- Registriert
- 01.04.05
- Beiträge
- 1.973
Das Tutorial ist über ein Jahr alt und teilweise nicht mehr aktuell und mit dem Erscheinen von Leopard endgültig veraltet.
Hallo,
ich wollte ein paar vielleicht hilfreiche Worte zum Thema System-Sicherheit verlieren. OS X ist ansich ein sicheres Konstrukt, welches aber hier und da noch sicherer gestaltet werden kann. Es ist prinzipiell nach der Installation so ausgerichtet, dass es teilweise sicher ist. Bei aktiven Versuchen, dass System zu knacken, geht OS X dann aber ein. Dies lässt sich mit ein paar kurzen Handgriffen bereits erledigen. Die Möglichkeiten sind da unbegrenzt bis hin zur puren Paranoia. Diesen extremen Menschen empfehle ich die Airport-Card aus ihren Mac heraus zu reissen und zu verbrennen. Der Mac gehört dann eingeschloßen in ein Acryl-Gefäß welches Alarm gesichert ist. Den Gedanken können diese paranoiden Menschen dann gerne weiterspinnen.
Für alle anderen ein kleiner kurzer Überblick über die Teilbereiche:
1. Grundsätzliches zu Beginn:
Es ist nicht möglich ein absolut 100%ig sicheres System zu schaffen! Man kann es aber jedem Angreifer egal ob physikalischer oder netzwerk-technischer Natur verdammt schwer machen. Je mehr Zeit dieser Angreifer aufbringen muss, desto unattraktiver wird das angegriffene Objekt. Dies sollte sich jeder vorher klar machen. Ich distanziere mich dann von jeglichen Ansprüchen, die jemand mir gegenüber geltend machen will, wenn er nicht mehr an seine Daten kommt oder es mit der Sicherheit übertrieben hatte. Menschenverstand sollte bei diesem Thema einfach angeschaltet und auch benutzt werden. Danke
Prinzipiell kann man sagen, dass man netzwerk-technische Angreifer durch das Herausziehen alle Netzwerk-Komponenten los ist. Angreifer die physikalischen Zugriff auf das Objekt haben, kann man es sehr schwer bis unmöglich machen an private Daten oder Benutzereinstellungen zu gelangen, jedoch kann man nicht verhindern, dass sie die Festplatte ausbauen/austauschen/formatieren lassen. Dies ist prinzipiell nicht verhinderbar und man sollte selber auch froh sein, dass diese Möglichkeit dann immer noch existiert!
Dies alles bezieht sich hier also eher auf Privatanwender. Firmenrechner, wo zig unbekannte Menschen Zugriff haben, können nur teil-gesichert werden durch einige Tipps.
Passwortüberlegeungen:
Was sich mir schon manches für Passwörter auftaten, ist wirklich erschreckend. Daher sei dieser Absatz hier noch einmal vielen Menschen da draußen ans Herz gelegt. Man überlege sich bitte ein sicheres Passwort. Es sollte so schwer sein, dass man selber schon Probleme hat es sich zu merken. Als guter alter Tipp sei hier angebracht, dass man Passwörter auch ruhig auf einen Zettel schreiben kann und sich an den Computer kleben kann, sofern man seinen Mitbewohnern vertraut. In Firmennetzen und anderen öffentlichen Orten sollte man dies bitte absolut unterlassen!
Unix-Systeme schenken einem schon so viel Sicherheit, wie es Windows niemals kann. Diese sollte man auch nicht kaputt machen durch leicht zu erratende Passwörter!
Als Passwort-Überlegungen bieten sich folgende Optionen:
Überlegen Sie sich einen Satz. Als Beispiel: Wir lieben Apfeltalk.
Nun ändern wir es nach oben genannten Punkten um: :wI4!l0Ve&4pFe/!4lK
Der Passwort-Assistent würde es als ziemlich sicher einschätzen. Das ist unser Ziel. Der Fantasie sind keine Grenzen gesetzt. Man sollte variieren und keinen Algorithmus erkennen lassen.
2. Benutzereinstellungen:
Prinzipiell: je weniger Benutzer, desto sicherer!
Nach diesem Motto sollte man dann folgende Konstellation anstreben: einen Verwalter- und einen Benutzer-Account.
Der Verwalter: dieser ist zur Verwaltung des Rechners befähigt.
Der Benutzer: darf Anwendungen etc. ausführen und hat nur beschränkte Rechte in der globalen Datenstruktur
Daher bietet sich dann folgendes an:
Man geht zu Systemeinstellungen -> Benutzer.
Man erzeugt durch "+" einen weiteren Benutzer. Sein Kurzname sollte kurz, bündig und nicht so leicht zu erraten sein, wie ntadmin, admin, etc.
"Name" ist dann nur der Anzeige-Name sozusagen. Man sollte sich ein nicht leicht zu erratendes Passwort hier überlegen. Von der Merkhilfe sollte man hier Abstand nehmen, da diese oft eine Steilvorlage für das Erraten des Passwortes ist. Es kann jedoch ruhig das selbe Passwort bei Verwalter und Benutzer sein, wenn man der einzige Benutzer am Computer ist. Sollten weitere Benutzer darauf noch Zugriff haben, sollte man gleich von Anfang an ein anderes Passwort für den Verwalter nehmen als für den eigenen Benutzer.
Ein Häckchen muss dann noch bei "der Benutzer darf diesen Computer verwalten" gemacht werden.
Ich hab meinen Verwalter-Account Verwalter genannt und arbeite unter meinem Benutzer-Account. Dies erreicht man nachdem man den Verwalter-Account erzeugt hat. Dann kann man nämlich seinen Benutzer-Account das Häckchen entfernen bei "Der Benutzer darf diesen Computer verwalten". Es muss immer einen Admin bei OSX geben.
Verwaltungswerkzeuge wie OnyX arbeiten nicht mehr unter einem normalen Benutzer-Account. Diese können nur als Adminstrator gestartet werden.
3. Anmelde-Einstellungen
Im selben Fenster bei der Benutzer-Verwaltung findet man die Anmelde-Optionen. Wenn man diese anklickt, landet man bei den Einstellungen.
Hier sollte nun kein Häckchen drin sein. Ich bin gegen schnellen und damit unsicheren Benutzer-Wechsel, automatisches unsicheres anmelden und auch gegen die Auswahlen Neustart, Ruhezustand und Ausschalten beim Login. Die Kennwort-Merkhilfe blenden wir hier am besten auch gleich komplett aus.
Wir ändern dann am besten noch bei "Anmeldefenster zeigt an" von "Liste und Benutzer" zu "Name und Passwort". So muss der Angreifer erst einmal die Benutzernamen wissen...
root-Login
Dieser sollte grundsätzlich auf jeden System deaktiviert sein! Jeder überprüfe das bitte bei sich. Dazu geht man zu Dienstprogrammen -> NetInfo Manager. Dort kann man sich entwender beim Menüpunkt Sicherheit -> "Identifizieren" oder auch indem man auf das Schloß klickt.
Hat man die nötigen Rechte kann man beim Menüpunkt Sicherheit den root-Benutzer deaktivieren, falls dieser auf aktiv steht. Sollte er inaktiv sein, dann kann man ihn dort nur aktivieren, und das tun wir nicht!
Hier kann man auch gleich im NetInfo-Manager das ausgeschriebene Benutzer-Passwort entfernen. Dazu wechselt man nachdem man sich identifiziert hat in der Spalten-Ansicht zu "users". Man sollte prinzipiell vorsichtig sein mit dem Bearbeiten und Löschen von Informationen im NIM! Hier kann man das Passwort welches in Klarsicht mit Sternchen in der Tabelle beim jeweiligen Benutzer steht, entfernen. Dies bitte nur bei normalen Benutzerns machen. Dazu geht man zum jeweiligen Benutzer. Z.B. dem Verwalter-Account (die Liste ist nach Kurznamen sortiert).
Wenn man diesen anklickt, taucht die Listenübersicht unten auf und man markiert die Passwort-Zeile mit den Sternchen und entfernt diese.
Dann sichert man die Einstellungen und übernimmt diese.
Dieser Eingriff hat bei mir keine Probleme hervor gerufen. Ich denke es ist eher das berücktigte Überbleibsel, welches immer übrig bleibt, wenn ein Account und sein Passwort neu erstellten wurden. Womit das Passwort in Klarsicht rückkonvertiert werden kann mit dem richtigen Algorithmus (hier rate ich einfach nur wild)
Ich verwende OnyX für verwaltende Aktionen unter OSX. Es ist Free-Ware und bietet Möglichkeiten bequem die Sicherheit ein bisschen zu erweitern.
Zur Sicherheit zählt bei mir auch ein warnender Hinweis beim Anmelde-Bildschirm! Ich hab aus der Linux- und Netzwerk-Welt gelernt, dass ein Warn-Hinweis des Betretens von privatem Bereichen ausdrücklich erwähnt werden muss, um den Angreifer zu signalisieren, dass dies nicht erwünscht ist und auch verfolgt wird. Unter OnyX können wir unter dem Punkt Anpassen -> Login ein Häckchen machen, dass der Text im Login Windows angezeigt wird.
Hier gehört nun ein Text hin, der vor dem Versuch des Einbruches in private Daten warnt aufgezeichnet und gegebenenfalls nach geltenen Recht zur Anzeige gebracht werden kann. Der Angreifer ist damit gewarnt und muss mit den Konsequenzen leben. Andernfalls kann es heissen, dass er ja nicht wusste, dass er nicht in den Account rein darf.
Bei OnxY werden wir dann auch noch gleich die beiden Häckchen weiter unten aktivieren bei Neustart/Abmelden/Aussschalten-Befehle bei Login und Ruhezustand. Dadurch können keine ungesicherten Daten verloren gehen! Es bleibt jedoch immer noch die böswillige Möglichkeit den Power-Knopf wenige Sekunden gedrückt zu halten...
4. Sicherheitseinstellungen und Verschlüsselungen
Für diesen Punkt gehen wir in Systemeinstellungen -> Sicherheit.
Hier legen wir ein Hauptkennwort fest, falls dieses noch nicht getan wurde. Wie der Name schon sagt, ist dies ein sehr großes mächtiges Kennwort. Denn mit diesem kann man die Benutzer und Verwalter-Passwörter zurücksetzen lassen indem man die Installations-DVD und deren Menü nutzt.
Nachdem das Hauptkennwort festgelegt wurde, ist die Überlegung angebracht, ob man FileVault aktivieren möchte. FileVault ist eine Verschlüsselung der persönlichen Daten, indem das Benutzer-Verzeichnis als verschlüsseltes Image gesichert wird. Der Nachteil des Ganzen: es brauch ein bisschen mehr Platz und es gibt es den Speicherplatz von gelöschten Daten erst dann frei, wenn man sich abmeldet oder neustartet. Ansonsten hilft nur sicheres entfernen beim Papierkorb. Da werden die Daten sofort freigegeben, was seine Zeit dauert. Wenn man empfindliche Daten besitzt, sollte man diese per FileVault sichern. Sind die Daten kleiner, reicht auch ein kleines angelegtes verschlüsseltes Images. Das FileVault-Image liegt dann im Verzeichnis /Users/.Benutzername/Benutzername.sparseimage.
Als nächstes sollte ein Häckchen bei "Kennwort verlangen nach Beenden des Ruhezustandes", "Automatisches Anmelden deaktivieren" (global), "Kennwort verlangen für die Freigabe ..." , "Sicheren virtuellen Speicher verwenden".
Da ich schon das Tutorial von yinthaar verlinkt hatte, möchte ich noch gleich andere Möglichkeiten aufzählen, die sich für Verschlüsselungen und Schutz bieten.
Die Verschlüsselung von openssl ist nutzbar. Dies erklär ich ein andermal.
Dann existiert der GNU Privacy Guard. Im gleichen Atemzug sei PGP Mail noch genannt, welches in der Hinsicht das nach der GNU-License freiverfügbare PGP kostenpflichtig mit professionellen Support vertreibt.
Eine weitere Schutzmaßnahme ist das setzen eines Firmware-Passwortes. Jedoch ist dies nur sehr bedingt sicher, und wie ich hier schon schrieb, lässt es sich auch relativ leicht ausheben. Alle Verschlüsselungen verhindern aber unerlaubten Zugriff durch den Firewire-Modus oder andere Kopier-Aktionen. Es bleibt nur eine verschlüsselte Datei, die erstmal entschlüsselt werden muss.
5. Software-Aktualisierungen
So ähnlich wichtig wie das Passwort! Jedes Programm, jedes Betriebssystem, jeder Daemon hat Sicherheitslücken und Fehler. Diese werden jedoch erst durch intensiven Gebrauch klar und vom Hersteller gestopft. Jedoch können diese Löcher auch nur gestopft werden, wenn auch die Möglichkeit für eine Aktualisierung gegeben ist.
Daher gehen wir in Systemeinstellungen -> Software-Aktualisierung. Hier machen wir ein Häckchen bei Nach Updates suchen und stellen die Suche auf Täglich.
Dazu sollte man bei allen Anwendungen wie z.B. MS Office 2004 darauf achten, dass die Aktualisierung aktiviert ist. Oft liegt es nicht am Betriebssystem, sondern an zusätzlichen Applikationen, die erst die Löcher ins System reissen durch schlechte Programmierung. Hier mache ich aber MS keinen Vorwurf, sondern brauchte nur eine Applikationsnamen als Beispiel. Also bitte nicht in den falschen Hals kriegen.
6. Schlüsselbund
Der Schlüsselbund... ein mächtiges und schützenswertes Tool! Hier sind alle gespeicherten Passwörter verwart und können auch mit dem richtigen Zugriff ausgelesen werden können.
Finden tut man dieses Werkzeuge unter Dienstprogramme -> Schlüsselbund. Hier gehen wir erst einmal in die Einstellungen und aktivieren den "Status in der Menüleiste anzeigen". Hier sehen wir ob der Schlüsselbund geschützt oder offen ist. Außerdem können wir so schnell den Schreibtisch sperren. Alternativ können wir auch den Bildschirmschoner in eine der aktiven Ecken von Expose platzieren.
Desweiteren können wir unter Erste Hilfe weitere Maßnahmen ergriffen werden. Jedoch hab ich hier nur das Häckchen beim dritten Punkt entfernt.
Wichtiger erschien mir dagegen, nachdem wir die Einstellungen geschloßen haben, auf Bearbeiten -> Einstellungen für Schlüsselbund-Anmeldungen ändern zu gehen.
Es ist nämlich standard-mäßig aktiviert, dass der Schlüsselbund während man angemeldet ist, nicht geschloßen wird, trotz Inaktivität! Ich hab es auf 5 Minuten Inaktivtät gesetzt. Nun wird man von manchen Programmen auch erst gefragt, ob sie ausgeführt oder auf bestimmte Schlüssel zugreifen dürfen, wenn man den Schlüsselbund längere Zeit nicht verwendet hat. Genauso muss der Punkt Schlüsselbund "Während des Ruhezustandes schützten" aktiviert sein.
7. Classic OS
Ein delikates Thema... hier sollte nach dem Motto agiert werden: If you don't use it, remove it!
Ich selber nutze es aber, und brauche es auch für ein paar ältere Anwendungen. Mir sind keine gravierenden Sicherheitslücken bekannt. In der System-Sicherheit ist es aber immer am klügsten das zu administrierende System so klein wie möglich zu halten. Um Classic zu entfernen brauch es jedoch etwas Fingerspitzen-Gefühl...
um alles komplett von Classic zu löschen, reichen folgende Befehle:
sudo rm -rf /System/Library/PreferencesPanes/Classic.prefpane/
rm -rf /System/Library/Classic/
rm -rf /System/Library/Core Services/Classic Startup.app/
rm -rf /System/Library/User Template/English.lproj/Deskop (Mac OS 9)/
rm -rf /Systemordner/
rm -rf /Mac OS 9 Files/
rm -rf /Applications(Mac OS 9)/
Um sudo ausführen zu können muss man als Admin angemeldet sein, da man sonst nicht in der /etc/sudo drin steht. Die Applikationen von OS 9 lassen sich auch bequem per Terminal löschen. Jedoch muss man den Systemordner schon mit etwas mehr Nachdruck per Terminal und root-Rechten entgegen treten.
8. Bluetooth
Dies ist ein Thema für sich.... Bluetooth ist bequem, eigentlich sehr nützlich und nicht ganz sicher. Es bietet zig Möglichkeiten mit verbundenen Rechnern schei**e zu bauen. Daher stell ich hier die Einstellungen etwas schärfer.
Unter Systemeinstellungen -> Bluetooth kann man unter Einstellungen erstmal Bluetooth deaktivieren, falls dies noch nicht ist. Dann lassen wir uns den Status von Bluetooth in der Menüleiste anzeigen. Wir nehme auch das Häckchen bei "Sichtbar" heraus. So sollte nur ein Häckchen auf der Seite drin sein.
Unter Geräte kann man die derzeitig verfügbaren Geräte sehen, wenn Bluetooth aktiviert ist. Unter Sharing sollte man die Dateiübertragung aussschalten und verschlüsseln. Indem man das Häckchen bei "Ein" heraus nimmt und eines beim Schlüssel setzt. Alle anderen Häckchen sollten entfernt werden oder nur die Verschlüsselung aktiviert sein. Als Ordner sollte ein eingeschränkter Unterordner ausgewählt werden, wie der "Öffentlich"-Ordner. Durch das Symbol in der Menüleiste lässt sich bei einer nötigen Benutzung von Bluetooth alles schnell wieder aktivieren und nutzen.
9. Netzwerkdienste
Nun beginnt erst der eigentliche Teil der Arbeit, denn die vorher besprochenen Sachen haben eher physikalischen Missbrauch verhindert. Nun müssen wir den Missbrauch von außen verhindern.
Dazu gehen wir zu Systemeinstellungen -> Sharing -> Dienste.
Hier gilt, nur das Nötigste aktivieren!
Zur Erklärung der existierenden Dienste, und ob man diese brauch:
Personal-File Sharing: Apple Filing Protocol. Brauch man natürlich auch nur, wenn man weitere Macs im Netzwerk hat denen man Freigaben per AFP ermöglicht.
Windows Sharing: Samba oder Common Internet File System (kurz CIFS). Diesen Dienst brauch man auch nur, wenn die Freigaben per SMB genutzt werden und wenn auch Windows-Rechner im Netz sind, die diese Freigaben nutzen können. Zusätzlichen lassen sich auch Accounts für SMB einschränken.
Personal Web Sharing: HTTP und der Dienst ist Apache HTTP Server. Diesen Dienst brauch man nur um seine eigene Homepage im Netzwerk online zu stellen. Weiterhin kann durch Router-Einstellungen der Dienst so genutzt werden, dass Zugriffe von außen auch auf die private Homepage möglich sind. Es empfiehlt sich jedoch ein Werkzeug namens MAMP zu installieren und zu nutzen. Durch ein kleines Widget ist so der HTTP und MySQL-Server schnell ein- und aus-zuschalten. HTTP-Server wimmeln durch installierte Plugins nur so von möglichen Schwachstellen.
FTP-Zugriff: sollte man prinzipiell deaktivieren! Ich weiss nicht wozu man diesen Dienst bei einem privatgenutzten Mac aktivieren muss! Es nutzt den Dienst tntftpd.
Apple Remote Desktop: kurz ARD. Ist dieser Dienst aktiviert, eröffnet man den ARD-Server. Nun kann mit Programmen wie VNC, SSH etc. auf den Mac zugegriffen werden. Es lässt sich einiges bei den Zugriffsrechten einschränken. Prinzipiell sollte dieser Dienst deaktiviert sein, aber in Notfällen wo man Hilfe von anderen brauch, ist es manchmal auch sehr hilfreich.
Entfernte Apple Events: EPPC. Hier kann man als Airport Extreme Server z.B. agieren. Dabei reagiert man auf ausgesendete Signale von anderen Macs. Hiervon ist eigentlich erstmal Abstand zu nehmen.
Printer Sharing: es nutzt CUPS und bedeutet, dass man einen angeschloßenen Drucker auch dem Netzwerk freigeben kann ohne Windows-Sharing aktiviert zu haben.
Hallo,
ich wollte ein paar vielleicht hilfreiche Worte zum Thema System-Sicherheit verlieren. OS X ist ansich ein sicheres Konstrukt, welches aber hier und da noch sicherer gestaltet werden kann. Es ist prinzipiell nach der Installation so ausgerichtet, dass es teilweise sicher ist. Bei aktiven Versuchen, dass System zu knacken, geht OS X dann aber ein. Dies lässt sich mit ein paar kurzen Handgriffen bereits erledigen. Die Möglichkeiten sind da unbegrenzt bis hin zur puren Paranoia. Diesen extremen Menschen empfehle ich die Airport-Card aus ihren Mac heraus zu reissen und zu verbrennen. Der Mac gehört dann eingeschloßen in ein Acryl-Gefäß welches Alarm gesichert ist. Den Gedanken können diese paranoiden Menschen dann gerne weiterspinnen.
Für alle anderen ein kleiner kurzer Überblick über die Teilbereiche:
- Grundsätzliches zu Beginn
- Benutzereinstellungn
- Anmelde-Einstellungen
- Sicherheits-Einstellungen und Verschlüsselungen
- System-Aktualisierungen
- Schlüsselbund
- Classic OS
- Bluetooth
- Netzwerkdienste
- Verzeichnisdienste
- Firewall-Einstellungen
- Safari und Co.
- Zum Ende
- Links
1. Grundsätzliches zu Beginn:
Es ist nicht möglich ein absolut 100%ig sicheres System zu schaffen! Man kann es aber jedem Angreifer egal ob physikalischer oder netzwerk-technischer Natur verdammt schwer machen. Je mehr Zeit dieser Angreifer aufbringen muss, desto unattraktiver wird das angegriffene Objekt. Dies sollte sich jeder vorher klar machen. Ich distanziere mich dann von jeglichen Ansprüchen, die jemand mir gegenüber geltend machen will, wenn er nicht mehr an seine Daten kommt oder es mit der Sicherheit übertrieben hatte. Menschenverstand sollte bei diesem Thema einfach angeschaltet und auch benutzt werden. Danke
Prinzipiell kann man sagen, dass man netzwerk-technische Angreifer durch das Herausziehen alle Netzwerk-Komponenten los ist. Angreifer die physikalischen Zugriff auf das Objekt haben, kann man es sehr schwer bis unmöglich machen an private Daten oder Benutzereinstellungen zu gelangen, jedoch kann man nicht verhindern, dass sie die Festplatte ausbauen/austauschen/formatieren lassen. Dies ist prinzipiell nicht verhinderbar und man sollte selber auch froh sein, dass diese Möglichkeit dann immer noch existiert!
Dies alles bezieht sich hier also eher auf Privatanwender. Firmenrechner, wo zig unbekannte Menschen Zugriff haben, können nur teil-gesichert werden durch einige Tipps.
Passwortüberlegeungen:
Was sich mir schon manches für Passwörter auftaten, ist wirklich erschreckend. Daher sei dieser Absatz hier noch einmal vielen Menschen da draußen ans Herz gelegt. Man überlege sich bitte ein sicheres Passwort. Es sollte so schwer sein, dass man selber schon Probleme hat es sich zu merken. Als guter alter Tipp sei hier angebracht, dass man Passwörter auch ruhig auf einen Zettel schreiben kann und sich an den Computer kleben kann, sofern man seinen Mitbewohnern vertraut. In Firmennetzen und anderen öffentlichen Orten sollte man dies bitte absolut unterlassen!
Unix-Systeme schenken einem schon so viel Sicherheit, wie es Windows niemals kann. Diese sollte man auch nicht kaputt machen durch leicht zu erratende Passwörter!
Als Passwort-Überlegungen bieten sich folgende Optionen:
- Gross- und Kleinschreibung
- zusätzliche Zahlen-Kombinationen
- Sonderzeichen-Verwendungen
- Hacker-Sprache
- Satz-Konstellationen
- mehr als 12 Zeichen (am besten mehr als 20 Zeichen)
- Passwort vom Passwort-Assistenten kreieren lassen
Überlegen Sie sich einen Satz. Als Beispiel: Wir lieben Apfeltalk.
Nun ändern wir es nach oben genannten Punkten um: :wI4!l0Ve&4pFe/!4lK
Der Passwort-Assistent würde es als ziemlich sicher einschätzen. Das ist unser Ziel. Der Fantasie sind keine Grenzen gesetzt. Man sollte variieren und keinen Algorithmus erkennen lassen.
2. Benutzereinstellungen:
Prinzipiell: je weniger Benutzer, desto sicherer!
Nach diesem Motto sollte man dann folgende Konstellation anstreben: einen Verwalter- und einen Benutzer-Account.
Der Verwalter: dieser ist zur Verwaltung des Rechners befähigt.
Der Benutzer: darf Anwendungen etc. ausführen und hat nur beschränkte Rechte in der globalen Datenstruktur
Daher bietet sich dann folgendes an:
Man geht zu Systemeinstellungen -> Benutzer.
Man erzeugt durch "+" einen weiteren Benutzer. Sein Kurzname sollte kurz, bündig und nicht so leicht zu erraten sein, wie ntadmin, admin, etc.
"Name" ist dann nur der Anzeige-Name sozusagen. Man sollte sich ein nicht leicht zu erratendes Passwort hier überlegen. Von der Merkhilfe sollte man hier Abstand nehmen, da diese oft eine Steilvorlage für das Erraten des Passwortes ist. Es kann jedoch ruhig das selbe Passwort bei Verwalter und Benutzer sein, wenn man der einzige Benutzer am Computer ist. Sollten weitere Benutzer darauf noch Zugriff haben, sollte man gleich von Anfang an ein anderes Passwort für den Verwalter nehmen als für den eigenen Benutzer.
Ein Häckchen muss dann noch bei "der Benutzer darf diesen Computer verwalten" gemacht werden.
Ich hab meinen Verwalter-Account Verwalter genannt und arbeite unter meinem Benutzer-Account. Dies erreicht man nachdem man den Verwalter-Account erzeugt hat. Dann kann man nämlich seinen Benutzer-Account das Häckchen entfernen bei "Der Benutzer darf diesen Computer verwalten". Es muss immer einen Admin bei OSX geben.
Verwaltungswerkzeuge wie OnyX arbeiten nicht mehr unter einem normalen Benutzer-Account. Diese können nur als Adminstrator gestartet werden.
3. Anmelde-Einstellungen
Im selben Fenster bei der Benutzer-Verwaltung findet man die Anmelde-Optionen. Wenn man diese anklickt, landet man bei den Einstellungen.
Hier sollte nun kein Häckchen drin sein. Ich bin gegen schnellen und damit unsicheren Benutzer-Wechsel, automatisches unsicheres anmelden und auch gegen die Auswahlen Neustart, Ruhezustand und Ausschalten beim Login. Die Kennwort-Merkhilfe blenden wir hier am besten auch gleich komplett aus.
Wir ändern dann am besten noch bei "Anmeldefenster zeigt an" von "Liste und Benutzer" zu "Name und Passwort". So muss der Angreifer erst einmal die Benutzernamen wissen...
root-Login
Dieser sollte grundsätzlich auf jeden System deaktiviert sein! Jeder überprüfe das bitte bei sich. Dazu geht man zu Dienstprogrammen -> NetInfo Manager. Dort kann man sich entwender beim Menüpunkt Sicherheit -> "Identifizieren" oder auch indem man auf das Schloß klickt.
Hat man die nötigen Rechte kann man beim Menüpunkt Sicherheit den root-Benutzer deaktivieren, falls dieser auf aktiv steht. Sollte er inaktiv sein, dann kann man ihn dort nur aktivieren, und das tun wir nicht!
Hier kann man auch gleich im NetInfo-Manager das ausgeschriebene Benutzer-Passwort entfernen. Dazu wechselt man nachdem man sich identifiziert hat in der Spalten-Ansicht zu "users". Man sollte prinzipiell vorsichtig sein mit dem Bearbeiten und Löschen von Informationen im NIM! Hier kann man das Passwort welches in Klarsicht mit Sternchen in der Tabelle beim jeweiligen Benutzer steht, entfernen. Dies bitte nur bei normalen Benutzerns machen. Dazu geht man zum jeweiligen Benutzer. Z.B. dem Verwalter-Account (die Liste ist nach Kurznamen sortiert).
Wenn man diesen anklickt, taucht die Listenübersicht unten auf und man markiert die Passwort-Zeile mit den Sternchen und entfernt diese.
Dann sichert man die Einstellungen und übernimmt diese.
Dieser Eingriff hat bei mir keine Probleme hervor gerufen. Ich denke es ist eher das berücktigte Überbleibsel, welches immer übrig bleibt, wenn ein Account und sein Passwort neu erstellten wurden. Womit das Passwort in Klarsicht rückkonvertiert werden kann mit dem richtigen Algorithmus (hier rate ich einfach nur wild)
Ich verwende OnyX für verwaltende Aktionen unter OSX. Es ist Free-Ware und bietet Möglichkeiten bequem die Sicherheit ein bisschen zu erweitern.
Zur Sicherheit zählt bei mir auch ein warnender Hinweis beim Anmelde-Bildschirm! Ich hab aus der Linux- und Netzwerk-Welt gelernt, dass ein Warn-Hinweis des Betretens von privatem Bereichen ausdrücklich erwähnt werden muss, um den Angreifer zu signalisieren, dass dies nicht erwünscht ist und auch verfolgt wird. Unter OnyX können wir unter dem Punkt Anpassen -> Login ein Häckchen machen, dass der Text im Login Windows angezeigt wird.
Hier gehört nun ein Text hin, der vor dem Versuch des Einbruches in private Daten warnt aufgezeichnet und gegebenenfalls nach geltenen Recht zur Anzeige gebracht werden kann. Der Angreifer ist damit gewarnt und muss mit den Konsequenzen leben. Andernfalls kann es heissen, dass er ja nicht wusste, dass er nicht in den Account rein darf.
Bei OnxY werden wir dann auch noch gleich die beiden Häckchen weiter unten aktivieren bei Neustart/Abmelden/Aussschalten-Befehle bei Login und Ruhezustand. Dadurch können keine ungesicherten Daten verloren gehen! Es bleibt jedoch immer noch die böswillige Möglichkeit den Power-Knopf wenige Sekunden gedrückt zu halten...
4. Sicherheitseinstellungen und Verschlüsselungen
Für diesen Punkt gehen wir in Systemeinstellungen -> Sicherheit.
Hier legen wir ein Hauptkennwort fest, falls dieses noch nicht getan wurde. Wie der Name schon sagt, ist dies ein sehr großes mächtiges Kennwort. Denn mit diesem kann man die Benutzer und Verwalter-Passwörter zurücksetzen lassen indem man die Installations-DVD und deren Menü nutzt.
Nachdem das Hauptkennwort festgelegt wurde, ist die Überlegung angebracht, ob man FileVault aktivieren möchte. FileVault ist eine Verschlüsselung der persönlichen Daten, indem das Benutzer-Verzeichnis als verschlüsseltes Image gesichert wird. Der Nachteil des Ganzen: es brauch ein bisschen mehr Platz und es gibt es den Speicherplatz von gelöschten Daten erst dann frei, wenn man sich abmeldet oder neustartet. Ansonsten hilft nur sicheres entfernen beim Papierkorb. Da werden die Daten sofort freigegeben, was seine Zeit dauert. Wenn man empfindliche Daten besitzt, sollte man diese per FileVault sichern. Sind die Daten kleiner, reicht auch ein kleines angelegtes verschlüsseltes Images. Das FileVault-Image liegt dann im Verzeichnis /Users/.Benutzername/Benutzername.sparseimage.
Als nächstes sollte ein Häckchen bei "Kennwort verlangen nach Beenden des Ruhezustandes", "Automatisches Anmelden deaktivieren" (global), "Kennwort verlangen für die Freigabe ..." , "Sicheren virtuellen Speicher verwenden".
Da ich schon das Tutorial von yinthaar verlinkt hatte, möchte ich noch gleich andere Möglichkeiten aufzählen, die sich für Verschlüsselungen und Schutz bieten.
Die Verschlüsselung von openssl ist nutzbar. Dies erklär ich ein andermal.
Dann existiert der GNU Privacy Guard. Im gleichen Atemzug sei PGP Mail noch genannt, welches in der Hinsicht das nach der GNU-License freiverfügbare PGP kostenpflichtig mit professionellen Support vertreibt.
Eine weitere Schutzmaßnahme ist das setzen eines Firmware-Passwortes. Jedoch ist dies nur sehr bedingt sicher, und wie ich hier schon schrieb, lässt es sich auch relativ leicht ausheben. Alle Verschlüsselungen verhindern aber unerlaubten Zugriff durch den Firewire-Modus oder andere Kopier-Aktionen. Es bleibt nur eine verschlüsselte Datei, die erstmal entschlüsselt werden muss.
5. Software-Aktualisierungen
So ähnlich wichtig wie das Passwort! Jedes Programm, jedes Betriebssystem, jeder Daemon hat Sicherheitslücken und Fehler. Diese werden jedoch erst durch intensiven Gebrauch klar und vom Hersteller gestopft. Jedoch können diese Löcher auch nur gestopft werden, wenn auch die Möglichkeit für eine Aktualisierung gegeben ist.
Daher gehen wir in Systemeinstellungen -> Software-Aktualisierung. Hier machen wir ein Häckchen bei Nach Updates suchen und stellen die Suche auf Täglich.
Dazu sollte man bei allen Anwendungen wie z.B. MS Office 2004 darauf achten, dass die Aktualisierung aktiviert ist. Oft liegt es nicht am Betriebssystem, sondern an zusätzlichen Applikationen, die erst die Löcher ins System reissen durch schlechte Programmierung. Hier mache ich aber MS keinen Vorwurf, sondern brauchte nur eine Applikationsnamen als Beispiel. Also bitte nicht in den falschen Hals kriegen.
6. Schlüsselbund
Der Schlüsselbund... ein mächtiges und schützenswertes Tool! Hier sind alle gespeicherten Passwörter verwart und können auch mit dem richtigen Zugriff ausgelesen werden können.
Finden tut man dieses Werkzeuge unter Dienstprogramme -> Schlüsselbund. Hier gehen wir erst einmal in die Einstellungen und aktivieren den "Status in der Menüleiste anzeigen". Hier sehen wir ob der Schlüsselbund geschützt oder offen ist. Außerdem können wir so schnell den Schreibtisch sperren. Alternativ können wir auch den Bildschirmschoner in eine der aktiven Ecken von Expose platzieren.
Desweiteren können wir unter Erste Hilfe weitere Maßnahmen ergriffen werden. Jedoch hab ich hier nur das Häckchen beim dritten Punkt entfernt.
Wichtiger erschien mir dagegen, nachdem wir die Einstellungen geschloßen haben, auf Bearbeiten -> Einstellungen für Schlüsselbund-Anmeldungen ändern zu gehen.
Es ist nämlich standard-mäßig aktiviert, dass der Schlüsselbund während man angemeldet ist, nicht geschloßen wird, trotz Inaktivität! Ich hab es auf 5 Minuten Inaktivtät gesetzt. Nun wird man von manchen Programmen auch erst gefragt, ob sie ausgeführt oder auf bestimmte Schlüssel zugreifen dürfen, wenn man den Schlüsselbund längere Zeit nicht verwendet hat. Genauso muss der Punkt Schlüsselbund "Während des Ruhezustandes schützten" aktiviert sein.
7. Classic OS
Ein delikates Thema... hier sollte nach dem Motto agiert werden: If you don't use it, remove it!
Ich selber nutze es aber, und brauche es auch für ein paar ältere Anwendungen. Mir sind keine gravierenden Sicherheitslücken bekannt. In der System-Sicherheit ist es aber immer am klügsten das zu administrierende System so klein wie möglich zu halten. Um Classic zu entfernen brauch es jedoch etwas Fingerspitzen-Gefühl...
um alles komplett von Classic zu löschen, reichen folgende Befehle:
sudo rm -rf /System/Library/PreferencesPanes/Classic.prefpane/
rm -rf /System/Library/Classic/
rm -rf /System/Library/Core Services/Classic Startup.app/
rm -rf /System/Library/User Template/English.lproj/Deskop (Mac OS 9)/
rm -rf /Systemordner/
rm -rf /Mac OS 9 Files/
rm -rf /Applications(Mac OS 9)/
Um sudo ausführen zu können muss man als Admin angemeldet sein, da man sonst nicht in der /etc/sudo drin steht. Die Applikationen von OS 9 lassen sich auch bequem per Terminal löschen. Jedoch muss man den Systemordner schon mit etwas mehr Nachdruck per Terminal und root-Rechten entgegen treten.
8. Bluetooth
Dies ist ein Thema für sich.... Bluetooth ist bequem, eigentlich sehr nützlich und nicht ganz sicher. Es bietet zig Möglichkeiten mit verbundenen Rechnern schei**e zu bauen. Daher stell ich hier die Einstellungen etwas schärfer.
Unter Systemeinstellungen -> Bluetooth kann man unter Einstellungen erstmal Bluetooth deaktivieren, falls dies noch nicht ist. Dann lassen wir uns den Status von Bluetooth in der Menüleiste anzeigen. Wir nehme auch das Häckchen bei "Sichtbar" heraus. So sollte nur ein Häckchen auf der Seite drin sein.
Unter Geräte kann man die derzeitig verfügbaren Geräte sehen, wenn Bluetooth aktiviert ist. Unter Sharing sollte man die Dateiübertragung aussschalten und verschlüsseln. Indem man das Häckchen bei "Ein" heraus nimmt und eines beim Schlüssel setzt. Alle anderen Häckchen sollten entfernt werden oder nur die Verschlüsselung aktiviert sein. Als Ordner sollte ein eingeschränkter Unterordner ausgewählt werden, wie der "Öffentlich"-Ordner. Durch das Symbol in der Menüleiste lässt sich bei einer nötigen Benutzung von Bluetooth alles schnell wieder aktivieren und nutzen.
9. Netzwerkdienste
Nun beginnt erst der eigentliche Teil der Arbeit, denn die vorher besprochenen Sachen haben eher physikalischen Missbrauch verhindert. Nun müssen wir den Missbrauch von außen verhindern.
Dazu gehen wir zu Systemeinstellungen -> Sharing -> Dienste.
Hier gilt, nur das Nötigste aktivieren!
Zur Erklärung der existierenden Dienste, und ob man diese brauch:
Personal-File Sharing: Apple Filing Protocol. Brauch man natürlich auch nur, wenn man weitere Macs im Netzwerk hat denen man Freigaben per AFP ermöglicht.
Windows Sharing: Samba oder Common Internet File System (kurz CIFS). Diesen Dienst brauch man auch nur, wenn die Freigaben per SMB genutzt werden und wenn auch Windows-Rechner im Netz sind, die diese Freigaben nutzen können. Zusätzlichen lassen sich auch Accounts für SMB einschränken.
Personal Web Sharing: HTTP und der Dienst ist Apache HTTP Server. Diesen Dienst brauch man nur um seine eigene Homepage im Netzwerk online zu stellen. Weiterhin kann durch Router-Einstellungen der Dienst so genutzt werden, dass Zugriffe von außen auch auf die private Homepage möglich sind. Es empfiehlt sich jedoch ein Werkzeug namens MAMP zu installieren und zu nutzen. Durch ein kleines Widget ist so der HTTP und MySQL-Server schnell ein- und aus-zuschalten. HTTP-Server wimmeln durch installierte Plugins nur so von möglichen Schwachstellen.
FTP-Zugriff: sollte man prinzipiell deaktivieren! Ich weiss nicht wozu man diesen Dienst bei einem privatgenutzten Mac aktivieren muss! Es nutzt den Dienst tntftpd.
Apple Remote Desktop: kurz ARD. Ist dieser Dienst aktiviert, eröffnet man den ARD-Server. Nun kann mit Programmen wie VNC, SSH etc. auf den Mac zugegriffen werden. Es lässt sich einiges bei den Zugriffsrechten einschränken. Prinzipiell sollte dieser Dienst deaktiviert sein, aber in Notfällen wo man Hilfe von anderen brauch, ist es manchmal auch sehr hilfreich.
Entfernte Apple Events: EPPC. Hier kann man als Airport Extreme Server z.B. agieren. Dabei reagiert man auf ausgesendete Signale von anderen Macs. Hiervon ist eigentlich erstmal Abstand zu nehmen.
Printer Sharing: es nutzt CUPS und bedeutet, dass man einen angeschloßenen Drucker auch dem Netzwerk freigeben kann ohne Windows-Sharing aktiviert zu haben.
Zuletzt bearbeitet:
nämlich an der Firewall -> Stealth-Modus-Einstellung.
