungen/Benutzer ist der Admin derjenige, der den Rechner verwalten darf, der standardnutzer ist eingeschränkt. Der Root muss explizit freigeschaltet werden und darf auch alles, was der Admin nicht darf. Seit OS X/macOS 10.7 ist der Unterschied in Bezug auf Sicherheit zwischen Admin und standardnutzer nicht mehr relevant.
Hat man unter OS X/macOS nur einen nutzeraccount ist dieser ein Admin.

 

[Marcel Bresink]

Nach meinem Verständnis ist die normale Anmeldung noch kein Admin-Account, sondern erstmal ein gewöhnlicher User-Account.

Nicht ganz. In der Terminologie von macOS wird das schon Administrator genannt. Es kann beliebig viele Administratoren geben. Diese sind dadurch gekennzeichnet, dass sie der Benutzergruppe "admin" (GID 80) angehören.

Erweiterte-/Admin-Rechte erlangt man erst durch die Eingabe seines Passwortes bzw. durch die Verwendung von sudo.

Das ist richtig. Aber nur Administratoren haben das Recht, durch nochmaliges Eingeben ihres Kennworts in diesen privilegierten Zustand (Vorübergehendes Arbeiten als Benutzer root) zu kommen. Das ist auf der Befehlszeile auch der Hauptunterschied, den es zwischen normalen Benutzern und Administratoren immer noch gibt. Den root-Benutzer könnte man als "obersten System-Account" bezeichnen. Apple verwendet dafür in der grafischen Oberfläche einfach die Bezeichnung "system". Windows würde das "Autorität System" ("NT Authority\System") nennen.

hat mein angemeldeter User schon erweiterte Rechte, bevor ich dies irgendwo mit meinem Passwort bestätigt habe?

Nein, das auf keinen Fall.

 

[CG68]

Besten Dank noch einmal für alle Antworten.
Auch cryptosteve liefert weitere Stichworte mit denen ich mich zunächst einmal befassen muss (Linux, sudo, Dateirechte, der Mac Terminologie , vgl. Post von Marcel) usw.
Die Notwendigkeit, die Nutzungsrechte genauer zu verstehen, entstand übrigens bei der Installation von node.js, um LESS-Dateien serverseitig transpilieren zu können. Ich möchte hier kein neues Fass aufmachen (phpstorm und less sind hier nicht das Thema), sondern deutlich machen, worum es mir ging bzw. geht. Nach zahlreichen Versuchen konnte ich node.js (serverseitig) nicht installieren (Permission-Error).
Bevor ich mir selbst root-Rechte gebe und Veränderungen vornehme, die sich dann ggf. nur mittels komplettem Neuaufsetzen des Mac OS wieder zurücksetzen lassen, (vgl. https://support.apple.com/de-de/HT204012) muss ich wissen, welche Konsequenzen das hat. Zumal erscheint es mir extrem, dass irgendein Plugin (hier der serverseitige LESS-Compiler von node.js) in den versteckten Ordern des MAC-OS "rumfummelt". Die Lösung meines Ausgangsproblems (Less-Compiler installieren) besteht zunächst für mich also darin, LESS client-seitig zu verwenden.

 

[cryptosteve]

Nein, das auf keinen Fall.

Ok. Danke für Deine genauen Ausführungen.

Das heisst für mich im Umkehrschluss folgendes: Es lohnt sich, meinem (im MacOS-Terminus) Admin-User ein durchaus hochwertiges Passwort zu verpassen und bei jeder Art von Passwortabfragen genau darauf zu achten, dass sie auch mit gutem Grund und vom System selbst kommen. Dann habe ich aber auch keine Nachteile im Vergleich zum Standardbenutzer ohne jede Rechte, der dann aber bei jeder besten Gelegenheit eh zum Admin (oder sogar root) wird. MacOS handelt das dann ziemlich analog zu Ubuntu/Mint & Co auf Linuxseite.