Twitter Timeline
- RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 month ago
- Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 month ago
- RT @slith76: Vim: revisited http://t.co/GIdKrKMz2 months ago
- So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon2 months ago
- FreeBSD Buchverlosung: http://t.co/a9t1MZO02 months ago
- RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G3 months ago
- Neu im Blog: US-Proxy für YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp3 months ago
- Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI3 months ago
- Shortcuts zur iPhone Prefpane ... nicht ganz so gut wie mit Jailbreak, aber immerhin. http://t.co/TFyZypE13 months ago
- RT @Linux: Fedora 16 "Verne" released! http://t.co/vX7A5Gar #Fedora #Linux3 months ago
- Neu im Blog: Schutz bei (D)DOS Angriffen mit Iptables http://t.co/vDeOdt2w3 months ago
- RT @nbbilliger: Mozilla Firefox 8.0 erschienen http://t.co/Ecn6h1Mp3 months ago
- Fazit nach 2 Tagen iPhone4s: Nett, aber kein Muss, wenn man da 4er hat. Siri ist recht nutzlos atm, Kamera besser. Akku 1:1 bisher. ^rk3 months ago
- Das Nginx-Modul "nginx-sticky-module" erfolgeich getestet und im Einsatz. Blogpost folgt bei Gelegenheit :) http://t.co/G1xBhuWX3 months ago
- Mehrere Kollegen wurden für das Blog begeistert, mal sehen ob gute Artikel folgen ^^ (rk)3 months ago
- Willkommen in der Encoding-Hell: U+C4?U+E4, U+D6?U+F6, U+DC?U+FC, U+DF, U+E4, U+F6, U+FC #german #umlauts3 months ago
- Neu im Blog: Top of the Tops http://t.co/DPx5TreY3 months ago
- Danke, gerne :-) RT @admn_blog_com: Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- RT @Linux: Ubuntu 11.10 "Oneiric Ocelot" released! #Ubuntu #Linux4 months ago
- Info: Der calendarserver unter Debian Lenny ist inkompatibel mit iOS5. Unter Squeeze hingegen keine Probleme.4 months ago
- Das sind schon ein paar Cores ;-) http://lockerz.com/s/1152337948 months ago
- Nettes Nagios-Monitoring-Tool für das iPhone: NagiMon. Hat allerdings Probleme mit Leerzeichen als Services. http://lockerz.com/s/1131691968 months ago
- JavaScript PC-Emu bootet Linux: http://bit.ly/iygoXG9 months ago
- RT @boeserseo: Mit die beste "How To" Absicherung für Linux Server die ich je gesehen habe! #NSA -> http://klick.es/2z9 months ago
Monday, 23. November 2009
[Tipps und Tricks] sichern und härten von Mac OS X
Ich bin letztens auf eine Webseite der NSA (National Security Agency - Nachrichtendienst der USA) gestossen, in der Sicherheitstipps für verschiedene Software und Systeme zur Verfügung gestellt werden. Unter anderem befinden sich da auch Tipps für das absichern und härten von Mac OS X (Panther, Tiger und Leopard).
Ich möchte euch ein paar Tipps davon beschreiben und erklären. Einige der Tipps können ohne Probleme von allen Mac Usern durchgeführt werden. Andere wiederum sollte man nur konfigurieren, wenn man ein wenig Hintergrundwissen zum Thema hat. Ich werde diese gegebenenfalls kennzeichnen, denn wir wollen ja nicht das Ihr euch euer System zer-sichert-schießt.
Bitte beachtet auch, dass ein System was hochsicher ist, nicht unbedingt Benutzerfreundlich ist. Eine hochsicheres System, welches Benutzerfreundlich ist, gibt es leider nicht (zumindest habe ich dieses noch nicht gefunden, ich bin aber auch eher der Sicherheitsfreak und lebe gern mit dem höheren Aufwand). Die folgenden Tipps sind auf (Snow) Leopard ausgelegt.
1. arbeiten als normaler Nutzer
Der erste Tipp ist zugleich auch der einfachste und gilt quasi für alle Betriebssysteme. Normale arbeiten (E-Mails lesen, Web browsen, Office arbeiten) sollte man als normaler Nutzer ohne Administrator-Rechte ausführen. Wahrscheinlich könnte der großteil aller Angriffe auf Computer-Systeme verhindert werden, wenn die Nutzer mit normalen Rechten arbeiten würden. Denn sobald es eine Schadsoftware auf den Computer geschafft hat, stehen dieser Tür und Angel offen, denn als Benutzer mit Admin-Rechten darf diese alles machen. Als erstes sollte man unter Systemeinstellungen --> Benutzer einen Adminstrator-Account einrichten. Als Tipp kann ich euch bei der Kennwortvergabe das kleine Schlüsselsymbol geben. Einmal geklickt erscheint ein weiteres kleines Fenster, bei dem Ihr Hilfe bei der Kennwortgenerierung erhaltet.
2. Software Updates
Auch der 2. Tipp könnte nicht einfacher sein. Haltet euer System auf einem aktuellen Stand und nutzt die zur Verfügung stehenden Updatemechanismen (Systemeinstellungen --> Sofwareaktualisierungen oder bei Apple).
3. Benutzerkonto Einstellungen
Deaktivieren des automatischen Logins und des Anzeigen der Nutzer Liste (Systemeinstellungen --> Benutzer --> Anmeldeoption). Somit wird es einem Angreifer der sich physikalischen Zugriff zum System verschafft hat, zumindest erst einmal schwerer gemacht sich am System anzumelden bzw. herauszufinden welche Nutzer überhaupt im System existieren.
Deaktivieren des Gast-Benutzerkontos und des Sharings (Systemeinstellungen --> Benutzer --> Gast Konto). Deaktiviert das Gast-Benutzerkonto sowie das Anmelden an Freigaben als Gast.
4. Sicherheits Einstellungen
Kennwort erforderlich nach Ruhezustand oder der aktivierung des Bildschirmschoners Systemeinstellungen --> Sicherheit --> Kennwort erforderlich --> Sofort. Eigentlich können im Allgemein Tab alle Häkchen gesetzt werden. Diese sollten alle selbsterklärend sein. Sicheren virtuellen Speicher verwenden bedeutet, dass geswappter Speicher also Speicherbereiche die aus dem RAM auf die Festplatte geschrieben werden, verschlüsselt abgelegt werden. FileVault bietet sich für diejenigen an, die ein mobilen Mac besitzen. Bei der aktivierung von FileVault wird der "Inhalt" der Festplatte verschlüsselt. Bitte bedenkt, dass nach dem verschlüsseln das TimeMachine Backup nicht mehr wie im gewohnten Umfang funktioniert (es kann nur noch die komplette Festplatte sichern, da die Daten verschlüsselt abgelegt sind und somit kein Diff des Filesystems möglich ist). Auch sollte Ihr bei FileVault nicht das Hauptkennwort vergessen, da sonst alle Daten verloren sind. Im Firewall Tab empfiehlt es sich natürlich die Firewall zu aktivieren und unter den Weiteren Optionen den Tarn-Modus zu aktivieren und nur bekannte Programme zuzulassen (in meinem Fall z.B. ssh).
5. Netzwerk Konfiguration
Deaktivieren von IPv6 wenn nicht benötigt. Systemeinstellung --> Netzwerk --> Weitere Optionen --> TCP/IP Tab --> IPv6 konfigurieren: Aus. Solange IPv6 nicht benötigt wird, kann dies auch deaktiviert werden. Solltet Ihr zudem eurer AirPort Netzwerk nicht benötigen, deaktiviert es.
6. suid und sgid Programme finden (advanced)
Sucht euch alle suid und sgid Programme auf euren Mac und ändert diese zu normalen Programmen ab, solange dies möglich ist. Sollten suid Programme dem Root Nutzer gehören (User <-> suid oder Gruppe <-> sgid) werden diese auch als Root Nutzer ausgeführt. Meistens benötigen diese Programme diese Rechte gar nicht. Um alle suid Programme zu finden, führt Ihr find / -perm -4000 -ls aus und um alle sgid zu finden, nehmt Ihr find / -perm -2000 -ls. Solche Tools wie rsh und rlogin benötigen sicher keine Root Rechte. Um die gefunden Programme anzupassen, nehmt Ihr am besten chmod (z.B. chmod u-s Programm für das enfernen des suid Bits)
7. Benutzerordner restriktieren
Damit andere Benutzer nicht in eurer "Heimatverzeichnis" per default hinein sehen können, empfielt es sich diese via chmod og-rx /Users/Nutzername abzusichern.
Beachtet Ihr diese Hinweise, sollte euer Mac schon ein bisschen sicherer sein
. Natürlich kommen zum Thema Sicherheit noch viele andere Faktoren hinzu (Nutzer, Software, Umgebung), aber der Anfang sollte damit getan sein. Diese und noch viele weitere Tipps findet Ihr in den besagten PDF's der NSA, welche ich sehr empfehle zu lesen.
Ich möchte euch ein paar Tipps davon beschreiben und erklären. Einige der Tipps können ohne Probleme von allen Mac Usern durchgeführt werden. Andere wiederum sollte man nur konfigurieren, wenn man ein wenig Hintergrundwissen zum Thema hat. Ich werde diese gegebenenfalls kennzeichnen, denn wir wollen ja nicht das Ihr euch euer System zer-sichert-schießt.
Bitte beachtet auch, dass ein System was hochsicher ist, nicht unbedingt Benutzerfreundlich ist. Eine hochsicheres System, welches Benutzerfreundlich ist, gibt es leider nicht (zumindest habe ich dieses noch nicht gefunden, ich bin aber auch eher der Sicherheitsfreak und lebe gern mit dem höheren Aufwand). Die folgenden Tipps sind auf (Snow) Leopard ausgelegt.
1. arbeiten als normaler Nutzer
Der erste Tipp ist zugleich auch der einfachste und gilt quasi für alle Betriebssysteme. Normale arbeiten (E-Mails lesen, Web browsen, Office arbeiten) sollte man als normaler Nutzer ohne Administrator-Rechte ausführen. Wahrscheinlich könnte der großteil aller Angriffe auf Computer-Systeme verhindert werden, wenn die Nutzer mit normalen Rechten arbeiten würden. Denn sobald es eine Schadsoftware auf den Computer geschafft hat, stehen dieser Tür und Angel offen, denn als Benutzer mit Admin-Rechten darf diese alles machen. Als erstes sollte man unter Systemeinstellungen --> Benutzer einen Adminstrator-Account einrichten. Als Tipp kann ich euch bei der Kennwortvergabe das kleine Schlüsselsymbol geben. Einmal geklickt erscheint ein weiteres kleines Fenster, bei dem Ihr Hilfe bei der Kennwortgenerierung erhaltet.
2. Software Updates
Auch der 2. Tipp könnte nicht einfacher sein. Haltet euer System auf einem aktuellen Stand und nutzt die zur Verfügung stehenden Updatemechanismen (Systemeinstellungen --> Sofwareaktualisierungen oder bei Apple).
3. Benutzerkonto Einstellungen
Deaktivieren des automatischen Logins und des Anzeigen der Nutzer Liste (Systemeinstellungen --> Benutzer --> Anmeldeoption). Somit wird es einem Angreifer der sich physikalischen Zugriff zum System verschafft hat, zumindest erst einmal schwerer gemacht sich am System anzumelden bzw. herauszufinden welche Nutzer überhaupt im System existieren.
Deaktivieren des Gast-Benutzerkontos und des Sharings (Systemeinstellungen --> Benutzer --> Gast Konto). Deaktiviert das Gast-Benutzerkonto sowie das Anmelden an Freigaben als Gast.
4. Sicherheits Einstellungen
Kennwort erforderlich nach Ruhezustand oder der aktivierung des Bildschirmschoners Systemeinstellungen --> Sicherheit --> Kennwort erforderlich --> Sofort. Eigentlich können im Allgemein Tab alle Häkchen gesetzt werden. Diese sollten alle selbsterklärend sein. Sicheren virtuellen Speicher verwenden bedeutet, dass geswappter Speicher also Speicherbereiche die aus dem RAM auf die Festplatte geschrieben werden, verschlüsselt abgelegt werden. FileVault bietet sich für diejenigen an, die ein mobilen Mac besitzen. Bei der aktivierung von FileVault wird der "Inhalt" der Festplatte verschlüsselt. Bitte bedenkt, dass nach dem verschlüsseln das TimeMachine Backup nicht mehr wie im gewohnten Umfang funktioniert (es kann nur noch die komplette Festplatte sichern, da die Daten verschlüsselt abgelegt sind und somit kein Diff des Filesystems möglich ist). Auch sollte Ihr bei FileVault nicht das Hauptkennwort vergessen, da sonst alle Daten verloren sind. Im Firewall Tab empfiehlt es sich natürlich die Firewall zu aktivieren und unter den Weiteren Optionen den Tarn-Modus zu aktivieren und nur bekannte Programme zuzulassen (in meinem Fall z.B. ssh).
5. Netzwerk Konfiguration
Deaktivieren von IPv6 wenn nicht benötigt. Systemeinstellung --> Netzwerk --> Weitere Optionen --> TCP/IP Tab --> IPv6 konfigurieren: Aus. Solange IPv6 nicht benötigt wird, kann dies auch deaktiviert werden. Solltet Ihr zudem eurer AirPort Netzwerk nicht benötigen, deaktiviert es.
6. suid und sgid Programme finden (advanced)
Sucht euch alle suid und sgid Programme auf euren Mac und ändert diese zu normalen Programmen ab, solange dies möglich ist. Sollten suid Programme dem Root Nutzer gehören (User <-> suid oder Gruppe <-> sgid) werden diese auch als Root Nutzer ausgeführt. Meistens benötigen diese Programme diese Rechte gar nicht. Um alle suid Programme zu finden, führt Ihr find / -perm -4000 -ls aus und um alle sgid zu finden, nehmt Ihr find / -perm -2000 -ls. Solche Tools wie rsh und rlogin benötigen sicher keine Root Rechte. Um die gefunden Programme anzupassen, nehmt Ihr am besten chmod (z.B. chmod u-s Programm für das enfernen des suid Bits)
7. Benutzerordner restriktieren
Damit andere Benutzer nicht in eurer "Heimatverzeichnis" per default hinein sehen können, empfielt es sich diese via chmod og-rx /Users/Nutzername abzusichern.
Beachtet Ihr diese Hinweise, sollte euer Mac schon ein bisschen sicherer sein
. Natürlich kommen zum Thema Sicherheit noch viele andere Faktoren hinzu (Nutzer, Software, Umgebung), aber der Anfang sollte damit getan sein. Diese und noch viele weitere Tipps findet Ihr in den besagten PDF's der NSA, welche ich sehr empfehle zu lesen.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
ohne FileVault: FW-Kabel besorgen, betreffenden Mac neu Booten, T drücken und ab dafür ... wozu dann noch eine Kennwort knacken 
mit FileVault: TimeMachine?? -> CCC (kann auch inkrementell/"gescheduled" sichern)
cy-man
mit FileVault: TimeMachine?? -> CCC (kann auch inkrementell/"gescheduled" sichern)
cy-man
Hi Cy-Man,
und genau deswegen sollte man das Firmware Passwort setzen Setzen kann man dies mit dem Open-Firmware-Password Tool (findet man auf der Mac OSX Installations CD, im versteckten Ordner /Application/Utilities oder bei Apple als Download).
Was ist dieses CCC?
MfG
Maddin
und genau deswegen sollte man das Firmware Passwort setzen
Setzen kann man dies mit dem Open-Firmware-Password Tool (findet man auf der Mac OSX Installations CD, im versteckten Ordner /Application/Utilities oder bei Apple als Download).Was ist dieses CCC?
MfG
Maddin
So und nun die Preisfrage - wie kann man in 10.6 als Benutzer Updates installieren? In 10.5 ging es ... und sowas die eine gruppenrichtlinie, die es administrativ macht gibt es nicht oder ich kenne keine ...
danke maddin für den hinweis, gleich mal machen
cy-man
danke maddin für den hinweis, gleich mal machen
cy-man
hi cy-man,
Soweit ich weiß muss man ein Nutzer mit Adminrechten sein. Ich habs grad getestet, wenn man einen Admin Nutzer eingerichtet hat, kann man über diesen die Updates als normaler Nutzer machen, Mac OS X fragt dann automatisch nach den Credentials eines Verwaltungsberechtigten Benutzers (Gruppe admin, _lpadmin, _lpoperator, _appserveradm? --> rauszufinden via Shell und dann id $Adminbenutzer).
MfG
Maddin
Soweit ich weiß muss man ein Nutzer mit Adminrechten sein. Ich habs grad getestet, wenn man einen Admin Nutzer eingerichtet hat, kann man über diesen die Updates als normaler Nutzer machen, Mac OS X fragt dann automatisch nach den Credentials eines Verwaltungsberechtigten Benutzers (Gruppe admin, _lpadmin, _lpoperator, _appserveradm? --> rauszufinden via Shell und dann id $Adminbenutzer).
MfG
Maddin
powered by
Suche
Kommentare
04.01.12 20:34
Hallo Freunde,
Da ich genau das gleiche Pr [...]
12.12.11 02:46
Hi, ich habe seit einem halben Jahr das Acer [...]
07.12.11 10:03
Ich bin gestern auf Ultrasurf (http://ultras [...]
29.11.11 17:24
Versuchs mal mit Proxys von hidemyass.com - [...]
24.11.11 09:13
Habe den Server nun wieder gekündigt. War wo [...]
16.11.11 19:13
In der USA sind leider manchmal auch ein paa [...]
16.11.11 17:27
Nette Sache, war der Speed in Ordnung? Der P [...]
16.11.11 17:24
Ich habe für den Zweck ein SSH-basierten Pro [...]
16.11.11 17:04
Ja, außerdem sollte es doch dann mit Tinypro [...]
16.11.11 17:03
In der squid.conf den Parameter
forwarded [...]
[Tipps und Tricks] sichern und härten von Mac OS X ...: Rob zu ChromeOS als Open-Source Projekt released. 20.11.09 09:27 http://url4.eu/oWHE
Aufgenommen: Nov 23, 17:58
[Tipps und Tricks] sichern und härten von Mac OS X http://ff.im/-bU9RG
Aufgenommen: Nov 23, 21:38