Sicherer arbeiten ohne Administrationsrechte bei Mac OS X
Seite 4: Detektivarbeit
Probleme beim Arbeiten unter einem eingeschränkten Benutzerkonto, etwa mit Programmen, die ihre Konfigurationsdaten ohne Admin-Rechte nicht schreiben dürfen, sind extrem selten und leicht abzustellen. In der Regel genügt es, sein Konto in der Benutzerverwaltung kurzzeitig wieder in den Admin-Status zu erheben, die Konfiguration wie gewünscht anzupassen und sich danach die Administratorrechte wieder zu entziehen. Abmelden oder gar den Rechner neu starten ist nicht notwendig.
Will ein Programm partout nicht ohne Admin-Rechte arbeiten, kann man mit fs_usage herausfinden, woran es scheitert. Möchte man beispielsweise ermitteln, in welche Dateien iTunes schreibt, wenn man dessen Konfigurationsdialog schließt, geht man folgendermaßen vor: Zuerst öffnet man in iTunes den Konfigurationsdialog, dann startet man im Terminal die Dateiüberwachung mit
sudo fs_usage -e -f filesystem | grep -v grep | grep write | grep iTunes
und schließt danach den iTunes-Dialog.
Die Option -e verhindert, dass fs_usage durch sich selbst ausgelöste Dateimodifikationen anzeigt, -f filesystem schränkt den Fokus auf Änderungen am Dateisystem ein. Der erste grep-Aufruf eliminiert durch grep selbst ausgelöste Änderungen, der zweite lässt nur Schreibzugriffe durch. Zu guter Letzt werden alle nicht von iTunes ausgelösten Modifikationen herausgefiltert.
Im abschließenden Schritt gilt es dann, die Rechtevergabe der Dateien zu kontrollieren – entweder im Finder über den Informationsdialog oder im Terminal über ls -al.
Will eine Anwendung um jeden Preis in eine Datei schreiben, für die es nicht die Rechte besitzt, kann man ihr diese mit chmod einräumen. So setzt
chmod u+w datei
für ihren Besitzer das Schreibrecht,
chmod g+w datei
erledigt dies für die Gruppe und
chmod o+w datei
für alle anderen Konten. Für welche Variante man sich entscheidet, hängt davon ab, ob man bereits Besitzer einer Datei ist oder der Besitzergruppe angehört. Unter Umständen muss man dies im Finder anpassen, sollte aber auf alle Fälle darauf achten, dass man anderen Benutzern nicht unnötig Rechte entzieht oder gewährt. Alternativ können sich Anwender auch als Mitglied einer Gruppe eintragen.
Unter Mac OS X 10.4 kann dies die Gruppenverwaltung des kostenlosen "SharePoints" erledigen. Das Programm ist zwar primär für das Freigeben von Verzeichnissen im Netzwerk gedacht, leistet aber auch mit seiner Gruppenadministration in anderen Bereichen gute Hilfestellung. Wer lieber ein Apple-Tool nutzen möchte, greift zum Netinfo Manager oder zum Terminal:
sudo nicl / -append /groups/admin users adb
nimmt adb in die Gruppe admin auf,
sudo nicl / -delete /groups/admin users adb
entfernt ihn wieder und
niutil -resync /
aktiviert die Änderungen.
Mit Mac OS X 10.5 hat Apple den Netinfo Manager in Rente geschickt und durch die Directory Services ersetzt. Seither lautet der Befehl zum Ändern der Gruppenmitgliedschaft
sudo dscl . -append /Groups/admin GroupMembership adb
der Befehl zum Löschen aus einer Gruppe sieht so aus:
sudo dscl . -delete /Groups/admin Groupmembership adb
Das Arbeiten ohne Administratorrechte bereitet beim täglichen Arbeiten so gut wie keine Probleme und verwehrt bösartiger Software den Zugang zum System durch die Hintertür. Aber denken Sie auch an die Vordertür: Da der Installer von Mac OS X Software nur systemweit installieren kann, sind die meisten Anwender darauf konditioniert, eine Installation blind mit ihren Administratordaten abzusegnen. Installieren Sie deshalb nie Software aus einer nicht vertrauenswürdigen Quelle und informieren Sie sich im Zweifelsfall zuvor in Diskussionsforen, ob andere Anwender mit dem Objekt der Begierde eventuell schlechte Erfahrungen gemacht haben. Nur so können Sie sicher sein, dass keine Schädlinge durch die Vordertür hereinschlüpfen. (adb) (adb)