ma rog, bresa nu e neapart de securitate, dar userul respectiv poate aduce sistemul in situatia de disfunctionalitate.

poate ca si voi folositi conturi de “guest” pe sistem, pt a permite unor prieteni sau membrilor familiei sa foloseasca anumite aplicatii de pe mac, dar nu vreti sa le dati prea multe drepturi, ca sa nu il dea peste cap.

iata o problema de care m-am lovit - si solutia pe care am aplicat-o:

creez un guest account, debifez setarea de admin pt acest user si activez parental controls, unde pot alege daca userul poate sau nu modifica dockul, ce aplicatii poate folosi samd. pana aici, toate bune si frumoase. am osbervat insa ca daca ma loghez cu acest cont, intr-adevar - nu pot modifica dockul, nu pot folosi decat aplicatiile la care am acces, dar… sistemul ma lasa sa sterg aplicatiile! daca le trag in trash, nu le mai poate folosi nici userul cu drepturi de admin - aplicatia fiind in trash, nu o poate deschide (nu mai vb de cazul in care guestul meu pus pe rele goleste trashul )

solutia la care am recurs a fost sa aplic asa numitul “sticky bit” la nivel de file permissions pe folderul cu aplicatii din sistem - in felul acesta, guestul poate folosi aplicatiile la care i-am dat acces, dar nu mai poate sterge nici un fisier/director din acel folder, decat daca a fost creat tot de el.

pasi de urmat (v. atasamentele):

1. ne logam ca root cu sudo su - daca nu avem cont de root, sau cu su - daca avem

2. intram in directorul radacina cu cd /

3. listam permisiile de pe directorul cu aplicatii: ls -ald Applications/

4. aplicam permisiile pt sticky bit cu chmod 1777 Applications/

5. verificam noile permisii

6. ne delogam din contul de root! cu exit (sau ctrl + d)

[modificat titul sa fie mai aproape de realitate si mai putin de senzational]

Două chestii:
- Ești pe Tiger, da? În Leopard nu se întâmplă chestia pe care o descrii. Adică dacă mă loghez cu contul de Guest nu pot șterge aplicațiile dacă nu știu username/parolă de admin.
- Chiar și pe Tiger mi se pare curios că un non-admin poate șterge din /Applications. Ești sigur că n-ai probleme cu permisiunile?

Tocmai am verificat pe Tiger. Am facut un cont fara drepturi de admin si m-am logat. Am incercat sa sterg un program din /Applications si mi-a cerut user/parola de admin.

ba am probleme cu permisiunile, tocmai despre asta era vorba!

numai ca alea sunt setate by default de catre apple, nu de catre mine (vorbesc de directorul Applications, creat de sistem)

pe leo nu poti face asta, in schimb poti face alte chestii mult mai nasoale intr-un guest account

http://thelameleopard.wordpress.com/2007/11/07/taking-a-closer-look-at-leopards-guest-account/

o precizare - in tiger creezi un cont obisnuit, il denumesti guest si il setezi cum vrei, nu exista un default guest ca pe leo

ceea ce e de preferat, pt ca il configurezi cum trebuie - contul de guest de pe leo vine cu setarile deja facute…

vezi mai sus, cat de bine

daniel@macuser - 30 Martie 2009 05:24 PM

ba am probleme cu permisiunile, tocmai despre asta era vorba!
numai ca alea sunt setate by default de catre apple, nu de catre mine (vorbesc de directorul Applications, creat de sistem)

Eu tocmai ti-am spus mai sus ca pe un sistem Tiger curat care are permisiunile default setate de Apple, un cont non-admin nu poate sterge aplicatiile. La tine zici ca se poate, deci eu trag concluzia ca permisiunile din sistemul tau nu sunt alea corecte. Da un repair permissions cu Disk Utility, vezi daca gaseste vreo buba.

daca vrei sa reproduci problema de care vorbeam, incearca sa urmezi exact pasii din postul meu initial. tu ai creat un cont fara drepturi de admin, dar care are access la toate aplicatiile. contul respectiv poate fi configurat in detaliu, daca aplici parental controls pe finder & system etc. de acolo alegi aplicatiile pt care permiti acces sau nu. incearca sa modifici setarile de acolo, asa incat sa permiti acces la anumite aplicatii si la altele nu. vezi atunci daca poti sau nu sa stergi aplicatiile.

daniel@macuser - 30 Martie 2009 05:24 PM

pe leo nu poti face asta, in schimb poti face alte chestii mult mai nasoale intr-un guest account
http://thelameleopard.wordpress.com/2007/11/07/taking-a-closer-look-at-leopards-guest-account/
o precizare - in tiger creezi un cont obisnuit, il denumesti guest si il setezi cum vrei, nu exista un default guest ca pe leo
ceea ce e de preferat, pt ca il configurezi cum trebuie - contul de guest de pe leo vine cu setarile deja facute…
vezi mai sus, cat de bine

Contul de Guest din Leopard este o facilitate simplă și utilă pentru utilizatori obișnuiți cu nevoi obișnuite. Cine-i obsedat de securitate atunci știe să nu facă ca berbecul foldere aiurea pe hard disc fără să stabilească manual permisiunile (cum a făcut ăla de pe blog).

daniel@macuser - 30 Martie 2009 05:57 PM

daca vrei sa reproduci problema de care vorbeam, incearca sa urmezi exact pasii din postul meu initial. tu ai creat un cont fara drepturi de admin, dar care are access la toate aplicatiile. contul respectiv poate fi configurat in detaliu, daca aplici parental controls pe finder & system etc. de acolo alegi aplicatiile pt care permiti acces sau nu. incearca sa modifici setarile de acolo, asa incat sa permiti acces la anumite aplicatii si la altele nu. vezi atunci daca poti sau nu sa stergi aplicatiile.

In Tiger (10.4.11) am setat ca acel cont de “guest” sa poata deschide doar Safari si TextEdit. Dupa aia am incercat ca guest sa sterg orice aplicatie, inclusiv Safari si TextEdit: nu ma lasa, imi cere user/pass de admin.

Pt. securitate sporita :

http://blog.macadmincorner.com/leopard-keeping-the-guest-account-disabled/

EDIT : Si in Tiger, Guest accountul era si mai dezastruos ca in Leo, unde nu s-au schimbat prea multe (ma refer la core-level)

Tudor - 30 Martie 2009 06:10 PM

In Tiger (10.4.11) am setat ca acel cont de “guest” sa poata deschide doar Safari si TextEdit. Dupa aia am incercat ca guest sa sterg orice aplicatie, inclusiv Safari si TextEdit: nu ma lasa, imi cere user/pass de admin.

daca nimeni altcineva nu poate reproduce problema, inseamna ca e ceva local (desi sistemul e instalat de curand). cu atat mai bine daca nu e o problema generala

Alex Andreescu - 30 Martie 2009 07:12 PM

Pt. securitate sporita :
http://blog.macadmincorner.com/leopard-keeping-the-guest-account-disabled/
EDIT : Si in Tiger, Guest accountul era si mai dezastruos ca in Leo, unde nu s-au schimbat prea multe (ma refer la core-level)

Contul de Guest din Leopard face exact ceea ce trebuie să facă: îmi oferă un mod prin care eu pot da voie temporar unei persoane să utilizeze computerul meu, fără să-mi afecteze contul de utilizator și fără ca eu să-mi bag nasul în ceea ce face persoana respectivă. S-a dovedit a fi soluția perfectă pentru musafirii mei care au vrut să-și verifice emailul sau să intre un pic pe messenger.

Problema e că unii nu pricep care-i rolul acestui cont de Guest și văd în el ditamai breșa de securitate. E o prostie să afirmi așa ceva pentru că este evident că în rețelele în care securitatea chiar contează nu te joci cu Guest și Parental Controls. În plus contul de Guest nu se poate folosi pentru remote login așa că presupusele atacuri externe pe contul de Guest activat sunt excluse.

Ai dreptate numai partial (parerea mea).
“S-a dovedit a fi soluția perfectă pentru musafirii mei care au vrut să-și verifice emailul sau să intre un pic pe messenger.” - Perfect de acord. Dar doar atat ! Poate ar fi trebuit explicat mai pe larg si de catre Apple, nu stiu.

“A guest user cannot change other accounts or alter the settings on the computer.

IMPORTANT: Files created while using a guest account are deleted when the user logs out. A temporary home folder is created for the guest’s files. When the guest logs out, the home folder and its contents are deleted.”

NU este asa! Sa nu mai vorbim despre ‘guest’ din alte OSuri (nu vorbim de Windows aici).

Într-un document numit “Security Configuration for 10.5 Leopard”, Apple zice așa:

Securing the Guest Account
The guest account is used to give a user temporary access to your computer. The guest account is disabled by default because it does not require a password to log in on the computer. If this account is enabled and is not securely configured, malicious users can gain access to your computer without the use of a password.
If you enable the guest account, enable parental controls to limit what the user can do and disable guest account access to shared files and folders by deselecting the “Allow guest to connect to shared folders” checkbox. If you permit the guest account to access shared folders, an attacker can easily attempt to access shared folders without a password.
When you finish with this account, disable it by deselecting the “Allow guests to log into this computer.” This prevents the guest user account from logging into the computer. For more information about parental controls, see “Controlling Local Accounts with Parental Controls” on page 62.

Cred că oricine ia securitatea în serios știe unde să găsească aceste informații și le citește înainte de a utiliza contul de Guest. Cine nu-și pune probleme înseamnă că ori este un admin slab, ori n-are nevoie de super-securitate.

Chestia cu fișierele lăsate în urmă de Guest este iarăși o problemă falsă. Când vrei să faci log-out dintr-un cont de Guest îți apare următorul mesaj:

“Logging out deletes all files and information in the guest user home folder. These files cannot be recovered.”

Exact chestia asta se și întâmplă. Se șterge toată informația aflată în directoarele din home-ul guest-ului: fișiere, preferințe, tot. (Nu pot intra după aia să văd ce a scris guest-ul pe Yahoo Messenger ) Pe Lame Leopard scria că Guestul poate scrie în /Users/Shared și în /tmp. Păi e normal, atâta timp cât acele foldere au permisiuni r/w pentru everyone.

Alex Andreescu - 30 Martie 2009 09:53 PM

Ai dreptate numai partial (parerea mea).
“S-a dovedit a fi soluția perfectă pentru musafirii mei care au vrut să-și verifice emailul sau să intre un pic pe messenger.” - Perfect de acord. Dar doar atat ! pai si ce vrei mai mult de la acest cont? Poate ar fi trebuit explicat mai pe larg si de catre Apple, nu stiu.

“A guest user cannot change other accounts or alter the settings on the computer.

IMPORTANT: Files created while using a guest account are deleted when the user logs out. A temporary home folder is created for the guest’s files. When the guest logs out, the home folder and its contents are deleted.”

NU este asa! Sa nu mai vorbim despre ‘guest’ din alte OSuri (nu vorbim de Windows aici).

ai un exemplu clar in care home-ul userului guest nu este sters?

Uite aici ce face “guest” in Windows http://support.microsoft.com/kb/300489 .
Eu folosesc acest cont pentru “vizitatori” si nu am avut probleme.
In link-ul dat aici ( http://blog.macadmincorner.com/leopard-keeping-the-guest-account-disabled/ ), se spune “there is no accountability for any problems that occur or attacks that are launched from that machine” - asta este paranoia cu prietenii hackeri.
Se pare ca unii sunt mai catolici decat Papa.
Contul de “Guest” este asa cum i-i spune numele pentru musafiri; ai un singur cont pe care-l pot folosii prietenii/rudele/etc… cand vin in vizita la tine si au nevoie de internet.

Da, stiu ce face in Windows, mersi.
Stiu si ce zici tu si ce zice si Tudor.

Se pare ca fiecare vede problema in felul lui, nu ?

și cum o fi mai bine?
dacă-mi fac io cafeinternet cu macuri
nu e bine să le pun pe guest?
și nu e bine ca utilizatorul care vine după tine, să nu vadă ce ai făcut tu?
și niciunul dintre ei să nu-mi strice setările?
mie parcă așa mi-ar conveni…