• Artikel

Interop

Verwalten des root-Kennworts auf dem Mac

Chris Stoneff

 

Auf einen Blick:

  • Erhöhen von Rechten auf dem Mac
  • Aktivieren des root-Kontos
  • Verfügbarmachen des sudo-Befehls für Benutzer

Benutzer eines Macintosh mit OS X sind in einer ähnlichen Situation wie Benutzer von Windows Vista mit noch aktivierter Benutzerkontensteuerung: Die Administratorrechte sind ihnen entzogen, das root- oder Administratorkonto ist deaktiviert, und sie werden zur Erhöhung ihrer Rechte aufgefordert, wenn sie Aufgaben ausführen, die Administratorrechte erfordern. Wahrscheinlich wissen Sie, wie Sie Ihr Administratorkonto in Windows Vista verwalten und verwenden, sollte dies erforderlich sein. Wenn jedoch die Arbeit mit dem Mac neu für Sie ist, mag dies nicht sofort offensichtlich sein.

Um administrative Funktionen auf einem Mac (besonders in Terminal) auszuführen, müssen Sie in der Lage sein, den sudo-Befehl zu verwenden, der eine Authentifizierung erfordert. Das ist einfach: In der standardmäßigen Konfiguration von Macs müssen Sie lediglich Ihr eigenes Kennwort erneut eingeben, um sich wie verlangt zu authentifizieren.

Zu einfach, würden einige sagen, denn wenn Ihr Kennwort erraten, gestohlen oder geknackt wird und lokal oder über SSH den Zugriff auf Ihr System ermöglicht, kann der Angreifer genau wie bei Windows Ihren Computer übernehmen, als wenn Sie root aktiviert hätten (root entspricht dem Administrator in Windows). Schlimmer noch: Wenn Angreifer mithilfe von „sudo –s“ eine Shell initiieren, wird praktisch nichts in Ihr Systemprotokoll eingegeben.

Wie gewähren Sie nun den Mac-Benutzern die erforderlichen Rechte auf Grundlage des Bedarfs und erhöhen gleichzeitig die Sicherheit? Seltsamerweise durch Aktivieren des root-Kontos.

Standardmäßig ist das root-Konto unter OS X im Rahmen allgemeiner Sicherheitsmaßnahmen deaktiviert. Das Problem besteht darin, dass (wie oben erwähnt) ein Benutzer in diesem Status nur seine eigenen Anmeldeinformationen erneut eingeben muss, um erhöhte Rechte zu erhalten. Um sicherzustellen, dass Benutzer nicht einfach ihre eigenen Anmeldeinformationen eingeben können, um Zugriff auf root-Ebene (Administratorzugriff) zu erlangen, müssen Sie das root-Konto aktivieren, indem Sie das Konto „root“ mit einem Kennwort schützen. Hierzu verwenden Sie Directory Utility oder geben an einem Terminal den folgenden Befehl ein:

sudo passwd root

Folgen Sie dann den Anweisungen, und geben Sie ein neues Kennwort ein (siehe Abbildung 1). Vergessen Sie nicht, das Kennwort regelmäßig zu ändern.

fig1.gif

Abbildung 1 Erstellen eines Kennworts für root (zum Vergrößern auf das Bild klicken)

Wenn das root-Konto aktiviert ist, können Benutzer nicht durch erneute Eingabe ihres eigenen Kennworts Zugriff auf der root-Ebene (Administratorzugriff) erlangen. Dies ermöglicht ein detaillierteres Festlegen von Berechtigungen, da Benutzer jetzt ein separates Konto mit erhöhten Rechten aufrufen müssen, um administrative Funktionen auszuführen. Dieses Konto kann unabhängig vom normalen Benutzerkonto mithilfe von Drittanbieterlösungen verwaltet und gesichert werden. Mit diesen Lösungen ist es möglich, das Kontokennwort zufällig festzulegen und sicher zu speichern sowie eine delegierte und überwachte Schnittstelle für das Abrufen des Kennworts nach Bedarf bereitzustellen.

Dieses Problem ist nun gelöst. Nun müssen Sie den sudo-Befehl für jene Benutzer verfügbar machen, die ihn benötigen. Berücksichtigen Sie dabei die drei Ebenen von Benutzern in OS X: Benutzer, Administratoren und root. Standardmäßig können Benutzer keine sudo-Befehle verwenden. Dies ist Administratoren und root-Benutzern vorbehalten. Wenn Sie Ihren Benutzern keine Administratorrechte gewähren, sie aber in die Lage versetzen möchten, wenn nötig sudo-Befehle zu verwenden, müssen Sie sudo für die Benutzer auf Ihrem OS X-System aktivieren. Hierzu bearbeiten Sie entweder die Datei „/private/etc/sudoers“ und nehmen bestimmte Benutzer auf, oder Sie entfernen die Kommentarmarkierung der Beispielzeile in Abbildung 2, die mit „%wheel“ beginnt, und fügen der wheel-Gruppe Ihre Benutzer hinzu.

fig2.gif

Abbildung 2 Aktivieren von sudo für bestimmte Benutzer (zum Vergrößern auf das Bild klicken)

Durch Ausführen der hier skizzierten Schritte können Sie erreichen, dass das root-Kennwort Ihrer Mac-Systeme durch automatisierte Prozesse verwaltet wird, die regelmäßig oder im Anschluss an die Kennwortwiederherstellung ein neues Kennwort nach dem Zufallsprinzip generieren. So bleiben Ihre Systeme konform mit den Richtlinien Ihres Unternehmens sowie mit rechtlichen Bestimmungen wie dem Payment Card Industry (PCI) Data Security Standard, Sarbanes-Oxley (SOX), dem Health Insurance Portability and Accountability Act (HIPAA) und anderen Vorschriften. Außerdem verhindern Sie, dass Benutzer und Administratoren durch erneute Eingabe ihres eigenen Kennworts unbedacht ihre Berechtigungen erhöhen.

Chris Stoneff ist Produktmanager bei Lieberman Software, einem Softwareentwickler im Bereich Sicherheit und Systemverwaltung. Sein Interesse gilt nicht nur der Frage, wie etwas auf eine bestimmte Weise funktioniert, sondern auch, warum das so ist.