Discussion:
Software Update rückgängig machen?
(zu alt für eine Antwort)
Joe Kotroczo
2012-08-20 08:20:00 UTC
Permalink
Hallo alle,

Nachdem Apple am Wochenende via Software Update neue HP Treiber released
hat stürzt mir nun alle Applikationen ab die Versuchen zu drucken, mit
Ausname von Acrobat Reader. Bisher abgestürzt: Preview.app, Safari,
Firefox und Word.

Abstürze gibt's auch wenn man nur versucht ein "Save to PDF" zu machen.

Wie sehr ich das Scheisse finde brauche ich hoffentlich nicht im Detail
zu beschreiben.
--
Illegitimi non carborundum
Joe Kotroczo
2012-08-20 08:37:38 UTC
Permalink
Post by Joe Kotroczo
Hallo alle,
Nachdem Apple am Wochenende via Software Update neue HP Treiber released
hat stürzt mir nun alle Applikationen ab die Versuchen zu drucken, mit
Ausname von Acrobat Reader. Bisher abgestürzt: Preview.app, Safari,
Firefox und Word.
Abstürze gibt's auch wenn man nur versucht ein "Save to PDF" zu machen.
Wie sehr ich das Scheisse finde brauche ich hoffentlich nicht im Detail
zu beschreiben.
Gefixed.

Mit eine m sudo rm -rf /Library/Printers/hp/PDEs

Hrmpf.
--
Illegitimi non carborundum
Başar Alabay
2012-08-20 10:42:40 UTC
Permalink
Post by Joe Kotroczo
Mit eine m sudo rm -rf /Library/Printers/hp/PDEs
Dazu mal eine Frage, wenn es doch gerade wieder um sudo geht. Tippst Du
das aus Deinem normalen User heraus ins Terminal? Oder machst Du vorher
noch ein su admin oder login admin?

B. Alabay
--
લવ ઇસ્તંબુલ
http://www.thetrial.de/
Joe Kotroczo
2012-08-20 10:50:56 UTC
Permalink
Post by Başar Alabay
Post by Joe Kotroczo
Mit eine m sudo rm -rf /Library/Printers/hp/PDEs
Dazu mal eine Frage, wenn es doch gerade wieder um sudo geht. Tippst Du
das aus Deinem normalen User heraus ins Terminal? Oder machst Du vorher
noch ein su admin oder login admin?
Mein normaler User? Ich hab auf dieser Kiste genau einen Account, und
der hat Admin Rechte. Ich wüsste jetzt auch keinen Grund das anders zu
handhaben.
--
Illegitimi non carborundum
Başar Alabay
2012-08-20 11:31:51 UTC
Permalink
Post by Joe Kotroczo
Post by Başar Alabay
Post by Joe Kotroczo
Mit eine m sudo rm -rf /Library/Printers/hp/PDEs
Dazu mal eine Frage, wenn es doch gerade wieder um sudo geht. Tippst Du
das aus Deinem normalen User heraus ins Terminal? Oder machst Du vorher
noch ein su admin oder login admin?
Mein normaler User? Ich hab auf dieser Kiste genau einen Account, und
der hat Admin Rechte. Ich wüsste jetzt auch keinen Grund das anders zu
handhaben.
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.

B. Alabay
--
લવ ઇસ્તંબુલ
http://www.thetrial.de/
Stefan
2012-08-20 11:34:38 UTC
Permalink
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Joe Kotroczo
2012-08-20 11:40:07 UTC
Permalink
Post by Stefan
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Würde mich auch mal interessieren.
--
Illegitimi non carborundum
Ingo Lembcke
2012-08-20 12:37:25 UTC
Permalink
Hallo,
Post by Joe Kotroczo
Post by Stefan
Und was soll das bringen?
Würde mich auch mal interessieren.
Wow? Das als Frage? Das sollte eigentlich Standard sein. Auch unter Windows. Aber da funktioniert es nicht gut, jedenfalls bei XP ohne zusätzliche Tools zum Finetunen.
Unter anderem wegen der Sicherheit.

Ich arbeite hier auch mit einem Admin-User, bin also kein gutes Beispiel, aber das heisst ja nicht, das ich nicht weiss, wie es sein sollte. Es trennt auch die Verwaltung (Admin-Aufgaben) von der normalen Benutzung. Für 1 User am Rechner mag das als Overkill erscheinen, sowie auch jemand anders am Rechner sitzt, mit eigener Anmeldung, würde ich auch meinen eigenen User als normalen Benutzer einrichten und einen extra Admin-User.

Die Server-Tools ermöglichen bei Mac OS X 10.6 finetunening, ob und wie die noch bei 10.7 / 8 funktionieren, oder es extra neue Versionen gibt, weiss ich jetzt nicht. Sind auf jeden Fall kostenlos, mind. für Entwickler (ggf. mal mit kostenlosem Entwickler-Zugang kucken, ob die runterzuladen sind). Wobei es bei Mac OS auch ohne funktioniert. Die Möglichkeiten sind aber interessant, u.a. Passwort-Bedingungen, Zeitvorgaben etc.

Mfg,
Ingo Lembcke
Fritz
2012-08-20 14:10:51 UTC
Permalink
Post by Ingo Lembcke
Post by Joe Kotroczo
Würde mich auch mal interessieren.
Wow? Das als Frage? Das sollte eigentlich Standard sein. Auch unter Windows. Aber da funktioniert es nicht gut, jedenfalls bei XP ohne zusätzliche Tools zum Finetunen.
Unter anderem wegen der Sicherheit.
Als nicht Admin User unterwegs zu sein, sollte eigentlich Sicherheits
Standard sein!

Konkret beim Mac, könnte eine Angreifer, der sich hinter einen Script
auf einer WEB Seite verbirgt, nahezu jedes Programm im Programme Ordner
kompromittieren, ohne dass User es merkt!
--
Fritz
Bjoern Seegebarth
2012-08-20 14:21:33 UTC
Permalink
Post by Fritz
Konkret beim Mac, könnte eine Angreifer, der sich hinter einen Script
auf einer WEB Seite verbirgt, nahezu jedes Programm im Programme Ordner
kompromittieren, ohne dass User es merkt!
Hi!

Nö, beim mir zumindest wird für jede Änderung im Programme-Ordner das
Admin-Passwort angefragt.

Grüße
Björn
Patrick Kormann
2012-08-20 14:48:09 UTC
Permalink
Post by Bjoern Seegebarth
Nö, beim mir zumindest wird für jede Änderung im Programme-Ordner das
Admin-Passwort angefragt.
Ja ehrlich gesagt, ich habe mir das 'Standarduser' auch wieder
abgewöhnt, resp. hab beim neuen System vergessen den user zu 'demoten'...
Fritz
2012-08-20 16:12:14 UTC
Permalink
Post by Bjoern Seegebarth
Hi!
Nö, beim mir zumindest wird für jede Änderung im Programme-Ordner das
Admin-Passwort angefragt.
Auch bei einem FF, TB, SM, tbc. Update?

Ich mache einen Benutzerwechsel zum Admin-User und Update ....
--
Fritz
Joe Kotroczo
2012-08-20 18:33:52 UTC
Permalink
Post by Fritz
Post by Bjoern Seegebarth
Hi!
Nö, beim mir zumindest wird für jede Änderung im Programme-Ordner das
Admin-Passwort angefragt.
Auch bei einem FF, TB, SM, tbc. Update?
Ich mache einen Benutzerwechsel zum Admin-User und Update ....
Und was bringt dir der Benutzerwechsel?
--
Illegitimi non carborundum
Fritz
2012-08-20 18:54:13 UTC
Permalink
Post by Joe Kotroczo
Post by Fritz
Ich mache einen Benutzerwechsel zum Admin-User und Update ....
Und was bringt dir der Benutzerwechsel?
Unter den Nicht Admin arbeite ich, mit dem Admin User installiere ich
jene Programme die man eigentlich nur in den Programme Order kopieren
muss - damit hat der Nicht-Admin User *nur* Leserechte auf alle Programme.

Ist das nun klar?
--
Fritz
Joe Kotroczo
2012-08-20 19:03:54 UTC
Permalink
Post by Fritz
Post by Joe Kotroczo
Post by Fritz
Ich mache einen Benutzerwechsel zum Admin-User und Update ....
Und was bringt dir der Benutzerwechsel?
Unter den Nicht Admin arbeite ich, mit dem Admin User installiere ich
jene Programme die man eigentlich nur in den Programme Order kopieren
muss - damit hat der Nicht-Admin User *nur* Leserechte auf alle Programme.
Ist das nun klar?
Nein. Ich verstehe nicht was das bringen soll.
--
Illegitimi non carborundum
Markus Ammann
2012-08-20 19:43:27 UTC
Permalink
Post by Joe Kotroczo
Post by Fritz
Post by Joe Kotroczo
Post by Fritz
Ich mache einen Benutzerwechsel zum Admin-User und Update ....
Und was bringt dir der Benutzerwechsel?
Unter den Nicht Admin arbeite ich, mit dem Admin User installiere ich
jene Programme die man eigentlich nur in den Programme Order kopieren
muss - damit hat der Nicht-Admin User *nur* Leserechte auf alle Programme.
Ist das nun klar?
Nein. Ich verstehe nicht was das bringen soll.
Das Verschieben in dem Papierkorb ist nur mit Leserecht nicht möglich ;-).

Probier es mal aus...

1. Thunderbird zu
2. Mauszeiger in dem Programmordner auf Thunderbird.app
3. Via Kontextmenü "In den Papierkorb legen"
4. Mauszeiger auf dem Papierkorb
5. Via Kontextmenü "Papierkorb entleeren"

Funktioniert dann so nur als Admin.

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Fritz
2012-08-21 12:33:55 UTC
Permalink
Das Verschieben in dem Papierkorb ist nur mit Leserecht nicht möglich;-).
Probier es mal aus...
1. Thunderbird zu
2. Mauszeiger in dem Programmordner auf Thunderbird.app
3. Via Kontextmenü "In den Papierkorb legen"
4. Mauszeiger auf dem Papierkorb
5. Via Kontextmenü "Papierkorb entleeren"
Funktioniert dann so nur als Admin.
Gruss Markus
Markus,
du verstehst mich was ich meine! Genauso könnte eine kompromittierte WEB
Seite den Firefox verändern, wenn man als Admin unterwegs ist - ist der
Admin User doch Owner der FF Datei und hat volle Rechte.

Warum wohl werden erkannte Security Holes bei Browsern, Browser Add-Ins
(z.B. Adobe Flash), Mailprogrammen, Multimediaprogrammen (z.B. VLC),
usw. ASAP gefixt?
--
Fritz
Fritz
2012-08-21 12:29:08 UTC
Permalink
Post by Joe Kotroczo
Post by Fritz
Unter den Nicht Admin arbeite ich, mit dem Admin User installiere ich
jene Programme die man eigentlich nur in den Programme Order kopieren
muss - damit hat der Nicht-Admin User*nur* Leserechte auf alle Programme.
Ist das nun klar?
Nein. Ich verstehe nicht was das bringen soll.
Ich will nicht den Lehrer spielen der dir dies solange erklärt bis du
die Beweggründe verstehst!
--
Fritz
Thomas Kaiser
2012-08-20 20:08:45 UTC
Permalink
Post by Fritz
Post by Joe Kotroczo
Post by Fritz
Ich mache einen Benutzerwechsel zum Admin-User und Update ....
Und was bringt dir der Benutzerwechsel?
Unter den Nicht Admin arbeite ich, mit dem Admin User installiere ich
jene Programme die man eigentlich nur in den Programme Order kopieren
muss - damit hat der Nicht-Admin User *nur* Leserechte auf alle Programme.
Ist das nun klar?
Mir nicht so wirklich. Ich habe aus nachvollziehbaren Gründen auch einen
Normal-Account, der nicht in der admin-Gruppe ist. Mit dem mache ich
alles (außer Software-Updates für ältere Adobe-Software, für die man
bescheuerterweise per "schnellem Benutzerwechsel" in den Admin-Account
wechseln muß, weil die alten Adobe-Updater sonst nicht funktionieren).

Aber ansonsten ist das mit dem Benutzerwechsel unter MacOS X doch
wirklich praktikabel gelöst -- im Gegensatz zu bspw. Windows. Wenn ich
irgendwas irgendwohin kopieren oder installieren will, wo der Normaluser
nicht hinkommt, poppt doch eh der Authentifizierungsdialog auf, bei dem
ich dann die Logon Credentials des Admin-Accounts angebe _ohne_ komplett
in diesen Account wechseln zu müssen.

Ab 10.7 ist der Unterschied zwischen Normaluser und Admin aber relativ
gering geworden, da MacOS X an den neuralgischen Stellen nun auch beim
Werkeln mit Admin-Account erst nochmal nachfragt. Bleibt als Haupt-
unterschied eigentlich nur noch paar andere Ecken im Dateisystem, bei
denen der Normaluser (bzw. Schadcode in dessen Namen) nicht hinkommt und
daß eine ggf. mal existente Sicherheitslücke in sudo beim Werkeln als
Normaluser dann keine Konsequenz haben wird, während der Admin-Account
dann direkt zu root-Allmacht führt.

Ein weiterer Unterschied ist das, was der angemeldete User in den
Systemeinstellungen ohne Nachfrage herumklicken kann (sowohl
fernsteuerbar über "System Events" respektive "GUI Scripting" als auch
teils direkt per AppleScript). Das ist allerdings einstellbar über die
Datei /etc/authorization.

Und der -- IMO traurige -- Umstand, daß Normaluser nicht von
periodischen Software-Update-Checks profitieren (glaub ich zumindest,
daß das immer noch gilt -- ich hab mir da schon vor Jahren 'nen kleinen
LaunchDaemon geschrieben, der das aus 'nem Admin-Account heraus täglich
prüft)

Gruss,

Thomas
Fritz
2012-08-21 12:51:29 UTC
Permalink
Post by Thomas Kaiser
Aber ansonsten ist das mit dem Benutzerwechsel unter MacOS X doch
wirklich praktikabel gelöst -- im Gegensatz zu bspw. Windows. Wenn ich
irgendwas irgendwohin kopieren oder installieren will, wo der Normaluser
nicht hinkommt, poppt doch eh der Authentifizierungsdialog auf, bei dem
ich dann die Logon Credentials des Admin-Accounts angebe_ohne_ komplett
in diesen Account wechseln zu müssen.
Ja der Wechsel geht sehr zügig vonstatten. Nur sollte man jene Programme
die man updaten will (z.B. die Mozilla Familie) vorher beim Normaluser
schließen.

Programme die man nur in den Programme Ordner hinein kopieren muss,
'installiere' (kopiere) ich nur als Admin User. Dadurch kann ich sie nur
als angemeldeter Admin User updaten.

Bei jenen Programmen, die einen vollständigen Installer (z.B. MS Office
2011) mitbringen ist es eigentlich egal - beim Normaluser musst halt
zusätzlich den Namen des Adminusers eintippen. Bei jenen Programmen
haben der User System und die Gruppe Admin volle Rechte, egal unter
welchem User man die Installation beginnt.
Post by Thomas Kaiser
Ab 10.7 ist der Unterschied zwischen Normaluser und Admin aber relativ
gering geworden, da MacOS X an den neuralgischen Stellen nun auch beim
Werkeln mit Admin-Account erst nochmal nachfragt. Bleibt als Haupt-
unterschied eigentlich nur noch paar andere Ecken im Dateisystem, bei
denen der Normaluser (bzw. Schadcode in dessen Namen) nicht hinkommt und
daß eine ggf. mal existente Sicherheitslücke in sudo beim Werkeln als
Normaluser dann keine Konsequenz haben wird, während der Admin-Account
dann direkt zu root-Allmacht führt.
Z.B. bei wird bei macports sowieso alles nur per Terminal installiert,
da hilt su und danach sudo
Post by Thomas Kaiser
Ein weiterer Unterschied ist das, was der angemeldete User in den
Systemeinstellungen ohne Nachfrage herumklicken kann (sowohl
fernsteuerbar über "System Events" respektive "GUI Scripting" als auch
teils direkt per AppleScript). Das ist allerdings einstellbar über die
Datei /etc/authorization.
Guter Tip, muss ich mir ansehen!

Die Normaluser haben z.B. auch keine Leserechte auf das system.log und
kernel.log - das kernel.log gibt es unter ML anscheinend nicht mehr, wo
werden nun die kernel Meldungen abgesetzt?

Ich habe halt für alle User lesen gesetzt. Nach einer Rechtereparatur
muss man halt wieder nachbessern.
Post by Thomas Kaiser
Und der -- IMO traurige -- Umstand, daß Normaluser nicht von
periodischen Software-Update-Checks profitieren (glaub ich zumindest,
daß das immer noch gilt -- ich hab mir da schon vor Jahren 'nen kleinen
LaunchDaemon geschrieben, der das aus 'nem Admin-Account heraus täglich
prüft)
Bei ML funktioniert der komplette Software Update Check und das Update
über den AppStore und man bekommt eine Meldung falls es etwas zu Updaten
gibt - auch als Normaluser!
--
Fritz
Joe Kotroczo
2012-08-20 15:07:04 UTC
Permalink
Post by Fritz
Post by Ingo Lembcke
Post by Joe Kotroczo
Würde mich auch mal interessieren.
Wow? Das als Frage? Das sollte eigentlich Standard sein. Auch unter Windows. Aber da funktioniert es nicht gut, jedenfalls bei XP ohne zusätzliche Tools zum Finetunen.
Unter anderem wegen der Sicherheit.
Als nicht Admin User unterwegs zu sein, sollte eigentlich Sicherheits
Standard sein!
Konkret beim Mac, könnte eine Angreifer, der sich hinter einen Script
auf einer WEB Seite verbirgt, nahezu jedes Programm im Programme Ordner
kompromittieren, ohne dass User es merkt!
Sorry, aber das klingt für mich alles wie Geschwafel.

Wie soll ein Script auf einer Webseite Programme "kompromittieren"?

Und selbst wenn das ginge, ich würde es spätestens dann merken wenn der
Rechner nach dem Passwort fragt.
--
Illegitimi non carborundum
Fritz
2012-08-20 16:19:01 UTC
Permalink
Post by Joe Kotroczo
Post by Fritz
Konkret beim Mac, könnte eine Angreifer, der sich hinter einen Script
auf einer WEB Seite verbirgt, nahezu jedes Programm im Programme Ordner
kompromittieren, ohne dass User es merkt!
Sorry, aber das klingt für mich alles wie Geschwafel.
Wie soll ein Script auf einer Webseite Programme "kompromittieren"?
Und selbst wenn das ginge, ich würde es spätestens dann merken wenn der
Rechner nach dem Passwort fragt.
Bei einem FF Update (als Admin User ausgeführt) werde ich nicht nach
einem PW gefragt, da wäre es ein Leichtes den FF zu kompromittieren, der
Admin User ist ja der Owner und hat volle Rechte auf das Programm FF.
Und es sind ja noch nie Angriffe von einen ebenfalls gekaperten WEB
Server aus gestartet worden ;->>>

Jeder ist seines Un-Glückes Schmid! Einen Unix/Linux User würde so etwas
nie einfallen. Und jene die der MS Rechtebeschränkung trauen ... die
wurde schon oft trickreich ausgehebelt.

Für mich gilt - der User mit dem ich arbeite *hat keine* Admin
Berechtigung! Egal was der Hersteller (MS) oder sonstige Security (?)
Spezialisten sagen!
--
Fritz
Joe Kotroczo
2012-08-20 18:41:30 UTC
Permalink
Post by Fritz
Post by Joe Kotroczo
Post by Fritz
Konkret beim Mac, könnte eine Angreifer, der sich hinter einen Script
auf einer WEB Seite verbirgt, nahezu jedes Programm im Programme Ordner
kompromittieren, ohne dass User es merkt!
Sorry, aber das klingt für mich alles wie Geschwafel.
Wie soll ein Script auf einer Webseite Programme "kompromittieren"?
Und selbst wenn das ginge, ich würde es spätestens dann merken wenn der
Rechner nach dem Passwort fragt.
Bei einem FF Update (als Admin User ausgeführt) werde ich nicht nach
einem PW gefragt, da wäre es ein Leichtes den FF zu kompromittieren, der
Admin User ist ja der Owner und hat volle Rechte auf das Programm FF.
Und es sind ja noch nie Angriffe von einen ebenfalls gekaperten WEB
Server aus gestartet worden ;->>>
Mir scheint ich verstehe leider gerade nicht wovon du redest.

Mein Firefox sagt Bescheid wenn ein Update da ist und fragt "soll das
installiert werden?".

Wo genau liegt denn da der Unterschied ob ich gleich "ja, installier!"
klicke, oder erst den User wechsele und dann erst "ja, installier!"
klicke? Installiert wird es doch so oder so von einem Admin-Account aus.

Ich verstehe ganz einfach nicht was den der Sinn der ganzen
User-Wechselei sein soll.
--
Illegitimi non carborundum
Fritz
2012-08-20 18:52:08 UTC
Permalink
Post by Joe Kotroczo
Mir scheint ich verstehe leider gerade nicht wovon du redest.
Mein Firefox sagt Bescheid wenn ein Update da ist und fragt "soll das
installiert werden?".
Wo genau liegt denn da der Unterschied ob ich gleich "ja, installier!"
klicke, oder erst den User wechsele und dann erst "ja, installier!"
klicke? Installiert wird es doch so oder so von einem Admin-Account aus.
Ich verstehe ganz einfach nicht was den der Sinn der ganzen
User-Wechselei sein soll.
Ich rede *nicht* von einen Update sondern von einen bösartigen Script
auf einen von dir besuchten Server, dass *deinen* FF heimlich
modifizieren kann, da du ja der Owner der FF Dateien bist.

Bei mir tut sich dieses bösartige Script schon wesentlich schwerer, denn
es darf die FF Dateien nicht modifizieren!

Jetzt soweit klar!?

Unter Linux ist selbst bei einen User der in der sudo Gruppe ist,
zumindest eine Passworteingabe notwendig, AFAIK gehören bei Linux *Alle*
Programme dem root. Das ist ein grundlegender Unterschied zu Apple OS X.
--
Fritz
Joe Kotroczo
2012-08-20 19:17:35 UTC
Permalink
Post by Fritz
Post by Joe Kotroczo
Mir scheint ich verstehe leider gerade nicht wovon du redest.
Mein Firefox sagt Bescheid wenn ein Update da ist und fragt "soll das
installiert werden?".
Wo genau liegt denn da der Unterschied ob ich gleich "ja, installier!"
klicke, oder erst den User wechsele und dann erst "ja, installier!"
klicke? Installiert wird es doch so oder so von einem Admin-Account aus.
Ich verstehe ganz einfach nicht was den der Sinn der ganzen
User-Wechselei sein soll.
Ich rede *nicht* von einen Update sondern von einen bösartigen Script
auf einen von dir besuchten Server, dass *deinen* FF heimlich
modifizieren kann, da du ja der Owner der FF Dateien bist.
Doch, vorhin war's noch ein Update.

Und jetzt ist es ein "böses Script".

Naja, ich weiß ja nicht wo du dich so im Web rumtreibst, aber mir sind
diese legendären "bösen Scripte" noch nicht begegnet.
Post by Fritz
Bei mir tut sich dieses bösartige Script schon wesentlich schwerer, denn
es darf die FF Dateien nicht modifizieren!
Jetzt soweit klar!?
Ja, mir ist jetzt klar das die Diskussion nix bringt.
--
Illegitimi non carborundum
Fritz
2012-08-21 12:27:38 UTC
Permalink
Post by Joe Kotroczo
Doch, vorhin war's noch ein Update.
Bitte lies das nochmals, ich fürchte du hast nicht verstanden wie das
gemeint ist:
Bei einem FF Update (als Admin User ausgeführt) werde ich nicht nach
einem PW gefragt, da wäre es ein Leichtes den FF zu kompromittieren, der
Admin User ist ja der Owner und hat volle Rechte auf das Programm FF.
Und es sind ja noch nie Angriffe von einen ebenfalls gekaperten WEB
Server aus gestartet worden ;->>>
Post by Joe Kotroczo
Und jetzt ist es ein "böses Script".
Naja, ich weiß ja nicht wo du dich so im Web rumtreibst, aber mir sind
diese legendären "bösen Scripte" noch nicht begegnet.
Es gibt diese!

Etwas Lektüre für dich:
<http://www.heise.de/security/>

<https://duckduckgo.com/?q=b%C3%B6sartige+scripte+auf+web+seiten&kl=at-de>
Post by Joe Kotroczo
Post by Fritz
Bei mir tut sich dieses bösartige Script schon wesentlich schwerer, denn
es darf die FF Dateien nicht modifizieren!
Jetzt soweit klar!?
Ja, mir ist jetzt klar das die Diskussion nix bringt.
LOL ... und es ist mir schnurz egal was du auf deinen Rechner tust, aber
spiel dich nicht so auf, wenn Andere zwei Accounts einrichten - einen
Normaluser für's Arbeiten und einen Adminuser für Systempflege.
--
Fritz
Joe Kotroczo
2012-08-21 13:04:26 UTC
Permalink
On 21/08/2012 13:27, Fritz wrote:

(...)
Post by Fritz
<http://www.heise.de/security/>
LOL. Ausgerechnet diesen Witzverlag?
--
Illegitimi non carborundum
Fritz
2012-08-21 13:10:35 UTC
Permalink
Post by Joe Kotroczo
Post by Fritz
<http://www.heise.de/security/>
LOL. Ausgerechnet diesen Witzverlag?
Und was ist nun der Witz daran?

Ich habe die Heise News und Security News abonniert und bin immer über
Bedrohungen und Updates informiert.

Der Heise Verlag gehört doch zu den renommierten unter den IT Verlagen,
oder kennst du einen Besseren?
--
Fritz
Joe Kotroczo
2012-08-20 15:09:07 UTC
Permalink
Post by Ingo Lembcke
Hallo,
Post by Joe Kotroczo
Post by Stefan
Und was soll das bringen?
Würde mich auch mal interessieren.
Wow? Das als Frage? Das sollte eigentlich Standard sein.
Warum denn?

Ausser "das hat so zu sein" habe ich bisher noch keine einleuchtende
Erklärung dazu gelesen.
--
Illegitimi non carborundum
Fritz
2012-08-20 16:24:20 UTC
Permalink
Post by Joe Kotroczo
Warum denn?
Ausser "das hat so zu sein" habe ich bisher noch keine einleuchtende
Erklärung dazu gelesen.
Suche mal da
<http://www.macmark.de/>
--
Fritz
Dominik Schlütter
2012-08-20 19:34:47 UTC
Permalink
Post by Joe Kotroczo
Warum denn?
Weil in den meisten Sicherheitskonzepten nach der Prämisse agiert wird,
dem User jeweils nur gerade so viele Rechte zu geben, wie er/sie für
seine aktuelle Tätigkeit braucht.
Post by Joe Kotroczo
Ausser "das hat so zu sein" habe ich bisher noch keine einleuchtende
Erklärung dazu gelesen.
Als normaler Benutzer muss ich z.B. nicht im Programm-Ordner schreiben.
Dementsprechend kann auch Malware, die unter meinem Benutzernamen
ausgeführt wird (weil es vielleicht irgendwo in den von mir genutzten
Programmen eine Sicherheitslücke gab) dort kein Unheil anrichten.

Ich kenne jetzt keine aktuelle Lücke, aber in früheren Versionen von Mac
OS X war es beispielsweise möglich, dass man als Mitglied der Gruppe
'admin' in Verzeichnisse schreiben durfte, deren Inhalte beim nächsten
Systemstart mit root-Rechten ausgeführt werden (das nennt sich dann
"privilege escalation", und auch da hilft es in der Regel, wenn man
möglichst viele Stufen bis zum "darf alles" hat). Dann wird auch kein
Admin-Kennwort abgefragt, das passiert einfach - oder eben nicht, weil
der gemeine Benutzer ja eben nicht Mitglied der 'admin'-Gruppe ist.

Ich bin im Regelfall auch als unprivilegierter Nutzer auf meinem System
eingeloggt, mit dem Admin-Account musste ich mich schon lange nicht mehr
via GUI anmelden. Inzwischen funktioniert das auch als normaler Nutzer,
dort wird man dann im Zweifelsfall entsprechend nach einem
Administratornamen und -kennwort gefragt. Im Terminal habe ich in der
Regel zwei Fenster offen, in einem bin ich als Admin eingeloggt. Dann
ist auch ein schnelles 'sudo xy' kein Problem (aber man sollte halt
wissen, was man tut).


Gruß,

Dominik.
Joe Kotroczo
2012-08-20 20:38:25 UTC
Permalink
Post by Dominik Schlütter
Post by Joe Kotroczo
Warum denn?
Weil in den meisten Sicherheitskonzepten nach der Prämisse agiert wird,
dem User jeweils nur gerade so viele Rechte zu geben, wie er/sie für
seine aktuelle Tätigkeit braucht.
Post by Joe Kotroczo
Ausser "das hat so zu sein" habe ich bisher noch keine einleuchtende
Erklärung dazu gelesen.
Als normaler Benutzer muss ich z.B. nicht im Programm-Ordner schreiben.
Dementsprechend kann auch Malware, die unter meinem Benutzernamen
ausgeführt wird (weil es vielleicht irgendwo in den von mir genutzten
Programmen eine Sicherheitslücke gab) dort kein Unheil anrichten.
Ich kenne jetzt keine aktuelle Lücke, aber in früheren Versionen von Mac
OS X war es beispielsweise möglich, dass man als Mitglied der Gruppe
'admin' in Verzeichnisse schreiben durfte, deren Inhalte beim nächsten
Systemstart mit root-Rechten ausgeführt werden (das nennt sich dann
"privilege escalation", und auch da hilft es in der Regel, wenn man
möglichst viele Stufen bis zum "darf alles" hat). Dann wird auch kein
Admin-Kennwort abgefragt, das passiert einfach - oder eben nicht, weil
der gemeine Benutzer ja eben nicht Mitglied der 'admin'-Gruppe ist.
Ich bin im Regelfall auch als unprivilegierter Nutzer auf meinem System
eingeloggt, mit dem Admin-Account musste ich mich schon lange nicht mehr
via GUI anmelden. Inzwischen funktioniert das auch als normaler Nutzer,
dort wird man dann im Zweifelsfall entsprechend nach einem
Administratornamen und -kennwort gefragt. Im Terminal habe ich in der
Regel zwei Fenster offen, in einem bin ich als Admin eingeloggt. Dann
ist auch ein schnelles 'sudo xy' kein Problem (aber man sollte halt
wissen, was man tut).
Danke Dominik. Es gibt sie also doch, die einleuchtende Erklärung.
--
Illegitimi non carborundum
Fritz
2012-08-21 13:05:57 UTC
Permalink
Post by Dominik Schlütter
Ich bin im Regelfall auch als unprivilegierter Nutzer auf meinem System
eingeloggt, mit dem Admin-Account musste ich mich schon lange nicht mehr
via GUI anmelden. Inzwischen funktioniert das auch als normaler Nutzer,
dort wird man dann im Zweifelsfall entsprechend nach einem
Administratornamen und -kennwort gefragt. Im Terminal habe ich in der
Regel zwei Fenster offen, in einem bin ich als Admin eingeloggt. Dann
ist auch ein schnelles 'sudo xy' kein Problem (aber man sollte halt
wissen, was man tut).
Ich habe bisher keinen Weg gefunden als Normaluser ein Update von
Programmen aus der Mozilla Familie zu fahren.

Beispiel - beim FF habe ich es noch nicht zusammengebracht diesen als
Normaluser (Zwecks Update) mit Admin Rechten zu starten.

su, sudo "Programm.app" oder sudo open "Programm.app" funktionieren
nicht oder nicht wie gewünscht. Ich habe es auch schon mit der im
Container befindlichen ausführbaren Unix-Datei versucht. Ein runas, so
wie unter Windows, gibt es anscheinend nicht am Mac.

Es bedeutet aber kaum einen Mehraufwand gelegentlich den User zu
wechseln um Programme upzudaten - informiert, dass ein Update ansteht,
wird man ja trotzdem.
--
Fritz
Thomas Kaiser
2012-08-21 14:32:33 UTC
Permalink
Post by Fritz
Post by Dominik Schlütter
Ich bin im Regelfall auch als unprivilegierter Nutzer auf meinem
System eingeloggt, mit dem Admin-Account musste ich mich schon lange
nicht mehr via GUI anmelden. Inzwischen funktioniert das auch als
normaler Nutzer, dort wird man dann im Zweifelsfall entsprechend nach
einem Administratornamen und -kennwort gefragt. Im Terminal habe ich
in der Regel zwei Fenster offen, in einem bin ich als Admin
eingeloggt. Dann ist auch ein schnelles 'sudo xy' kein Problem (aber
man sollte halt wissen, was man tut).
Ich habe bisher keinen Weg gefunden als Normaluser ein Update von
Programmen aus der Mozilla Familie zu fahren.
Schau halt einfach mal unter Einstellungen --> Erweitert --> Update

Loading Image...

Wenn ein Update ansteht, sagt Dir Firefox das, Du gibst kurz die Logon
Credentials eines Admin-Accounts ein, Installation erfolgt, Neustart
erfolgt, fertig. *Null* Notwendigkeit, hierfür in einen Admin-Account zu
*wechseln*.
Post by Fritz
Beispiel - beim FF habe ich es noch nicht zusammengebracht diesen als
Normaluser (Zwecks Update) mit Admin Rechten zu starten.
Meine Güte, wozu denn bitte sehr?
Post by Fritz
su, sudo "Programm.app" oder sudo open "Programm.app" funktionieren
nicht oder nicht wie gewünscht. Ich habe es auch schon mit der im
Container befindlichen ausführbaren Unix-Datei versucht. Ein runas, so
wie unter Windows, gibt es anscheinend nicht am Mac.
Ein

su admin -c "/Applications/Firefox.app/Contents/MacOS/firefox"

funktioniert. Ist aber sowohl unnötig als auch gelinde gesagt doof. Und
wenn man's richtig macht, also per

su admin -c "open -a /Applications/Firefox.app"

dann sorgt open(1) gleich selbst dafür, daß Firefox in dieser Session
auch unter der richtigen UID, also der des "Normal-User" ausgeführt
wird. Immerhin gibt es da so Sachen wie Interprozeßkommunikation, Window
Server, loginwindow, etc. die Du leicht damit durcheinander bringen
kannst, wenn Du innerhalb einer graphischen Session Programme mischt,
die unter verschiedenen UIDs gestartet wurden!
Post by Fritz
Es bedeutet aber kaum einen Mehraufwand gelegentlich den User zu
wechseln um Programme upzudaten - informiert, dass ein Update ansteht,
wird man ja trotzdem.
Naja, mach das ruhig so maximal umständlich wie Du willst. Nötig ist es
jedenfalls nicht, für das, was Du so vorhast, andauernd von einem
normalen Account in einen Admin-Account zu wechseln. MacOS X kann das
seit 'zig Jahren, bei Bedarf einfach einen Authentifizierungs-Dialog
aufpoppen zu lassen, in dem man dann Name/Paßwort eines Admin-Accounts
angibt. Das ist wirklich so simpel -- vielleicht probierst Du es einfach
mal aus.

Gruss,

Thomas
Patrick Kormann
2012-08-21 14:40:56 UTC
Permalink
Post by Thomas Kaiser
Wenn ein Update ansteht, sagt Dir Firefox das, Du gibst kurz die Logon
Credentials eines Admin-Accounts ein, Installation erfolgt, Neustart
erfolgt, fertig. *Null* Notwendigkeit, hierfür in einen Admin-Account zu
*wechseln*.
Hmm, bin mir gerade nicht mehr sicher ob das bei Firefox auch der Fall
war, aber *so* viele Software fällt beim Update auf die Nase. Da gibt
man das Adminpasswort ein und am Ende kommt dann doch 'es ist ein Fehler
aufgetreten' und der gerade getätigte Download entschwindet im Nirwana.
Na ich werd's jetzt dann wieder merken, nach der Diskussion hier ist's
mir ja auch wieder eingefallen den Standarduser zu demoten.
Thomas Kaiser
2012-08-21 15:38:22 UTC
Permalink
Post by Patrick Kormann
Post by Thomas Kaiser
Wenn ein Update ansteht, sagt Dir Firefox das, Du gibst kurz die
Logon Credentials eines Admin-Accounts ein, Installation erfolgt,
Neustart erfolgt, fertig. *Null* Notwendigkeit, hierfür in einen
Admin-Account zu *wechseln*.
Hmm, bin mir gerade nicht mehr sicher ob das bei Firefox auch der Fall
war, aber *so* viele Software fällt beim Update auf die Nase. Da gibt
man das Adminpasswort ein und am Ende kommt dann doch 'es ist ein
Fehler aufgetreten' und der gerade getätigte Download entschwindet im
Nirwana.
Hmm... kann ich jetzt so nicht bestätigen. Alles, was bspw. auf dem
Sparkle Framework aufsetzt, läßt sich auf dem Weg wunderhübsch updaten.
Was allerdings lange Zeit (evtl. einschl. heute bzw. 10.8) nicht
funktionierte, war ein "Update" eines Application Bundle direkt im
Finder durch Austausch also Drüberkopieren. Da ploppte dann der
Authentifizierungs-Dialog auf, man gab den Admin-Kram ein, der Finder
tat so, als würde er kopieren und dann kam Fehlermeldung von wegen
fehlender Berechtigungen. Vorher das alte Application Bundle im ersten
Schritt im Finder löschen und dann das neue an die Stelle des alten
kopieren, ging hingegen (erforderte blöderweise aber dann auch zweimal
nacheinander die Logon Credentials des Admin-Accounts).

Und was auch 'ne ganze Weile immer wieder schiefging war der Selbst-
Update-Mechanismus von älterer Mozilla-Software, einfach weil die paar
Konzepte am Mac wohl noch nicht so ganz adaptiert hatten. Seitdem sie
sich aber in die "Authorization Services" [1] eingelesen haben, geht das
IMO tadellos.

Naja, diesbzgl. (also Authorization Services) steht ja eh grad ein
großer Paradigmenwechsel an. Besagte Authorization Services erlauben
gezielt "Privileges Escalation" in der Form, daß der User kurz nach
Admin-Paßwort gefragt wird und dann die Folgeaktion mit den
Berechtigungen des Admins respektive root erfolgt, _ohne_ daß man einen
Benutzerwechsel hinlegen muß (Fritz hin, Fritz her).

"Sandboxed Apps" (das, was Apple jetzt grad im "Mac App Store" forciert)
können genau darauf aber nicht mehr zugreifen, was aber auch an der
Stelle (also Updates) keine Rolle spielt, weil das Zeugs aus dem Mac App
Store ja auch über diesen auf die jeweils aktuellste Version gehoben
wird. Blöd ist das nur insofern, daß gewisse Features mancher Programme
auf genau solchen dann in der Sandbox verbotenen Features aufsetzen
(bspw. die Fähigkeit seitens eines Texteditors, eigentlich für den
angemeldeten User aufgrund mangelnder Berechtigungen nicht änderbare
Dateien per "Authorization Services" dann doch schreibbar zu machen)
bzw. sogar den Sinn und Zweck mancher Tools in Frage stellt (bspw.
"Witch", das sich der Accessibility APIs bedient, was "sandboxed apps"
nicht zur Verfügung steht).

Die alte Leier halt: Komfort vs. Sicherheit. Bzw. inzwischen in schöner
Analogie mit der (politischen) Wirklichkeit außerhalb des Rechners:
Sicherheit vs. Freiheit. Das Sandbox-Trallala, "Gatekeeper" und der App
Store werden OS X gewiß noch sicherer machen. Der Preis dafür ist eben
die Aufgabe der Freiheit -- das Ganze wird 'ne geschlossene Plattform
unter fremder -- in dem Fall Apples -- Kontrolle.

Gruss,

Thomas

[1] https://developer.apple.com/library/mac/#documentation/Security/Conceptual/authorization_concepts/01introduction/introduction.html#//apple_ref/doc/uid/TP30000995
Patrick Kormann
2012-08-22 20:09:36 UTC
Permalink
Post by Thomas Kaiser
Hmm... kann ich jetzt so nicht bestätigen. Alles, was bspw. auf dem
Sparkle Framework aufsetzt, läßt sich auf dem Weg wunderhübsch updaten.
Mir scheint, gerade Sparkle hat Probleme gemacht.
Aber gut, ich geb Bescheid sobald ich wieder in Probleme laufe ;)
Post by Thomas Kaiser
Die alte Leier halt: Komfort vs. Sicherheit. Bzw. inzwischen in schöner
Sicherheit vs. Freiheit. Das Sandbox-Trallala, "Gatekeeper" und der App
Store werden OS X gewiß noch sicherer machen. Der Preis dafür ist eben
die Aufgabe der Freiheit -- das Ganze wird 'ne geschlossene Plattform
unter fremder -- in dem Fall Apples -- Kontrolle.
Tja, das mit der Sandboxerei der AppStore Apps find ich 'schade'.. aber
wen kümmert's... :)
Fritz
2012-08-21 16:27:00 UTC
Permalink
Post by Thomas Kaiser
Post by Fritz
Ich habe bisher keinen Weg gefunden als Normaluser ein Update von
Programmen aus der Mozilla Familie zu fahren.
Schau halt einfach mal unter Einstellungen --> Erweitert --> Update
http://kaiser-edv.de/tmp/Qn273x/Bildschirmfoto%202012-08-21%20um%2016.15.14.png
Wenn ein Update ansteht, sagt Dir Firefox das, Du gibst kurz die Logon
Credentials eines Admin-Accounts ein, Installation erfolgt, Neustart
erfolgt, fertig.*Null* Notwendigkeit, hierfür in einen Admin-Account zu
*wechseln*.
Thomas,
danke für die Hinweise.

War schon wie in deinen Screenshot angehakt.

Das hat bei mir noch nie vom Standarduser aus funktioniert, werde es
beim nächsten FF Update genauer beobachten.
Post by Thomas Kaiser
Post by Fritz
Beispiel - beim FF habe ich es noch nicht zusammengebracht diesen als
Normaluser (Zwecks Update) mit Admin Rechten zu starten.
Meine Güte, wozu denn bitte sehr?
Hat mich mal (aus alter Windows Manier) interessiert!
Post by Thomas Kaiser
Post by Fritz
su, sudo "Programm.app" oder sudo open "Programm.app" funktionieren
nicht oder nicht wie gewünscht. Ich habe es auch schon mit der im
Container befindlichen ausführbaren Unix-Datei versucht. Ein runas, so
wie unter Windows, gibt es anscheinend nicht am Mac.
Ein
su admin -c "/Applications/Firefox.app/Contents/MacOS/firefox"
funktioniert. Ist aber sowohl unnötig als auch gelinde gesagt doof. Und
wenn man's richtig macht, also per
su admin -c "open -a /Applications/Firefox.app"
dann sorgt open(1) gleich selbst dafür, daß Firefox in dieser Session
auch unter der richtigen UID, also der des "Normal-User" ausgeführt
wird. Immerhin gibt es da so Sachen wie Interprozeßkommunikation, Window
Server, loginwindow, etc. die Du leicht damit durcheinander bringen
kannst, wenn Du innerhalb einer graphischen Session Programme mischt,
die unter verschiedenen UIDs gestartet wurden!
Soweit ich erinnere habe ich es so noch nicht probiert. Werde es testen.
Post by Thomas Kaiser
Post by Fritz
Es bedeutet aber kaum einen Mehraufwand gelegentlich den User zu
wechseln um Programme upzudaten - informiert, dass ein Update ansteht,
wird man ja trotzdem.
Naja, mach das ruhig so maximal umständlich wie Du willst. Nötig ist es
jedenfalls nicht, für das, was Du so vorhast, andauernd von einem
normalen Account in einen Admin-Account zu wechseln. MacOS X kann das
seit 'zig Jahren, bei Bedarf einfach einen Authentifizierungs-Dialog
aufpoppen zu lassen, in dem man dann Name/Paßwort eines Admin-Accounts
angibt. Das ist wirklich so simpel -- vielleicht probierst Du es einfach
mal aus.
Bei der Mozilla Familie gabs damit immer Probleme. Bei
Erstinstallationen die ein reines Kopieren bedürfen (was nach Admin
Anmeldung auch funktioniert), wechsle ich deshalb auch den Admin User,
da sonst der berechtigte Owner des Programmes der Standard User ist.
--
Fritz
Juergen P. Meier
2012-08-24 05:12:24 UTC
Permalink
Post by Fritz
Post by Dominik Schlütter
Ich bin im Regelfall auch als unprivilegierter Nutzer auf meinem System
eingeloggt, mit dem Admin-Account musste ich mich schon lange nicht mehr
via GUI anmelden. Inzwischen funktioniert das auch als normaler Nutzer,
dort wird man dann im Zweifelsfall entsprechend nach einem
Administratornamen und -kennwort gefragt. Im Terminal habe ich in der
Regel zwei Fenster offen, in einem bin ich als Admin eingeloggt. Dann
ist auch ein schnelles 'sudo xy' kein Problem (aber man sollte halt
wissen, was man tut).
Ich habe bisher keinen Weg gefunden als Normaluser ein Update von
Programmen aus der Mozilla Familie zu fahren.
Die "ich verzichte auf die Sicherheit, dass Normaluser an den
Binaries nix aendern darf"-Variante:

sudo chown -R Normaluser /Applications/FireFox.app/Contents

Die "ich mach das so, wie von OSX vorgesehen"-Variante:

FireFox.app aus dem UPdate DMG-Bundle nach /Applications "drag
& Drop"-en, beim Popupdialog der nach Admin-Rechten fragt die
Admin-Kennung und das Admin-Passwort eintippen, Fertig.

Die dritte Variante, die mir spontan einfaellt, moechte ich nicht
oeffentlich vormachen, da es Unsinnig ist mit Gruppen-Schreibrechten
an Programminstallationen herumzupfuschen.
Post by Fritz
Beispiel - beim FF habe ich es noch nicht zusammengebracht diesen als
Normaluser (Zwecks Update) mit Admin Rechten zu starten.
Das Muss Man Auch Nicht. Alles was du brauchst ist auf
"http://www.mozilla.org/" zu gehen, dort den Dicken Fetten "Download"
Button anzuklicken, warten biss das DMG-Fenster aufpopppt und dann das
eine Icon auf das andere Icon ziehen.
Post by Fritz
su, sudo "Programm.app" oder sudo open "Programm.app" funktionieren
nicht oder nicht wie gewünscht. Ich habe es auch schon mit der im
Natuerlich nicht. Das sind fuer sudo nur VErzeichnisse, die
eigentlichen Binaries (Programme) liegen in einem Unterverziechnis.
Post by Fritz
Container befindlichen ausführbaren Unix-Datei versucht. Ein runas, so
Mit sudo gestartet laeuft es unter einer andern UID. Inwiefern das
helfen sollte, steht auf einem andern Blatt. Da in diesem Beispiel
insbesonder die Randbedingungen voellig anders sind als unter Windows
bringt dich das erfolgreiche Starten unter einer anderen UID jedoch
nicht weiter.
Post by Fritz
wie unter Windows, gibt es anscheinend nicht am Mac.
Natuerlich nicht. Ist auch voellig Ueberfluessig.

Du versuchst krampfhaft mit dienen von Windows erlernten Kruecken ein
OS X zu bedienen, das ist zum SCheitern verurteilt.
Loese dich von den Konzepten und erlernten Faehigkeiten im Umgang mit
Windows und lerne diese Teile neu (anders). Und schon hast du damit
keine Probleme mehr.
(dies ist uebrigens eine der Hauptquellen fuer alle Probleme die
Umsteiger mit OSX haben - sie koennen sich einfach nicht vom anders
erlernten Verhaltensweisen loesen).

Ich weis das ist anstrengend, aber die Muehe lohnt sich! (BTDT)
Post by Fritz
Es bedeutet aber kaum einen Mehraufwand gelegentlich den User zu
wechseln um Programme upzudaten - informiert, dass ein Update ansteht,
wird man ja trotzdem.
Du musst nur lernen, wie das eigentlche Problem "Applikationen
upzudaten" unter OSX *konzeptionell* geloest ist, und dich daran
orientieren. Und schon sinkt der Aufwand auf nahezu Null - zumindest
deutlich geringer als unter Windows.

Gerade bei Firefox gestaltet sich ein Update der Applikation unter OSX
einfach: Icon auf "Applications" ziehen, als Admin authentifizieren,
fertig. Risiko dabei: Null.

Bei Windows sieht das hingegen schwieriger und riskanter aus:
1.) Firefox als Admin starten, ggf. Proxy-einstellungen korrigieren
weil anderes Profil. Ohne schuetzende Plugins (NoScript, ABP ...)
bereits bei der Startseite Werbebanner laden die u.U. genau die
Sicherheitsluecke ausnutzen wollen, die man gerade patchen will...
2.) Update-Funktion auswaehlen
3.) Installer ausfuehren, warten dass der Installer firefox.exe
Prozess ordentlich beenden kann - fluchen weil obiges Werbebanner ein
Plugin geladen hat (flash) dass gerade haengt und den Installer
blockiert
4.) Installer durchklicken
5.) hoffen dass alle UEberreste des mit *Admin-Privilegien*
gesrarteten *Web-Browsesrs* ohne Infektion des systems beendet wurden.
Immerhin bietet Mozilla fuer Wintendo eine vereinfachte Variante, die
die Installation eines System-Dienstes voraussetzt, der zusaetzliche
Angriffsflaeche bietet...

Also: bitte trenne dich von deinen von Windows gelernten Wissen wie man
Software updaten muss, sie passen nicht zu OSX. Lerne das neu und
freue dich wie einfach und zugleich sicher(er) das sein kann.

PS: Alleine die Idee, zum Softwareupdate einen Webbrowser mit
Administrationsprivilegien starten zu muessen ist ....

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Fritz
2012-08-24 13:30:05 UTC
Permalink
Post by Juergen P. Meier
Post by Fritz
Ich habe bisher keinen Weg gefunden als Normaluser ein Update von
Programmen aus der Mozilla Familie zu fahren.
Die "ich verzichte auf die Sicherheit, dass Normaluser an den
sudo chown -R Normaluser /Applications/FireFox.app/Contents
FireFox.app aus dem UPdate DMG-Bundle nach /Applications "drag
& Drop"-en, beim Popupdialog der nach Admin-Rechten fragt die
Admin-Kennung und das Admin-Passwort eintippen, Fertig.
Die dritte Variante, die mir spontan einfaellt, moechte ich nicht
oeffentlich vormachen, da es Unsinnig ist mit Gruppen-Schreibrechten
an Programminstallationen herumzupfuschen.
Was aber prinzipiell geht. Auf dem Programme Ordner haben User 'System',
Gruppe 'admin' Lesen&Schreiben / 'everyone' Nur lesen.

Was kann Großartiges passieren diese Rechte nach unten zu korrigieren?
Post by Juergen P. Meier
Post by Fritz
Beispiel - beim FF habe ich es noch nicht zusammengebracht diesen als
Normaluser (Zwecks Update) mit Admin Rechten zu starten.
Das Muss Man Auch Nicht. Alles was du brauchst ist auf
"http://www.mozilla.org/" zu gehen, dort den Dicken Fetten "Download"
Button anzuklicken, warten biss das DMG-Fenster aufpopppt und dann das
eine Icon auf das andere Icon ziehen.
Das musst mir nicht beschreiben schon xxx mal getan!
Post by Juergen P. Meier
Post by Fritz
su, sudo "Programm.app" oder sudo open "Programm.app" funktionieren
nicht oder nicht wie gewünscht. Ich habe es auch schon mit der im
Natuerlich nicht. Das sind fuer sudo nur VErzeichnisse, die
eigentlichen Binaries (Programme) liegen in einem Unterverziechnis.
Da muss ich der macports community auch vertrauen, dass sie nicht ein
Backdoor einbauen.
Post by Juergen P. Meier
Post by Fritz
Container befindlichen ausführbaren Unix-Datei versucht. Ein runas, so
Mit sudo gestartet laeuft es unter einer andern UID. Inwiefern das
helfen sollte, steht auf einem andern Blatt. Da in diesem Beispiel
insbesonder die Randbedingungen voellig anders sind als unter Windows
bringt dich das erfolgreiche Starten unter einer anderen UID jedoch
nicht weiter.
Post by Fritz
wie unter Windows, gibt es anscheinend nicht am Mac.
Natuerlich nicht. Ist auch voellig Ueberfluessig.
Du versuchst krampfhaft mit dienen von Windows erlernten Kruecken ein
OS X zu bedienen, das ist zum SCheitern verurteilt.
Wie gesagt, aus reiner Neugierde.
Post by Juergen P. Meier
Loese dich von den Konzepten und erlernten Faehigkeiten im Umgang mit
Windows und lerne diese Teile neu (anders). Und schon hast du damit
keine Probleme mehr.
(dies ist uebrigens eine der Hauptquellen fuer alle Probleme die
Umsteiger mit OSX haben - sie koennen sich einfach nicht vom anders
erlernten Verhaltensweisen loesen).
Ich bin sowieso schon Jahre von Windows entfernt, die Neugierde siegt
halt manchmal

Ein W7 habe ich zum gelegentlichen Update meines Navis, Handys, etc. in
Fusion laufen, W8 kurz angesehen, LinuxMit13 zum reinschnüffeln
Post by Juergen P. Meier
Ich weis das ist anstrengend, aber die Muehe lohnt sich! (BTDT)
Über die Hürde bin ich schon lange weg ... w.o. nur die reine Neugierde
ob das prinzipiell geht ...
Post by Juergen P. Meier
Post by Fritz
Es bedeutet aber kaum einen Mehraufwand gelegentlich den User zu
wechseln um Programme upzudaten - informiert, dass ein Update ansteht,
wird man ja trotzdem.
Du musst nur lernen, wie das eigentlche Problem "Applikationen
upzudaten" unter OSX*konzeptionell* geloest ist, und dich daran
orientieren. Und schon sinkt der Aufwand auf nahezu Null - zumindest
deutlich geringer als unter Windows.
Gerade bei Firefox gestaltet sich ein Update der Applikation unter OSX
einfach: Icon auf "Applications" ziehen, als Admin authentifizieren,
fertig. Risiko dabei: Null.
Wozu hat Mozilla die Updatemöglichkeit implementiert? Bei TB fahre ich
im Betakanal, da wirds fad die upgedatete Betaversion jedesmal zu suchen.

Genau da stört mich der Owner Normaluser am FF (nur als Beispiel
genannt) - natürlich könnte man die Rechte für den Normaluser danach auf
reedonly zurückstufen.
Post by Juergen P. Meier
Also: bitte trenne dich von deinen von Windows gelernten Wissen wie man
Software updaten muss,sie passen nicht zu OSX. Lerne das neu und
freue dich wie einfach und zugleich sicher(er) das sein kann.
Du wiederholst dich ....
Post by Juergen P. Meier
PS: Alleine die Idee, zum Softwareupdate einen Webbrowser mit
Administrationsprivilegien starten zu muessen ist ....
Wenn du mit den üblichen User mit Adminberechtigung sowieso unterwegs
bist .... oder doch nicht!

Das Einzige, dass ich zukünftig eventuell machen werde, neue Version
unter dem Normaluser herunterladen und als Admin kopieren.

Es gibt Programme die kann man nur sehr umständlich ohne die vorgesehene
Update Routine updaten ... bei MS Office 2011, Fusion, Skype, etc. ...
aber die kommen mit einen Installer der ohne Admin Account nicht
funktioniert. Ein All Inklusive Update, wie bei Linux, gibt es am Mac
halt (leider?) nicht.
--
Fritz
Thomas Kaiser
2012-08-24 13:37:19 UTC
Permalink
Post by Fritz
LinuxMit13
Ich hätte Dich vom Gefühl her dann doch für älter gehalten.

Gruss,

Thomas
Fritz
2012-08-24 14:02:21 UTC
Permalink
Post by Thomas Kaiser
Post by Fritz
LinuxMit13
Ich hätte Dich vom Gefühl her dann doch für älter gehalten.
warum? als ehemaligen C64 User ... ;-))))
--
Fritz
Gerald E:scher
2012-08-24 15:09:09 UTC
Permalink
Post by Thomas Kaiser
Post by Fritz
LinuxMit13
Ich hätte Dich vom Gefühl her dann doch für älter gehalten.
Ich ihn für jünger. Er weiß ja noch nicht einmal seinen Nachnamen.
--
Gerald
Fritz
2012-08-24 17:50:44 UTC
Permalink
Post by Gerald E:scher
Ich ihn für jünger.
LOL
Post by Gerald E:scher
Er weiß ja noch nicht einmal seinen Nachnamen.
Ich schon! ;-))))
--
Fritz
Fritz
2012-08-24 16:47:50 UTC
Permalink
Post by Thomas Kaiser
Post by Fritz
LinuxMit13
Ich hätte Dich vom Gefühl her dann doch für älter gehalten.
Mea culpa ... sollte ja LinuxMint13 heißen ....
--
Fritz
Wolfgang Meiners
2012-08-21 17:07:45 UTC
Permalink
Post by Joe Kotroczo
Post by Stefan
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Würde mich auch mal interessieren.
Sicherheit. Ich kann mich daran erinnern, dass vor etwa 1-2 Jahren eine
Reihe Möglichkeiten aufgezeigt wurden, sich unter OSX Schadsoftware
einzufangen. Keiner dieser Wege funktionierte ohne Administrationsrechte.

Ich weiß, dass viele sich weigern, dass als Thema anzusehen. Aber
während ich gerade mit einem Programm im Internet unterwegs bin, will
ich meistens genau so wenig irgendwelche Systemsoftware installieren,
wie ich bei Tempo 130 auf der Autobahn den Ölstand meines Motors
kontrollieren will. Deshalb fahre ich auch nicht mit offener Motorhaube.

Grüße
Wolfgang
Fritz
2012-08-21 17:37:37 UTC
Permalink
Post by Wolfgang Meiners
Sicherheit. Ich kann mich daran erinnern, dass vor etwa 1-2 Jahren eine
Reihe Möglichkeiten aufgezeigt wurden, sich unter OSX Schadsoftware
einzufangen. Keiner dieser Wege funktionierte ohne Administrationsrechte.
Ich weiß, dass viele sich weigern, dass als Thema anzusehen. Aber
während ich gerade mit einem Programm im Internet unterwegs bin, will
ich meistens genau so wenig irgendwelche Systemsoftware installieren,
wie ich bei Tempo 130 auf der Autobahn den Ölstand meines Motors
kontrollieren will. Deshalb fahre ich auch nicht mit offener Motorhaube.
Sicherheit ist ein Patchwork! Jede, und sei es noch so unbequeme
Möglichkeit, ist zu nutzen.
Wenn die Owner und Schreibberechtigten auf die einzelnen Programme das
System und die Gruppe der Admins sind, der User aber als
Standardbenutzer arbeitet, ist ein großer Teil der Möglichkeiten ein
Programm zu manipulieren mal weg. Abgesehen von Sicherheitslöchern in OS
selbst, über die man das System kompromittieren könnte.

Warum wohl setzten große Firmen an den Grenzen zum Internet Firewalls
mit zusätzlichen Contentscanner, Virenscanner ein? Das Zeug (wenn es gut
ist) ist sauteuer. Damit ist ein Großteil der Bedrohungen weg. Nur mit
den heutigen Möglichkeiten des Internetzugangs für mobile Geräte wird es
immer schwieriger. Dies halbwegs in Grenzen zu halten wird in der
Windows Welt per Policies geregelt.

Firmen setzen auch VLAN's mit Policies und Quarantäne ein.

Ein Notebook, das vom Außendienst zurück kommt, wandert zuerst in ein
Quarantäne VLAN, dort wird es gecheckt und fallweise Upgedatet, erst
wenn es OK ist, darf es in das ihm zugeteilte VLAN ... aber diese
Technik (meist Cisco behaftet) ist so richtig teuer.
--
Fritz
Başar Alabay
2012-08-20 12:27:08 UTC
Permalink
Post by Stefan
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Ähm, Götz? bringt das was?

B. Alabay
--
લવ ઇસ્તંબુલ
http://www.thetrial.de/
Juergen P. Meier
2012-08-20 15:24:12 UTC
Permalink
Post by Stefan
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Mehr Sicherheit.
Joe Kotroczo
2012-08-20 15:33:07 UTC
Permalink
Post by Juergen P. Meier
Post by Stefan
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Mehr Sicherheit.
Warum? Wie?
--
Illegitimi non carborundum
Thomas Kaiser
2012-08-20 19:15:15 UTC
Permalink
Post by Joe Kotroczo
Post by Juergen P. Meier
Post by Stefan
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Mehr Sicherheit.
Warum? Wie?
Siehe die Ausführungen von Marcel Bresink hier:

http://www.mactechnews.de/forum/discussion/Admin-oder-nicht-306972.html

Das Problem ist ab 10.7 allerdings nicht mehr in dem Ausmaß existent
wie vorher.

Gruss,

Thomas
Joe Kotroczo
2012-08-20 19:32:31 UTC
Permalink
Post by Thomas Kaiser
Post by Joe Kotroczo
Post by Juergen P. Meier
Post by Stefan
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Mehr Sicherheit.
Warum? Wie?
http://www.mactechnews.de/forum/discussion/Admin-oder-nicht-306972.html
Das Problem ist ab 10.7 allerdings nicht mehr in dem Ausmaß existent
wie vorher.
Ich danke dir für diese belastbarere Quellenangabe.

Es beantwortet aber meine primäre Frage nicht: wenn man eh für jeden
Kleinscheiß unreflektiert zum Admin-Account wechselt, ist man dann nicht
genauso vulnerabel als wenn man gleich permanent im Admin-Account
bleiben würde?
--
Illegitimi non carborundum
Dominik Schlütter
2012-08-20 19:43:41 UTC
Permalink
Post by Joe Kotroczo
Es beantwortet aber meine primäre Frage nicht: wenn man eh für jeden
Kleinscheiß unreflektiert zum Admin-Account wechselt, [...]
Das hast du jetzt eingeführt. Weshalb sollte man "unreflektiert"
wechseln - oder anders gefragt: warum ist das besser, wenn man eh' die
ganze Zeit mehr Rechte als nötig hat?
Post by Joe Kotroczo
[...] ist man dann nicht genauso vulnerabel als wenn man gleich permanent
im Admin-Account bleiben würde?
Wenn man natürlich jede Sicherheitsabfrage abnickt und immer überall auf
OK klickt: ja, dann bringt einem das natürlich nicht viel. Aber es gibt
ja durchaus noch Leute, die am Rechner nicht direkt den Verstand
ausschalten. Und die ein bisschen Ahnung haben, was sie da gerade tun.

Ehrlich gesagt würde ich auch niemanden hier bekehren wollen [0], aber
wenn jemand fragt, erkläre ich gerne, warum ich das so mache. Ich
verstehe allerdings nicht, weshalb dann von einigen Leuten hier so getan
wird, als sei das alles völlig überflüssig und nur unnützes Getue, weil
man selbst das ja anders und viel einfacher mache (es fehlt irgendwie
nur noch das "und mir ist noch nie was passiert").


Gruß,

Dominik.


[0] ... auf ihrem MacBook Pro ist meine Mutter auch mit dem
Admin-Account unterwegs, weil das vermutlich sonst wohl ein
supportmäßiger Alptraum wäre. :-P
Markus Ammann
2012-08-20 19:58:38 UTC
Permalink
Post by Dominik Schlütter
Post by Joe Kotroczo
Es beantwortet aber meine primäre Frage nicht: wenn man eh für jeden
Kleinscheiß unreflektiert zum Admin-Account wechselt, [...]
Das hast du jetzt eingeführt. Weshalb sollte man "unreflektiert"
wechseln - oder anders gefragt: warum ist das besser, wenn man eh' die
ganze Zeit mehr Rechte als nötig hat?
Post by Joe Kotroczo
[...] ist man dann nicht genauso vulnerabel als wenn man gleich permanent
im Admin-Account bleiben würde?
Wenn man natürlich jede Sicherheitsabfrage abnickt und immer überall auf
OK klickt: ja, dann bringt einem das natürlich nicht viel. Aber es gibt
ja durchaus noch Leute, die am Rechner nicht direkt den Verstand
ausschalten. Und die ein bisschen Ahnung haben, was sie da gerade tun.
Ehrlich gesagt würde ich auch niemanden hier bekehren wollen [0], aber
wenn jemand fragt, erkläre ich gerne, warum ich das so mache. Ich
verstehe allerdings nicht, weshalb dann von einigen Leuten hier so getan
wird, als sei das alles völlig überflüssig und nur unnützes Getue, weil
man selbst das ja anders und viel einfacher mache (es fehlt irgendwie
nur noch das "und mir ist noch nie was passiert").
1. Füttern Google mit Suchbegriffen wie "nude", "naked", "movie",
"woman"
2. Bei einem Suchergebnis das Video angucken wollen
3. Es soll allerdings ein Codec runtergeladen und installiert werden.
4. Bei der Installation das Admin-Passwort eingeben.
5. Es tut sich zwar auch nach der Installation auf der Website nichts
und der Benutzer vergisst die Angelegenheit.
6. Nun sich fürs Onlinebanking auf einer Fakewebsite einloggen
7. Sehr böse Überraschung erleben, wenn von der Bank die Belastungsanzeige
eintrudelt.

Als Admin muss man sowieso das Passwort eingeben. Sofern das Organ
zwischen den beiden Ohren sich in aktiviertem Zustand befindet, lädt
man sowieso kein Codec für den Player von derartigen Websites runter...

Gilt entsprechend auch für ähnliche Software unter dem Begriff
"Malware".

Als Nicht-Admin kann es gar nicht installiert werden ;-).

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Joe Kotroczo
2012-08-20 20:59:19 UTC
Permalink
Post by Markus Ammann
Post by Dominik Schlütter
Post by Joe Kotroczo
Es beantwortet aber meine primäre Frage nicht: wenn man eh für jeden
Kleinscheiß unreflektiert zum Admin-Account wechselt, [...]
Das hast du jetzt eingeführt. Weshalb sollte man "unreflektiert"
wechseln - oder anders gefragt: warum ist das besser, wenn man eh' die
ganze Zeit mehr Rechte als nötig hat?
Post by Joe Kotroczo
[...] ist man dann nicht genauso vulnerabel als wenn man gleich permanent
im Admin-Account bleiben würde?
Wenn man natürlich jede Sicherheitsabfrage abnickt und immer überall auf
OK klickt: ja, dann bringt einem das natürlich nicht viel. Aber es gibt
ja durchaus noch Leute, die am Rechner nicht direkt den Verstand
ausschalten. Und die ein bisschen Ahnung haben, was sie da gerade tun.
Ehrlich gesagt würde ich auch niemanden hier bekehren wollen [0], aber
wenn jemand fragt, erkläre ich gerne, warum ich das so mache. Ich
verstehe allerdings nicht, weshalb dann von einigen Leuten hier so getan
wird, als sei das alles völlig überflüssig und nur unnützes Getue, weil
man selbst das ja anders und viel einfacher mache (es fehlt irgendwie
nur noch das "und mir ist noch nie was passiert").
1. Füttern Google mit Suchbegriffen wie "nude", "naked", "movie",
"woman"
2. Bei einem Suchergebnis das Video angucken wollen
3. Es soll allerdings ein Codec runtergeladen und installiert werden.
4. Bei der Installation das Admin-Passwort eingeben.
5. Es tut sich zwar auch nach der Installation auf der Website nichts
und der Benutzer vergisst die Angelegenheit.
6. Nun sich fürs Onlinebanking auf einer Fakewebsite einloggen
7. Sehr böse Überraschung erleben, wenn von der Bank die Belastungsanzeige
eintrudelt.
Als Admin muss man sowieso das Passwort eingeben. Sofern das Organ
zwischen den beiden Ohren sich in aktiviertem Zustand befindet, lädt
man sowieso kein Codec für den Player von derartigen Websites runter...
Gilt entsprechend auch für ähnliche Software unter dem Begriff
"Malware".
Als Nicht-Admin kann es gar nicht installiert werden ;-).
Mal abgesehen davon dass die Suchbegriffe, aeh, wenig zielführend sind,
mich hätte da erstmal stutzig gemacht dass einen Codec geben soll der
auf meinem System nicht existiert.... ;-)
--
Illegitimi non carborundum
Andre Igler
2012-08-20 20:00:07 UTC
Permalink
[admin account vs. user account]
[0] ... auf ihrem MacBook Pro ist meine Mutter auch mit dem
Admin-Account unterwegs, weil das vermutlich sonst wohl ein
supportmäßiger Alptraum wäre. :-P
/Gerade/ meine Mutter ist /nicht/ in einem Admin-account unterwegs, weil
das sonst ein supportmässiger Albtraum ist. BTDT.

So kann sie nix kapott machen. Der Rest per Fernwartung. Bzw. dann kommt
ein Kumpel, der kann auch vor Ort.

addio
--
pm <mein vorname> bei <mein nachname> punkt at
www.albinschwarz.com http://weblog.igler.at
Dominik Schlütter
2012-08-20 20:16:38 UTC
Permalink
Post by Andre Igler
/Gerade/ meine Mutter ist /nicht/ in einem Admin-account unterwegs, weil
das sonst ein supportmässiger Albtraum ist. BTDT.
Naja, das ist letzten Endes eine Frage der Herangehensweise. Es ist
schliesslich ihr Rechner, ich bin nicht der "persönliche Admin" (aber
wenn mal was nicht klappt, helfe ich halt aus).


Gruß,

Dominik.
Joe Kotroczo
2012-08-20 20:52:38 UTC
Permalink
Post by Dominik Schlütter
Post by Joe Kotroczo
Es beantwortet aber meine primäre Frage nicht: wenn man eh für jeden
Kleinscheiß unreflektiert zum Admin-Account wechselt, [...]
Das hast du jetzt eingeführt. Weshalb sollte man "unreflektiert"
wechseln - oder anders gefragt: warum ist das besser, wenn man eh' die
ganze Zeit mehr Rechte als nötig hat?
Post by Joe Kotroczo
[...] ist man dann nicht genauso vulnerabel als wenn man gleich permanent
im Admin-Account bleiben würde?
Wenn man natürlich jede Sicherheitsabfrage abnickt und immer überall auf
OK klickt: ja, dann bringt einem das natürlich nicht viel. Aber es gibt
ja durchaus noch Leute, die am Rechner nicht direkt den Verstand
ausschalten. Und die ein bisschen Ahnung haben, was sie da gerade tun.
Ehrlich gesagt würde ich auch niemanden hier bekehren wollen [0], aber
wenn jemand fragt, erkläre ich gerne, warum ich das so mache. Ich
verstehe allerdings nicht, weshalb dann von einigen Leuten hier so getan
wird, als sei das alles völlig überflüssig und nur unnützes Getue, weil
man selbst das ja anders und viel einfacher mache (es fehlt irgendwie
nur noch das "und mir ist noch nie was passiert").
Und ich danke dir für deine Erklärung. Ich hasse es halt einfach nur
wenn einem religiös erzählt wird "das muß so sein" ohne es selbst
begründen zu können und beim Nachhaken auf obskure Webseiten verwiesen
wird wo auch nur Mumbo-Jumbo drinsteht.

Wenn mir jetzt noch jemand erzählt warum man angeblich auf Macs
andauernd "Rechte reparieren" soll... :-)
--
Illegitimi non carborundum
Thomas Kaiser
2012-08-20 21:17:58 UTC
Permalink
Post by Joe Kotroczo
Wenn mir jetzt noch jemand erzählt warum man angeblich auf Macs
andauernd "Rechte reparieren" soll... :-)
Das ist nicht nötig, man kann genauso gut auch PRAM-Zappen!

Gruss,

Thomas
Goetz Hoffart
2012-08-20 21:22:36 UTC
Permalink
Post by Thomas Kaiser
Post by Joe Kotroczo
Wenn mir jetzt noch jemand erzählt warum man angeblich auf Macs
andauernd "Rechte reparieren" soll... :-)
Das ist nicht nötig, man kann genauso gut auch PRAM-Zappen!
Ansonsten hilft noch »Spring Cleaning« - das löscht unnötige
Pref-Dateien, da kann der Rechner gleich wieder besser ... durchatmen!

Grüße
Götz
--
http://www.knubbelmac.de/
Reiner Schischke
2012-08-21 23:28:56 UTC
Permalink
Post by Goetz Hoffart
Post by Thomas Kaiser
Das ist nicht nötig, man kann genauso gut auch PRAM-Zappen!
Ansonsten hilft noch »Spring Cleaning« - das löscht unnötige
Pref-Dateien, da kann der Rechner gleich wieder besser ... durchatmen!
Dazu sauge ich am Wochenende auch immer gleich die Tastatur mit aus.

Gruß, Reiner
--
101010 is the answer to the ultimate question
of life, the universe, and everything.
Reiner Schischke
2012-08-21 23:27:11 UTC
Permalink
Post by Thomas Kaiser
Post by Joe Kotroczo
Wenn mir jetzt noch jemand erzählt warum man angeblich auf Macs
andauernd "Rechte reparieren" soll... :-)
Das ist nicht nötig, man kann genauso gut auch PRAM-Zappen!
Geht das, ohne vrher das Volume zu reparieren?

Gruß, Reiner
--
101010 is the answer to the ultimate question
of life, the universe, and everything.
Fritz
2012-08-21 13:24:52 UTC
Permalink
Post by Dominik Schlütter
Post by Joe Kotroczo
Es beantwortet aber meine primäre Frage nicht: wenn man eh für jeden
Kleinscheiß unreflektiert zum Admin-Account wechselt, [...]
Das hast du jetzt eingeführt. Weshalb sollte man "unreflektiert"
wechseln - oder anders gefragt: warum ist das besser, wenn man eh' die
ganze Zeit mehr Rechte als nötig hat?
Vielleicht hilft so Manchen die Gedankenpause (die er für den
Userwechsel benötigt) auf die Sprünge um das auch sooo neue und ach sooo
wichtige Programm nun doch nicht zu installieren.

Bei einen neuen Programm horch ich mich vorher in der Community herum,
checke nach dem Download die Hash Werte (falls angegeben) und mache
(gelegentlich) auch einen händischen Scan mit ClamXav - alles vor der
Installation.

Notfalls habe ich noch einen alten MacMini zum Testen!
Post by Dominik Schlütter
Post by Joe Kotroczo
[...] ist man dann nicht genauso vulnerabel als wenn man gleich permanent
im Admin-Account bleiben würde?
Wenn man natürlich jede Sicherheitsabfrage abnickt und immer überall auf
OK klickt: ja, dann bringt einem das natürlich nicht viel. Aber es gibt
ja durchaus noch Leute, die am Rechner nicht direkt den Verstand
ausschalten. Und die ein bisschen Ahnung haben, was sie da gerade tun.
ACK
Post by Dominik Schlütter
Ehrlich gesagt würde ich auch niemanden hier bekehren wollen [0],
ACK
Post by Dominik Schlütter
aber
wenn jemand fragt, erkläre ich gerne, warum ich das so mache. Ich
verstehe allerdings nicht, weshalb dann von einigen Leuten hier so getan
wird, als sei das alles völlig überflüssig und nur unnützes Getue, weil
man selbst das ja anders und viel einfacher mache (es fehlt irgendwie
nur noch das "und mir ist noch nie was passiert").
ACK
--
Fritz
Patrick Kormann
2012-08-21 14:36:18 UTC
Permalink
Post by Fritz
Bei einen neuen Programm horch ich mich vorher in der Community herum,
checke nach dem Download die Hash Werte (falls angegeben) und mache
(gelegentlich) auch einen händischen Scan mit ClamXav - alles vor der
Installation.
Au ja, für jeden neuen Firefox am besten ne Studie inkl. Bericht...
Fritz
2012-08-21 16:16:12 UTC
Permalink
Post by Patrick Kormann
Au ja, für jeden neuen Firefox am besten ne Studie inkl. Bericht...
<grins>

Die Mozilla Produktfamilie hat doch einen großen Bekanntheitsgrad ...

Detto Open/Neo/Libre Office

Ich meine eher weniger bekannte Tools .....
--
Fritz
Thomas Kaiser
2012-08-20 20:28:36 UTC
Permalink
Post by Joe Kotroczo
Es beantwortet aber meine primäre Frage nicht: wenn man eh für jeden
Kleinscheiß unreflektiert zum Admin-Account wechselt, ist man dann nicht
genauso vulnerabel als wenn man gleich permanent im Admin-Account
bleiben würde?
Keine Ahnung, ich wüsste nicht, wieso ich das machen sollte. Ich arbeite
logischerweise mit einem non-Admin-Account und wenn Administratives
ansteht, kommt die Nachfrage nach Username und Kennwort eines
Admin-Users. Der ganze "Komfortverlust" ist der, daß ich als Normaluser
Name und Paßwort des Admin-Accounts eingeben muß während man sich
bereits als Admin eingelogged halt den Namen sparen kann? Das erkauft
man sich aber mit objektiv weniger Sicherheit -- Stichwort "Privileges
Escalation".

_In_ den Admin-Account musste ich schon lange nicht mehr wechseln, weil
ich neulich alles von Adobe, was älter als CS3 ist, weggeschmissen habe.
Denn das war der einzige Grund, überhaupt in den Account noch zu
wechseln: Adobe-Updates einspielen. Aber inzwischen haben sie's gebacken
bekommen, MacOS X Security frameworks zu nutzen.

Zum Thema an sich: Mir ist das inzwischen viel zu blöde, Laien für lau
zu missionieren. Angesichts der unter MacOS X perfekt funktionierenden
Trennung zwischen Normal-, Admin- und root-Account, ist jeder einfach
nur selbst schuld, der zugunsten eines nahezu nicht wahrnehmbaren
Komfort"gewinns" auf Sicherheit pfeift.

Da ich mit dem Kram professionell zu tun habe, lese ich meist all das,
was bspw. hier

http://support.apple.com/kb/HT1222?viewlocale=de_DE

verlinkt ist, im Detail. Das sind Auflistungen hunderter von Security-
relevanter Fixes, für die es teils _bekannte_ Exploits gibt/gab, teils
nicht. Und deren Wirkweise sich durchaus unterscheiden kann zwischen
Admin (via Privileges Escalation, ggf. erst beim nächsten Reboot) und
Normal (nix passiert). Permanent Fixes, um solche Lücken zu schließen...
bedeutet: Lücken waren da *und* Lücken, die noch nicht bekannt sind,
*sind* da. Der Rest ist dann Ergebnis geistiger Transferleistung --
hoffentlich.

Gruss,

Thomas
Patrick Kormann
2012-08-20 22:32:51 UTC
Permalink
Post by Thomas Kaiser
_In_ den Admin-Account musste ich schon lange nicht mehr wechseln, weil
Gibt es einen von Apple vorgesehenen Weg, den Normalo-User sudo machen
zu lassen? Ich hab früher einfach immer den User eingetragen, aber das
ist ja nicht sonderlich schön...
Thomas Kaiser
2012-08-21 06:53:24 UTC
Permalink
Post by Patrick Kormann
Post by Thomas Kaiser
_In_ den Admin-Account musste ich schon lange nicht mehr wechseln, weil
Gibt es einen von Apple vorgesehenen Weg, den Normalo-User sudo machen
zu lassen?
AFAIK nein, würde ja auch irgendwie das Konzept dahinter ad absurdum
führen.
Post by Patrick Kormann
Ich hab früher einfach immer den User eingetragen, aber das ist ja
nicht sonderlich schön...
Ich hab meist immer elend viele Terminal-Fensterchen offen. Um zwischen
den einzelnen differenzieren zu können, ist auf meiner Kiste (als auch
so gut wie jedem Server, auf dem ich regelmäßig remote zu tun habe) das
da in einer der relevanten login-Dateien:

declare -x PROMPT_COMMAND='echo -n -e "\033]0;${HOSTNAME} (${USER}): ${PWD}\007"'

Sorgt dafür, daß die Titelzeile jedes Terminal-Fensters den Hostnamen,
den User als auch den Pfad widerspiegelt. Und dann kann man direkt per
Witch [1] oder auch Rechtsklick aufs Terminal-Icon im Dock in das
passende Fenster springen (einfach in einem der Fenster eben permanent
per login oder su zum Admin-Account wechseln).

Mir reicht das.

Gruss,

Thomas

[1] http://www.macupdate.com/app/mac/17185/witch
Fritz
2012-08-21 13:35:35 UTC
Permalink
Post by Thomas Kaiser
Post by Patrick Kormann
Gibt es einen von Apple vorgesehenen Weg, den Normalo-User sudo machen
zu lassen?
AFAIK nein, würde ja auch irgendwie das Konzept dahinter ad absurdum
führen.
Das erklärt auch (meine Frage) warum es beim Mac nichts adäquates zum
Windows runas gibt!
--
Fritz
Thomas Kaiser
2012-08-21 14:34:47 UTC
Permalink
Post by Fritz
Post by Thomas Kaiser
Post by Patrick Kormann
Gibt es einen von Apple vorgesehenen Weg, den Normalo-User sudo
machen zu lassen?
AFAIK nein, würde ja auch irgendwie das Konzept dahinter ad absurdum
führen.
Das erklärt auch (meine Frage) warum es beim Mac nichts adäquates zum
Windows runas gibt!
Nein. Und das Ausrufezeichen macht's nicht besser...

Gruss,

Thomas
Juergen P. Meier
2012-08-24 05:05:36 UTC
Permalink
Post by Fritz
Post by Thomas Kaiser
Post by Patrick Kormann
Gibt es einen von Apple vorgesehenen Weg, den Normalo-User sudo machen
zu lassen?
AFAIK nein, würde ja auch irgendwie das Konzept dahinter ad absurdum
führen.
Das erklärt auch (meine Frage) warum es beim Mac nichts adäquates zum
Windows runas gibt!
Weil es fuer GUI-Programme nicht notwendig ist, und fuer alles andere
gibt es su/sudo.
Man muss nicht jeden Scheiss nur um der Fliegen willen nachaeffen,
wenn die dahinterstehende Notwendigkeit nicht existiert.

Und selbst GUI-Programme die das nicht brauchen bekommst du mit su/sudo
ueber Kommandozeile einfach unter einer anderen UID (und damit anderen
Rechten) gestartet.
Beispiel gefaellig (aus dem Gedaechtnis, ich bin grad nicht am Mac -
verwende Tab zum vervollstaendigen der richtigen Pfadnamen):

sudo -u andereruser "/Applications/Utilities/TextEdit.app/Contents/MacOS/TextEdit"

(die " sind noetig wenn Leerzeichen im Pfad sind)

Juergen
Fritz
2012-08-24 13:45:39 UTC
Permalink
Post by Juergen P. Meier
Weil es fuer GUI-Programme nicht notwendig ist, und fuer alles andere
gibt es su/sudo.
Man muss nicht jeden Scheiss nur um der Fliegen willen nachaeffen,
wenn die dahinterstehende Notwendigkeit nicht existiert.
Und selbst GUI-Programme die das nicht brauchen bekommst du mit su/sudo
ueber Kommandozeile einfach unter einer anderen UID (und damit anderen
Rechten) gestartet.
Beispiel gefaellig (aus dem Gedaechtnis, ich bin grad nicht am Mac -
sudo -u andereruser "/Applications/Utilities/TextEdit.app/Contents/MacOS/TextEdit"
(die " sind noetig wenn Leerzeichen im Pfad sind)
Wie schon gesagt, es ist eher Interesse ob das prinzipiell funktioniert,
als dass es einen praktischen Wert hätte.

Ein Wechsel vom Normaluser zum Adminuser ist am Mac kein Problem. Ich
werde auch zukünftig alle Programme die man nur zu kopieren braucht
unter dem Admin User 'installieren' (kopieren).

Bei den Updates werde ich wo geht einen Download und erneutes Kopieren
vorziehen. Unter dem Admin User wird man aber bei den Mozilla Produkten
bei einen Update nicht nach dem Passwort gefragt. Programme mit einen
Installer, fragen immer nach einen Admin und Passwort, egal ob die
Installation von einen Normaluser oder Adminuser aus gestartet wird. Bei
diesen muss man dem Hersteller vertrauen oder das Programm gar nicht
installieren.

Oder beim CCC - wenn man eine Clone erstellt, erteilt man dem Programm
root Rechte ... obwohl dann rsync die eigentliche Arbeit tut.
--
Fritz
Juergen P. Meier
2012-08-22 04:18:41 UTC
Permalink
Post by Joe Kotroczo
Es beantwortet aber meine primäre Frage nicht: wenn man eh für jeden
Kleinscheiß unreflektiert zum Admin-Account wechselt, ist man dann nicht
genauso vulnerabel als wenn man gleich permanent im Admin-Account
bleiben würde?
Wenn du unreflektierst ueberall deine Admin-Kennung eintippst, dann
ist dir nicht mit technischen MAssnahmen zu helfen - egal welcher Art.

Allen anderen hingegen bietet die strikte Trennung von Privilegien eine
fuer Schadprogramme kaum ueberwindbare Huerde, und damit eine
Schutzmassnahme die bei einem entsprechend vernuenftigen Verhalten
wirksam ist.

Die Aufweichung hingegen - die Apple hier Microsoft nachmacht: bei
Wintendo Vista war es zum ersten mal zu sehen, dass man einfach einen
voll privilegierten Account mittels freiwillig nachfragenden
Systemaufrufen (die ein Schadprogramm ganz einfach umgehen kann: NICHT
Nachfragen!) - ist ein Bequemlichkeits-Feature, und Bequemlichkeit ist
immernoch das genaue Gegenteil von Sicherheit.

Der Admin-Account ist unter OSX genauso verkommen: Dem Anwender wird
durch das Nachfragen eine Scheinsicherheit suggeriert, die in
Wirklichkeit nicht existiert. Jeder Prozess kann ohne Nachzufragen auf
alle notwendigen Systemressourcen zugreifen die eine vollstaendige
Rechteerhoehung ermoeglichen.

Schadprogramme halten sich nunmal selten an irgendwelche Freiwilligen
Regularen zum Nachfragen beim Anwender ob er denn mit der Aktion
auch einverstanden ist.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Fritz
2012-08-22 05:57:00 UTC
Permalink
Post by Juergen P. Meier
Allen anderen hingegen bietet die strikte Trennung von Privilegien eine
fuer Schadprogramme kaum ueberwindbare Huerde, und damit eine
Schutzmassnahme die bei einem entsprechend vernuenftigen Verhalten
wirksam ist.
Die Aufweichung hingegen - die Apple hier Microsoft nachmacht: bei
Wintendo Vista war es zum ersten mal zu sehen, dass man einfach einen
voll privilegierten Account mittels freiwillig nachfragenden
Systemaufrufen (die ein Schadprogramm ganz einfach umgehen kann: NICHT
Nachfragen!) - ist ein Bequemlichkeits-Feature, und Bequemlichkeit ist
immernoch das genaue Gegenteil von Sicherheit.
Der Admin-Account ist unter OSX genauso verkommen: Dem Anwender wird
durch das Nachfragen eine Scheinsicherheit suggeriert, die in
Wirklichkeit nicht existiert. Jeder Prozess kann ohne Nachzufragen auf
alle notwendigen Systemressourcen zugreifen die eine vollstaendige
Rechteerhoehung ermoeglichen.
Schadprogramme halten sich nunmal selten an irgendwelche Freiwilligen
Regularen zum Nachfragen beim Anwender ob er denn mit der Aktion
auch einverstanden ist.
Ich würde sogar noch eine Stufe weiter gehen und bei den Admins mehrere
Ebenen einführen. Z.B. Root für Änderungen am System (Unix) selbst und
einen abgestuften Admin zur Installation von Programmen (hat
Schreibrechte im Programme Ordner). Daemons (Services) die von
Programmen mitgebracht werden (z.B. autom. Updates, etc.) laufen nicht
mit denselben Privilegien wie jene des OS selbst (ist eh zum Teil so).
Zum Teil geht Linux in diese Richtung, aber auch nicht mit einer
vollständigen Trennung. Auch Windows hat im Rechtekonzept sehr gute
Ansätze, die es aber mit dem Bequemlichkeitsfeature UAC wieder
aushebelt. Sandboxing im ML ist schon ein Schritt in die richtige
Richtung. Nur die Summe - Sandboxing, abgestufte Rechte, streng
getrennte Prozesse, etc. macht es aus.

Mit dem Wissen, wie Hacker die gängigen Sicherheitsfeatures aushebeln,
könnte man ohne weiters ein OS konstruieren, dass sich nicht so leicht
kompromittieren ließe und sich ggf. auch selbst heilen könnte. Aber wo
bliebe dann die AV Scanner Industrie, die eh meist nur falsche
Hoffnungen weckt?

Ein halbwegs DAU sicheres OS wäre Großteils zu machen. Aber will das die
Software Industrie überhaupt?

Eine Hoffnung, bei Mac Desktops hört man wenig über Kompromittierungen
bei Linux noch weniger.

<http://www.macmark.de/>

2012-05-25 Kaspersky fordert Sicherheitslöcher in iOS
<http://www.macmark.de/blog/osx_blog_2012-05-a.php>
Kaspersky möchte ein löchrigeres iOS, damit Antiviren-Software darauf
laufen kann. Warum AV-Software zu einer Verschlechterung von iOS führt,
erkläre ich in diesem Artikel.

Sicherheit, Viren, Würmer und Trojaner
<http://www.macmark.de/osx_security.php>

<http://www.macmark.de/blog/osx_blog_index.php>
<http://www.macmark.de/osx_technotes.php>

UAC, das Sicherheits-Plazebo
<http://www.macmark.de/windows_uac_security_placebo.php>
--
Fritz
Joerg Lorenz
2012-08-20 15:38:15 UTC
Permalink
Post by Juergen P. Meier
Post by Stefan
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Und was soll das bringen?
Mehr Sicherheit.
Habe mir das sogar auf Linux angewöhnt. Es reicht, wenn im Falle eines
Falles "nur" das User-Account kompromittiert ist. Das hat man schnell
aus dem letzten Backup wiederhergestellt.
--
http://www.albasani.net/index.html.de
Ein freier und kostenloser Server fŸr Usenet/NetNews (NNTP)
Fritz
2012-08-20 14:04:24 UTC
Permalink
Post by Başar Alabay
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
Das mach ich auch so ....

Im Notfall, der Benutzerwechsel geht schnell ....

ansonsten

Terminal
su Adminuser
sudo ....
--
Fritz
Joerg Lorenz
2012-08-20 15:34:31 UTC
Permalink
Post by Başar Alabay
Post by Joe Kotroczo
Post by Başar Alabay
Post by Joe Kotroczo
Mit eine m sudo rm -rf /Library/Printers/hp/PDEs
Dazu mal eine Frage, wenn es doch gerade wieder um sudo geht. Tippst Du
das aus Deinem normalen User heraus ins Terminal? Oder machst Du vorher
noch ein su admin oder login admin?
Mein normaler User? Ich hab auf dieser Kiste genau einen Account, und
der hat Admin Rechte. Ich wüsste jetzt auch keinen Grund das anders zu
handhaben.
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
+1
--
http://www.albasani.net/index.html.de
Ein freier und kostenloser Server fŸr Usenet/NetNews (NNTP)
Andre Igler
2012-08-20 18:42:59 UTC
Permalink
Post by Başar Alabay
Post by Joe Kotroczo
Post by Başar Alabay
Post by Joe Kotroczo
Mit eine m sudo rm -rf /Library/Printers/hp/PDEs
Dazu mal eine Frage, wenn es doch gerade wieder um sudo geht.
Tippst Du das aus Deinem normalen User heraus ins Terminal?
Oder machst Du vorher noch ein su admin oder login admin?
Mein normaler User? Ich hab auf dieser Kiste genau einen Account,
und der hat Admin Rechte. Ich wüsste jetzt auch keinen Grund das
anders zu handhaben.
Ah okay. Anscheinend haben viele das so. Ich nicht. Ich habe einen
nicht-adminfähigen User im Alltagsgebrauch und einen separaten Admin.
+1
+1

addio
--
pm <mein vorname> bei <mein nachname> punkt at
www.albinschwarz.com http://weblog.igler.at
Başar Alabay
2012-08-20 20:35:11 UTC
Permalink
Post by Joe Kotroczo
Post by Başar Alabay
Post by Joe Kotroczo
Mit eine m sudo rm -rf /Library/Printers/hp/PDEs
Dazu mal eine Frage, wenn es doch gerade wieder um sudo geht. Tippst Du
das aus Deinem normalen User heraus ins Terminal? Oder machst Du vorher
noch ein su admin oder login admin?
Mein normaler User? Ich hab auf dieser Kiste genau einen Account, und
der hat Admin Rechte. Ich wüsste jetzt auch keinen Grund das anders zu
handhaben.
So, da wir das ja nun endlich geklärt haben dürften, daß es sinnvoller
ist, einen Nonadmin-User im Alltagsgeschäft zu fahren, noch einmal die
Frage: Gibst Du (geben ander) vorher ein su admin ein oder biegen sie
sich die sudoer File zurecht? Du ja nicht, weil Admin im Alltag.

Es ist halt interessant, daß immer und überall (auch in Magazinen und im
Netz) leichtfertig ein »machse ma sudo diesndas« geschrieben wird, ohne
darauf hinzuweisen, daß das ja unter einem Normalaccount so aus der
Kiste heraus per se gar nicht geht.

B. Alabay
--
લવ ઇસ્તંબુલ
http://www.thetrial.de/
Heiner Veelken
2012-08-21 05:41:18 UTC
Permalink
Post by Başar Alabay
Post by Joe Kotroczo
Post by Başar Alabay
Post by Joe Kotroczo
Mit eine m sudo rm -rf /Library/Printers/hp/PDEs
Dazu mal eine Frage, wenn es doch gerade wieder um sudo geht. Tippst Du
das aus Deinem normalen User heraus ins Terminal? Oder machst Du vorher
noch ein su admin oder login admin?
Mein normaler User? Ich hab auf dieser Kiste genau einen Account, und
der hat Admin Rechte. Ich wüsste jetzt auch keinen Grund das anders zu
handhaben.
So, da wir das ja nun endlich geklärt haben dürften, daß es sinnvoller
ist, einen Nonadmin-User im Alltagsgeschäft zu fahren, noch einmal die
Frage: Gibst Du (geben ander) vorher ein su admin ein oder biegen sie
sich die sudoer File zurecht? Du ja nicht, weil Admin im Alltag.
Es ist halt interessant, daß immer und überall (auch in Magazinen und im
Netz) leichtfertig ein »machse ma sudo diesndas« geschrieben wird, ohne
darauf hinzuweisen, daß das ja unter einem Normalaccount so aus der
Kiste heraus per se gar nicht geht.
Ich bin als Nicht-Admin unterwegs. Wenn ich sudo benötige, mache ich
terminail auf, mache ein "login admin", gebe Passwort ein und mache dann
das sudo. Am Schluß "logge" ich mich aus dem admin mit "exit" wieder
aus. Zwischendurch sagt mir "whoami", wer ich denn gerade bin.
So funktioniert es; keine Ahnung, ob die Vorgehensweise richtig ist.
--
Gruss Heiner
Dirk Wagner
2012-08-24 06:57:20 UTC
Permalink
Post by Başar Alabay
Es ist halt interessant, daß immer und überall (auch in Magazinen und im
Netz) leichtfertig ein »machse ma sudo diesndas« geschrieben wird, ohne
darauf hinzuweisen, daß das ja unter einem Normalaccount so aus der
Kiste heraus per se gar nicht geht.
Das verwirrt mich nun.

Ist das sudo Komando nicht genau dafür da, einem kurzfristig höhere
Rechte zu geben.

Da auch ich als Dauer-Admin am Mac arbeite, weiß ich nicht, wie sich das
Kommando unter OS X verhält - von Linux kenne ich es so, dass nach
Eingabe des sudo Kommandos ein root-Passwort abgefragt wird...

Ciao

dirk
Başar Alabay
2012-08-24 08:03:54 UTC
Permalink
Post by Dirk Wagner
Post by Başar Alabay
Es ist halt interessant, daß immer und überall (auch in Magazinen und im
Netz) leichtfertig ein »machse ma sudo diesndas« geschrieben wird, ohne
darauf hinzuweisen, daß das ja unter einem Normalaccount so aus der
Kiste heraus per se gar nicht geht.
Das verwirrt mich nun.
Ist das sudo Komando nicht genau dafür da, einem kurzfristig höhere
Rechte zu geben.
Einem oder dem Admin? Einem wird es wohl nicht viel bringen, wenn nicht
vorher ein su abgesetzt wird.
Post by Dirk Wagner
Da auch ich als Dauer-Admin am Mac arbeite, weiß ich nicht, wie sich das
Kommando unter OS X verhält - von Linux kenne ich es so, dass nach
Eingabe des sudo Kommandos ein root-Passwort abgefragt wird...
Naja, ich bin kein Daueradmin.

B. Alabay
--
લવ ઇસ્તંબુલ
http://www.thetrial.de/
Gerald E:scher
2012-08-24 08:12:44 UTC
Permalink
Post by Dirk Wagner
Da auch ich als Dauer-Admin am Mac arbeite, weiß ich nicht, wie sich das
Kommando unter OS X verhält - von Linux kenne ich es so, dass nach
Eingabe des sudo Kommandos ein root-Passwort abgefragt wird...
Du verwechselst gerade sudo mit su.
--
Gerald
Thomas Kaiser
2012-08-24 08:31:11 UTC
Permalink
Post by Dirk Wagner
Da auch ich als Dauer-Admin am Mac arbeite, weiß ich nicht, wie sich das
Kommando unter OS X verhält
Das verwirrt mich. Denn "Dauer-Admin" heißt letztlich auch nur bisserl
höher privilegierter User, der in der Gruppe "admin" steckt und
demzufolge an ein paar Ecken im Dateisystem herankommt, an die
Normaluser nicht herankommen und -- da die Gruppe admin in der
/etc/sudoers steht -- sich von seinem Account direkt zu root
aufschwingen kann durch Eingabe von

sudo ...

Abseits des Terminals geschieht dieser Kladderadatsch automatisch, wenn
man nach den Logon Credentials eines Admin-Accounts gefragt wird. Das
obligatorische sudo (also die root-Werdung des gewöhnlichen Admin)
erfolgt quasi unsichtbar hinter den Kulissen.

Damit ein Normaluser ("Normaluser" bedeutet: "Nicht Mitglied der Gruppe
»admin«") direkt zu root werden kann, braucht's für ihn einen Eintrag in
der /etc/sudoers. Da kann man, wenn man sich bisserl einarbeitet, dann
auch Einschränkungen definieren, dito die Paßworteingabe komplett
deaktivieren (nicht so schlau). Ansonsten führt für einen "Normaluser"
der Weg zu root über ein "su admin"/"login admin" und dann weiter mit
sudo.

Wenn man eh vorhat, dauerhaft als root in der Shell zu werkeln und dem
root-Account ein Paßwort verpaßt hat, dann reicht allerdings ein simples
"su" gefolgt vom root-Paßwort.
Post by Dirk Wagner
- von Linux kenne ich es so, dass nach Eingabe des sudo Kommandos ein
root-Passwort abgefragt wird...
Dann sind alle Deine Linux-Kisten verstellt (oder Du meinst "su"), denn
der default sieht anders aus:

sudo requires that users authenticate themselves with a password by
default (NOTE: in the default configuration this is the user's
password, not the root password)

Gruss,

Thomas
Dirk Wagner
2012-08-24 08:53:22 UTC
Permalink
Post by Thomas Kaiser
Post by Dirk Wagner
- von Linux kenne ich es so, dass nach Eingabe des sudo Kommandos ein
root-Passwort abgefragt wird...
Dann sind alle Deine Linux-Kisten verstellt (oder Du meinst "su"), denn
sudo requires that users authenticate themselves with a password by
default (NOTE: in the default configuration this is the user's
password, not the root password)
OK, dann habe ich wohl mehrere verstellte openSuSe Maschinen hier.
Das reicht dann von einer "echten" Maschine, die von 7.x bis 11.4 einige
Upgrades hinter sich hat bis zu einer VM unter 12.1, die ich vor dem
Upgrade einer anderen Maschine neu erstellt habe, um mir die 12.1
anzuschauen.

Wenn ich unter meinem Nutzer im terminal yast ausführen möchte, bekomme
ich die Meldung, dass das Ausführen superuser Rechte erfordert.
Gebe ich nun sudo yast ein, so werde ich nach "root's passwort" gefragt.
Und so weit ich mich zurückerinnern kann, war das bei openSuSe (bzw. den
Suse Versionen vorher) immer schon so - DESWEGEN bin ich ein wenig
verwirrt...

Ciao

dirk
Thomas Kaiser
2012-08-24 09:23:13 UTC
Permalink
Post by Dirk Wagner
Post by Thomas Kaiser
Post by Dirk Wagner
- von Linux kenne ich es so, dass nach Eingabe des sudo Kommandos
ein root-Passwort abgefragt wird...
Dann sind alle Deine Linux-Kisten verstellt (oder Du meinst "su"),
sudo requires that users authenticate themselves with a password
by default (NOTE: in the default configuration this is the user's
password, not the root password)
OK, dann habe ich wohl mehrere verstellte openSuSe Maschinen hier.
"Suse" AKA "verstellt", sag ich doch! ;-)

Suse hat in der sudoers anscheinend per default das da drin

Defaults targetpw
%users ALL=(ALL) ALL

Heißt: Jeder darf sudo spielen, braucht dazu aber das Paßwort des
Accounts, in den er wechseln möchte. Standard-sudo-Verhalten ist das
genaue Gegenteil davon: Es reicht das Paßwort des aufrufenden Nutzers
und man schränkt den Kreis derer, die das dürfen, tunlichst ein auf
Leute, die wissen, was sie tun (also aus "%user" bspw. "%wheel" machen,
wenn in der Gruppe die Admins drinstecken sollten)

BTW: Rein interessehalber: Was steht denn bei Suse in der /etc/sudoers
als timestamp_timeout-Wert?

Dank' und Gruss,

Thomas
Dirk Wagner
2012-08-24 09:53:54 UTC
Permalink
Post by Thomas Kaiser
"Suse" AKA "verstellt", sag ich doch! ;-)
Ahh - jetzt ja!
Post by Thomas Kaiser
Suse hat in der sudoers anscheinend per default das da drin
Defaults targetpw
%users ALL=(ALL) ALL
Defaults targetpw
ALL ALL=(ALL) ALL
Post by Thomas Kaiser
BTW: Rein interessehalber: Was steht denn bei Suse in der /etc/sudoers
als timestamp_timeout-Wert?
In der sudoers steht da gar nichts.
Im man-file wird ein default von 5 Minuten genannt...

Ciao

dirk
Thomas Kaiser
2012-08-24 12:45:31 UTC
Permalink
Post by Dirk Wagner
Post by Thomas Kaiser
BTW: Rein interessehalber: Was steht denn bei Suse in der
/etc/sudoers als timestamp_timeout-Wert?
In der sudoers steht da gar nichts.
Im man-file wird ein default von 5 Minuten genannt...
Also wie bei OS X auch. Immer wieder ziemlich praktisch, um Rechner zu
übernehmen :-)

In der Suse-Spielart kommt's mir aber grad noch gefährlicher vor, denn
wenn auf so 'ner Kiste mehrere User mit dem identischen unprivilegierten
Account unterwegs sind und die Differenzierung in "der darf mehr" und
"der nicht" nur über die Kenntnis des root-Paßworts gemacht wird... dann
schwingt sich irgendwer durch Paßworteingabe zu root auf -- und in den
nächsten 5 Minuten kann das jeder andere, der mit dem gleichen Account
werkelt, dann dito. Aber ohne Paßwort.

Gruss,

Thomas
Fritz
2012-08-24 13:32:44 UTC
Permalink
Post by Thomas Kaiser
Wenn man eh vorhat, dauerhaft als root in der Shell zu werkeln und dem
root-Account ein Paßwort verpaßt hat, dann reicht allerdings ein simples
"su" gefolgt vom root-Paßwort.
Warum sollte man den User root aktivieren, wenn sudo auch funktioniert?
--
Fritz
Thomas Kaiser
2012-08-24 13:48:17 UTC
Permalink
Post by Fritz
Post by Thomas Kaiser
Wenn man eh vorhat, dauerhaft als root in der Shell zu werkeln und
dem root-Account ein Paßwort verpaßt hat, dann reicht allerdings ein
simples "su" gefolgt vom root-Paßwort.
Warum sollte man den User root aktivieren, wenn sudo auch funktioniert?
*Stöhn*

a) man kann keinen "User root aktivieren". Der ist auf etwas, das nach
Unix schmeckt, immer da. Man kann ihm allenfalls ein Paßwort vergeben
und sich dann eben direkt (per su) als root authentifizieren.

b) es ging um die Situation "Arbeiten als Normaluser" und "Normaluser
nicht in /etc/sudoers". Wenn ich ein root-Paßwort gesetzt habe und
nicht nur einen einzelnen Befehl sondern 'ne ganze Shell-Session als
root absolvieren will, dann ist "su" halt einfach flotter als "su
admin" gefolgt von "sudo -s" und zweimal Paßwort.

Gruss,

Thomas
Fritz
2012-08-24 14:01:35 UTC
Permalink
Post by Thomas Kaiser
Post by Fritz
Warum sollte man den User root aktivieren, wenn sudo auch funktioniert?
*Stöhn*
Die heutige Hitze ;-)))
Aber du hast mich falsch verstanden oder ich missverständlich
geschrieben ....
Post by Thomas Kaiser
a) man kann keinen "User root aktivieren". Der ist auf etwas, das nach
Unix schmeckt, immer da. Man kann ihm allenfalls ein Paßwort vergeben
und sich dann eben direkt (per su) als root authentifizieren.
Ich weiß der ist immer da, aber ist der User root nicht deaktiviert,
zumindestens kann man sich default nicht mit ihn anmelden ....

<http://support.apple.com/kb/HT1528?viewlocale=de_DE&locale=de_DE>
Post by Thomas Kaiser
b) es ging um die Situation "Arbeiten als Normaluser" und "Normaluser
nicht in /etc/sudoers". Wenn ich ein root-Paßwort gesetzt habe und
nicht nur einen einzelnen Befehl sondern 'ne ganze Shell-Session als
root absolvieren will, dann ist "su" halt einfach flotter als "su
admin" gefolgt von "sudo -s" und zweimal Paßwort.
Ich weiß was su und sudo bedeuten .....

Schon mit Linux und am Mac mit macports 'experimentiert'
--
Fritz
Ralph A. Schmid, dk5ras
2012-08-25 04:01:53 UTC
Permalink
Post by Thomas Kaiser
b) es ging um die Situation "Arbeiten als Normaluser" und "Normaluser
nicht in /etc/sudoers". Wenn ich ein root-Paßwort gesetzt habe und
nicht nur einen einzelnen Befehl sondern 'ne ganze Shell-Session als
root absolvieren will, dann ist "su" halt einfach flotter als "su
admin" gefolgt von "sudo -s" und zweimal Paßwort.
Ist ja nicht ganz das Thema, aber derzeit muß ich mich bissl mit Linux
befassen, und die sudoerei geht mir mächtig auf den Zeiger. Sinnlos
wie ein Kropf auf einem single-user-Experimentalsystem von ganz engem
Nutzungsspektrum, nämlich dem Experimentieren mit einem software
defined radio. Spätestens da, wo man sie gar nicht so sehr braucht,
ist Sicherheit oftmals lästig und behindernd.


-ras
--
Ralph A. Schmid

http://www.schmid.xxx/ http://www.db0fue.de/
http://www.bclog.de/
Thomas Kaiser
2012-08-25 09:08:43 UTC
Permalink
Post by Ralph A. Schmid, dk5ras
Post by Thomas Kaiser
b) es ging um die Situation "Arbeiten als Normaluser" und "Normaluser
nicht in /etc/sudoers". Wenn ich ein root-Paßwort gesetzt habe und
nicht nur einen einzelnen Befehl sondern 'ne ganze Shell-Session als
root absolvieren will, dann ist "su" halt einfach flotter als "su
admin" gefolgt von "sudo -s" und zweimal Paßwort.
Ist ja nicht ganz das Thema, aber derzeit muß ich mich bissl mit Linux
befassen, und die sudoerei geht mir mächtig auf den Zeiger. Sinnlos
wie ein Kropf [... lalala, trallala, lülülü ...]
Sinnlos ist nur Deine stete Nörgelei. Mach einfach _einmalig_ je Session

sudo -s

und fertig --> root-Shell ohne Einschränkungen. Wenn das nicht geht,
dann mußt Du das System halt an Deine Anforderungen anpassen ("sudo
visudo").

Gruss,

Thomas
Ralph A. Schmid, dk5ras
2012-08-27 10:12:39 UTC
Permalink
Post by Thomas Kaiser
Sinnlos ist nur Deine stete Nörgelei. Mach einfach _einmalig_ je Session
sudo -s
und fertig --> root-Shell ohne Einschränkungen. Wenn das nicht geht,
dann mußt Du das System halt an Deine Anforderungen anpassen ("sudo
visudo").
Ja, toll. Und wo erfährt man sowas als Anfänger?! Das ist ja der
Scheiß, was man im Netz so findet, sind entweder Anfängeranleitungen
der Art, wie stecke ich die Installations-CD rein und installiere
(K)Ubuntu (ja, danke auch, das kann ich fast im Schlaf), oder Dinge,
die so tief einsteigen, daß ich nur Bahnhof verstehe.

Ab davon, wenn das eine einzige shell ist, dann bin ich so auch nicht
viel weiter, da die Programme alle in ihrer eigenen shell starten
wollen. Ob ich dann fünfmal sudo -s mache, oder gleich sudo
./irgendwas, das ist dann auch schon egal.

Geht ja weiter, man findet auch nicht mal eben per google, wie man das
in einem script automatisiert. Für Windows findet man das binnen
Minuten, und ich kann mir vorstellen, für'n Mac auch.


-ras
--
Ralph A. Schmid

http://www.schmid.xxx/ http://www.db0fue.de/
http://www.bclog.de/
Goetz Hoffart
2012-08-27 10:45:31 UTC
Permalink
Post by Ralph A. Schmid, dk5ras
Und wo erfährt man sowas als Anfänger?!
Schulung, Literatur, Kollegen, Usenet

Grüße
Götz
--
http://www.knubbelmac.de/
Thomas Kaiser
2012-08-27 10:56:21 UTC
Permalink
Post by Ralph A. Schmid, dk5ras
Post by Thomas Kaiser
Sinnlos ist nur Deine stete Nörgelei. Mach einfach _einmalig_ je Session
sudo -s
und fertig --> root-Shell ohne Einschränkungen. Wenn das nicht geht,
dann mußt Du das System halt an Deine Anforderungen anpassen ("sudo
visudo").
Ja, toll. Und wo erfährt man sowas als Anfänger?!
Wo? Schon das herauszufinden, ist Sinn der Übung. Wie? Indem man sich
mit dem, was man tut, auch adäquat beschäftigt.
Post by Ralph A. Schmid, dk5ras
Das ist ja der Scheiß, was man im Netz so findet
Genau, macht aber heute keiner mehr. Die sinnvolle Einmalinvestition in
Grundlagen wird durch hektisches Herumgegoogle ersetzt und man stümpert
sich eben so durch. Aber Du bist nicht alleine. Auf der Abifeier meiner
Tochter hat einer der zukünftigen BWL-Vollhonks genau das in seiner
erbärmlichen "Abirede" auf den Punkt gebracht. Als Strategie fürs Leben.

Gruss,

Thomas
Stefan
2012-08-27 11:20:35 UTC
Permalink
Post by Thomas Kaiser
Genau, macht aber heute keiner mehr. Die sinnvolle Einmalinvestition in
Grundlagen wird durch hektisches Herumgegoogle ersetzt und man stümpert
sich eben so durch. Aber Du bist nicht alleine. Auf der Abifeier meiner
Tochter hat einer der zukünftigen BWL-Vollhonks genau das in seiner
erbärmlichen "Abirede" auf den Punkt gebracht. Als Strategie fürs Leben.
Mit Rückkoppelung: Das Herstellen von qualitativ hochstehender
Fachliteratur ist teuer, und wenn sich dann das ohnehin schon begrenzte
Zielpublikum noch weiter verkleinert und alle Info sowieso nur noch in
Wikipedia nachliest, dann findet sich definitiv kein Verleger mehr.
Ingo Lembcke
2012-08-27 15:25:08 UTC
Permalink
Hallo,
Post by Ralph A. Schmid, dk5ras
Ja, toll. Und wo erfährt man sowas als Anfänger?!
Der Anfänger nimmt etwas Geld in die Hand und kauft 2 Bücher von Kai Surendorf: jeweils das neuste (teuerste) zu Mac OS X incl. Server und Mac OS X 10.x und Unix . Wenn das Geld nicht so locker sitzt, die vorige Version gebraucht kaufen oder die aktuelle leihen. Von dem Verlag gibt es auch brauchbare Video-Tutorials, die auf dem Computer ablaufen.
Die Bücher funktionieren ohne Strom, also auch auf'm Klo oder in der Badewanne und sie sind in deutsch (ist vielleicht für einige eine Erleichterung). Wenn nur Geld für ein Buch vorhanden ist, dann würde ich das Unix-Buch nehmen.
Im Schrank habe ich dann noch "Keine Angst vor Unix" liegen, könnte auch für den Einstieg ganz gut sein, ist aber nicht Mac OS X spezifisch und ich weiss nicht, ob das evtl. einiges für Anfänger noch komplizierter macht?! Für das Gesamtkonzept ist es auf jeden Fall gut.

Mfg,
Ingo Lembcke

Başar Alabay
2012-08-20 10:41:17 UTC
Permalink
Post by Joe Kotroczo
Nachdem Apple am Wochenende via Software Update neue HP Treiber released
hat stürzt mir nun alle Applikationen ab die Versuchen zu drucken, mit
Ausname von Acrobat Reader. Bisher abgestürzt: Preview.app, Safari,
Firefox und Word.
Abstürze gibt's auch wenn man nur versucht ein "Save to PDF" zu machen.
Wie sehr ich das Scheisse finde brauche ich hoffentlich nicht im Detail
zu beschreiben.
TimeMachine und Libraries wiederherstellen? Oder gucken, was genau
geändert wurde und nur das wiederherstellen? Schauen, ob es auch unter
einem anderen Nutzen knallt? Und ganz evtl. Tatsächlich Rechte
reparieren :-)

B. Alabay
--
લવ ઇસ્તંબુલ
http://www.thetrial.de/
Joe Kotroczo
2012-08-20 11:07:00 UTC
Permalink
Post by Başar Alabay
Post by Joe Kotroczo
Nachdem Apple am Wochenende via Software Update neue HP Treiber released
hat stürzt mir nun alle Applikationen ab die Versuchen zu drucken, mit
Ausname von Acrobat Reader. Bisher abgestürzt: Preview.app, Safari,
Firefox und Word.
Abstürze gibt's auch wenn man nur versucht ein "Save to PDF" zu machen.
Wie sehr ich das Scheisse finde brauche ich hoffentlich nicht im Detail
zu beschreiben.
TimeMachine und Libraries wiederherstellen?
Das hilft natürlich ungemein, wenn die TimeMachine zu Hause steht. Und
der HP Drucker in meinem aktuellen temporären Büro, also Shepperton Studios.
Post by Başar Alabay
Oder gucken, was genau
geändert wurde und nur das wiederherstellen? Schauen, ob es auch unter
einem anderen Nutzen knallt? Und ganz evtl. Tatsächlich Rechte
reparieren :-)
Voodoo oder wie? ;-)

Ich hab dann Tante Gugl bemüht und die hat dies hier ausgespuckt:
https://discussions.apple.com/message/19227712#19227712
--
Illegitimi non carborundum
Loading...