Apfelinsel
Anleitungen und FAQ => Thema gestartet von: warlord am Mai 06, 2012, 12:14:44
-
Vielen geübteren Computer-Anwendern dürfte das Szenario bekannt sein: man hat irgendwo in der Verwandt- oder Bekanntschaft jemanden, der sich selbst mit einem Mac etwas schwer tut, das Gerät eigenhändig in Schuss zu halten. Und man wird Einrichter, Pate und Teilzeit-Admin für dieses entfernt stehende Gerät.
Vermutlich wird man die Verwandt- oder Bekanntschaft mit einem Account ohne Admin-Rechte arbeiten lassen. Dabei stellt sich das Problem: Wie kommen die wichtigen und teilweise sicherheitsrelevanten System-Updates zeitnah auf das Gerät? Für das Starten der Softwareaktualisierung ist eine Authentifizierung als Admin notwendig. Startet ein Nicht-Admin die Softwareaktualisierung, erhält er folgende Aufforderung:
(http://www.apfelinsel.de/bhb/Softwareaktualisierung/Softwareaktualisierung_Bild1.jpg)
Und möglicherweise traut sich hier die Verwandt- oder Bekanntschaft nicht, diese einzugeben. Oder je nach Grad des Computer-Illetrismus haben wir es vielleicht gar vorgezogen, die Zugangsdaten zum Admin-Account im Dunkeln zu lassen. Für das Einspielen von Updates ist so immer unser Erscheinen notwendig. Was guter Anlass zur Kontaktpflege sein kann, kann mitunter auch mühsam werden. Die Möglichkeit für Nicht-Admins, System-Updates einzuspielen, wäre hilfreich. Und genau das ist mit Lion (Mac OS 10.7) möglich. Dazu braucht es allerdings ein paar Handgriffe unter die Motorhaube. Und so geht's:
Viele Regeln, welche Funktionen und Teile des Betriebssystems welche Rechte und Privilegien erfordern, sind in der Datei /etc/authorization definiert. In Lion sind da neue Regeln für die Softwareaktualisierung dazu gekommen. Wir können uns diese im Terminal z.B. mit dem security Kommando anschauen:
Hymir:~ pharlab$ security authorizationdb read com.apple.SoftwareUpdate.scan
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>class</key>
<string>rule</string>
<key>comment</key>
<string>Checked when user is updating software.</string>
...
<key>rule</key>
<string>root-or-entitled-admin-or-authenticate-admin</string>
</dict>
</plist>
YES (0)
Das hier abgefragte Recht definiert, wer einen Scan nach vorhandenen Updates auslösen darf. Bevor wir dieses Recht nun modifizieren, sollten wir eine Sicherheitskopie von /etc/authorization anlegen:
sudo cp /etc/authorization /etc/authorization.saved
Zum Modifizieren des Rechts können wir uns auch des security Kommandos bedienen:
sudo security authorizationdb write com.apple.SoftwareUpdate.scan allow
Unser Recht sieht jetzt so aus:
Hymir:~ pharlab$ security authorizationdb read com.apple.SoftwareUpdate.scan
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>rule</key>
<string>allow</string>
</dict>
</plist>
YES (0)
Allerdings erhält unser Nicht-Admin nun nach wie vor eine Autorisierungs-Aufforderung, einfach mit geändertem Wortlaut:
(http://www.apfelinsel.de/bhb/Softwareaktualisierung/Softwareaktualisierung_Bild2.jpg)
Neben dem Recht, einen Scan nach neuer Software durchzuführen, wird noch ein zweites Recht benötigt: jenes, die gefundene Software auch zu installieren:
Hymir:~ pharlab$ security authorizationdb read system.install.apple-software
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>class</key>
<string>rule</string>
<key>comment</key>
<string>Checked when user is installing Apple-provided software.</string>
...
<key>rule</key>
<string>root-or-entitled-admin-or-authenticate-admin</string>
</dict>
</plist>
YES (0)
Auch jenes können wir mit dem security Kommando erteilen:
sudo security authorizationdb write system.install.apple-software allow
Startet unser Nicht-Admin nun die Softwareaktualisierung, sollte diese ohne Autorisierungs-Dialog starten:
(http://www.apfelinsel.de/bhb/Softwareaktualisierung/Softwareaktualisierung_Bild3.jpg)
-
Super! Das ist schon mal ein großer Schritt vorwärts.
Startet unser Nicht-Admin nun die Softwareaktualisierung ...
Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.
Bleibt noch die Software, die nicht über die Systemeigene Software Aktualisierung aufgefrischt wird. Diese sollte selbstverständlich ebenfalls zeitnah mit SicherheitsUpdates versorgt werden. Summa summarum bleibt das imho ein ungelöstes Problem.
Zur Linderung fällt mir ein:
- möglichst wenige zusätzliche Programme installieren
- Programme installieren, die sich - möglichst unauffällig - selber aktualisieren
- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.
- Ich richte auf den betreuten Rechnern mittleweile einen Ordner Wartung ein. Darin gibts über Verknüfungen eine Anleitung was zu tun: 1. Text: was soll das hier?, 2. Neustart, 3. Update hie, 4. Update da, etc.
- Um sich als Admin einen Überblick über Updates für die installierte Software zu verschaffen finde ich ganz gut:
http://metaquark.de/appfresh/mac
-
Sehr interessante Anleitung! Danke warlord.
Startet unser Nicht-Admin nun die Softwareaktualisierung ...
Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.
Funktioniert das unter Lion endlich wieder bei Nicht-Admins?
Seit 10.5 (?) wird die Software-Aktualisierung bei Nicht-Admins nicht mehr automatisch gestartet. Habe ich mich schon oft drüber geärgert.
- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.
Jein. Unter 10.6 muss ein nicht-Admin erst das Admin-Kennwort und danach das Apple-ID-Kennwort eingeben. Da ist das gleiche Problem wie bei der Software-Aktualisierung.
@warlord: Kann man da Deine Methode auch anwenden?
-
Nach Bedarf, könnte man hier auch "Updates automatisch laden" einstellen.
Funktioniert das unter Lion endlich wieder bei Nicht-Admins?
Seit 10.5 (?) wird die Software-Aktualisierung bei Nicht-Admins nicht mehr automatisch gestartet. Habe ich mich schon oft drüber geärgert.
Ob damit auch das automatische Auslösen des Checks wieder funktioniert, habe ich noch nicht testen/beobachten können. (Bin selbst eben nicht vorbildlich genug und arbeite mit einem Admin-Account.)
- dieser Link: macappstore://showUpdatesPage (nur in WebKit Browsern wie Safari?) öffnet die eigene UpdateÜbersicht des MacAppStore. Hier muss dann noch "Alle aktualisieren" geklickt und das Apple ID Kennwort eingegeben werden.
Jein. Unter 10.6 muss ein nicht-Admin erst das Admin-Kennwort und danach das Apple-ID-Kennwort eingeben. Da ist das gleiche Problem wie bei der Software-Aktualisierung.
@warlord: Kann man da Deine Methode auch anwenden?
Möglicherweise. Gebe ich den von radneuerfinder erwähnten Link auf meinem mit obigen Änderungen versehenen Mac unter einem Nicht-Admin-Account in Safari ein, wird jedenfalls ohne Kennwortabfrage der MAS gestartet. Es erfolgt allerdings auch keine Abfrage des Apple-ID-Kennwortes. Bin mir also nicht so sicher, ob man sich auf diesen Mechanismus verlassen kann.
-
Das Kennwort im MAS wird erst nach Klick von "(Alle) aktualisieren" abgefragt. Es lässt sich übrigens - im Gegensatz zum iOS App Store in iTunes - nicht im Schlüsselbund speichern.
-
Ach so. Also erst wenn es Updates zum Installieren gibt. Ja, logisch. Kann ich derzeit leider nicht testen, da bei mir keine Updates ausstehend. (Hilfreicher als dieser Link ist in meinen Augen aber sowieso die Update-Anzeige im Dock-Icon des MAS. Ob die bei einem Nicht-Admin funzt, weiss ich aber nicht.)
-
Funktioniert die denn überhaupt, wenn man den Store nicht öffnet?
Im besten Fall lösen sich alle Probleme vielleicht nach diesem Sommer:
http://www.appleinsider.com/articles/12/02/22/inside_os_x_108_mountain_lion_apple_overhauls_software_updates_app_store.html
-
Funktioniert die denn überhaupt, wenn man den Store nicht öffnet?
Ja, vorausgesetzt man Spotlight eingeschaltet. Zumindest tut sie das hier in meinem Admin-Account.
-
Ja, vorausgesetzt man Spotlight eingeschaltet. Zumindest tut sie das hier in meinem Admin-Account.
Dann müsste das Programm ab und zu selbstständig nachschauen ob Updates da sind. Da ich den MAS sofort aus dem Dock entfernt habe, kann ich nicht sagen, ob das passiert. Ich werde ihn mal wieder reinlegen und dann beobachten.
-
Ja, vorausgesetzt man Spotlight eingeschaltet. Zumindest tut sie das hier in meinem Admin-Account.
Dann müsste das Programm ab und zu selbstständig nachschauen ob Updates da sind.
Ja, anscheinend ist dafür storeagent zuständig.
-
Ich (10.6.8 ) habe den AppStore wieder ins Dock gelegt und abgewartet.
Da kam bisher nie ein Hinweis auf ein Update. Jetzt habe ich das Programm manuell gestartet und mir wird direkt ein Update angeboten.
-
Tja, das scheint ab und zu vorzukommen. So wirklich zuverlässig arbeitet halt einfach keine Apple-Technolgie mehr. :-\ Eine mögliche Abhilfe wird hier (https://discussions.apple.com/thread/3925427?start=0&tstart=0) erwähnt. Eine andere hier. (https://discussions.apple.com/message/16644850#16644850) Allerdings kam bei beiden kein positives Feedback.
-
Nun ja, ist nicht so wichtig für mich und ob das mit 10.6.8 überhaupt gehen soll, ist mir auch noch nicht klar. Ich schaue einmal in der Woche nach neuen Updates und da kann ich auch manuell aufrufen. Muss ich bei der Software-Aktualisierung ja eh machen.
-
Ich (10.6.8 ) habe den AppStore wieder ins Dock gelegt und abgewartet.
Da kam bisher nie ein Hinweis auf ein Update. Jetzt habe ich das Programm manuell gestartet und mir wird direkt ein Update angeboten.
Mittlerweile kann ich auch definitiv bestätigen, dass das bei mir funktioniert (mit Admin Account). Ich öffne den MAS nie und heute schaut das MAS Icon im Dock wie unten gezeigt aus.
Waren Deine Versuche denn eigentlich mit einem Admin- oder Normalo-Account?
-
Mit einem Normalo-Account unter 10.6.8.
Weder AppStore noch Software-Aktualisierung prüfen da automatisch. :(
Mit 10.7 soll es laut mbs keinen Sicherheitsvorteil mehr bei der Verwendung eines Normalo-Account geben.
-
Mit 10.7 soll es laut mbs keinen Sicherheitsvorteil mehr bei der Verwendung eines Normalo-Account geben.
Echt? Bei uns hier irgendwo?
-
Ne, hier bei dem Artikel über Flashback (http://www.heise.de/mac-and-i/artikel/Tiefenanalyse-Der-Flashback-Trojaner-1525100.html?artikelseite=5).
Zitat:
Wie der Entwickler Marcel Bresink ausführt, lag die größte Gefahr beim Arbeiten mit einem Admin-Account seinerzeit darin, dass der Benutzer und die vom ihm gestarteten Programme das Recht hatten, systemweite Einstellungen oder installierte Programme zu ändern. Diese Gefahr besteht ab Lion nicht mehr, da Administratoren nicht mehr das Recht haben, in die rechnerbezogene Library, in vorinstallierte Programme, in aus dem App Store installierte Programme, in /Applications/Utilities oder in den obersten Ordner der Systemplatte zu schreiben. Dieses Recht kann nur kurzzeitig und vorübergehend durch zusätzliche Eingabe eines Administratorkennworts erlangt werden.
Hmm, was mir da jetzt noch auffällt ist, dass in der Liste der verbotenen Schreibrechte nur vorinstallierte Programme, Programm aus dem MAS und /Applications/Utilities erwähnt sind. D.h. in anderweitig installierte Programme unter /Applications dürfen Admins (bzw. Trojaner/Viren) dann immer noch ohne Nachfrage schreiben?
-
Hmm, was mir da jetzt noch auffällt ist, dass in der Liste der verbotenen Schreibrechte nur vorinstallierte Programme, Programm aus dem MAS und /Applications/Utilities erwähnt sind. D.h. in anderweitig installierte Programme unter /Applications dürfen Admins (bzw. Trojaner/Viren) dann immer noch ohne Nachfrage schreiben?
Ja, zumindest die per drag and drop installierten. Denn die gehören ja in der Regel dem betreffenden Admin. (Ausser man hat mehrere Admin Accounts.)