Cerca nel blog

2006/02/21

Sicurezza: diventare utente non-Admin in Mac OS X

Questo articolo vi arriva grazie alle gentili donazioni di "infoclassic", "donaz" e "gianfrisio".

Con l'aumentare dei rischi per gli utenti Mac, diventa imperativo adottare un po' di regole di prudenza che finora probabilmente molti hanno trascurato, convinti di essere immuni alle tribolazioni che affliggono il mondo Windows.

Una di queste regole è lavorare con privilegi di amministratore solo quando è strettamente indispensabile, ossia quando si fa manutenzione al computer; per tutte le altre attività, bisogna operare sempre e solo con un utente senza privilegi.

Il guaio è che l'installazione standard di Mac OS X assegna un unico utente e gli conferisce privilegi di amministratore, per cui capita spesso di lavorare perennemente con questo utente onnipotente. Questo, come dimostrato dalle falle recenti, è male anche sotto Mac OS X, esattamente come sotto Linux e sotto Windows (con la differenza che lavorare senza privilegi di amministratore sotto Windows è pressoché impossibile).

Quando si compra un Mac, quindi, bisogna creare subito un utente non privilegiato e usarlo per le normali attività, commutando all'utente amministratore soltanto quando occorre fare amministrazione. Questa doppia utenza consente, fra l'altro, di sfoggiare l'elegantissima transizione tridimensionale da un utente all'altro delle versioni recenti di Mac OS X (fatevela dimostrare da un Macchista).

Capita spesso, però, che si decida di applicare questa regola di sicurezza soltanto in un secondo momento, dopo aver personalizzato approfonditamente l'utente predefinito e dopo aver installato caterve di programmi. Creare un utente nuovo, non privilegiato, e usarlo al posto di quello usato fino a quel momento comporterebbe rifare tutto questo lavoro di personalizzazione (le installazioni, invece, solitamente sono disponibili anche all'utente nuovo).

Per fortuna c'è un modo per evitare questa complicazione: ridefinire i privilegi dell'utente amministratore, "degradandolo" a utente non privilegiato.

Ecco come ho fatto io: se qualcuno ha suggerimenti migliori (sicuramente esiste una serie di comandi UNIX che fa la stessa cosa in tre secondi) o trova qualche errore, me li segnali nei commenti.
  • Avviate il vostro Mac normalmente. In Preferenze di Sistema - Account, abilitate le modifiche (cliccando sul lucchetto e dando la vostra password).
  • Cliccate su "+" per creare un nuovo account (ossia un nuovo utente).
  • Dategli un nome e una password e attivate la casella L'utente può amministrare questo computer. Segnatevi la password da qualche parte!
  • Cliccate su Crea account e accettate l'avviso che l'utente non potrà essere cambiato.
  • Cliccate su Opzioni login e scegliete Abilita cambio utente rapido.
  • Chiudete Preferenze di Sistema.

Ora siete pronti a "degradare" l'utente che avete usato fin qui:
  • Fate logout dell'utente che avete usato fin qui: cliccate sulla mela nella barra menu e scegliete Logout e poi ancora Logout.
  • Fate login con l'utente nuovo (quello al quale avete dato privilegi di amministratore).
  • In Preferenze di Sistema - Account, abilitate le modifiche e cliccate sull'icona del vostro utente vecchio (non sull'icona di quello appena creato); poi disattivate la casella L'utente può amministrare questo computer. Il Mac chiede nome e password di questo utente principale: dategliele.
  • Fate logout dall'utente amministratore (o lasciatelo attivo, se non avete problemi di memoria RAM) e fate login con l'utente vecchio ora "degradato" (ossia privo, a questo punto, di privilegi di amministratore).

Fatto! Ora potete riprendere a lavorare praticamente come prima, ma più blindati. Noterete alcuni piccoli cambiamenti:
  • Se disinstallate un'applicazione dalla cartella Applicazioni trascinandola nel Cestino, il Mac vi chiede il nome e la password dell'amministratore.
  • Se installate un'applicazione trascinandola alla cartella Applicazioni, vi viene chiesto di autenticarvi come amministratore (questo succedeva quasi sempre anche prima, ma ora è l'intera cartella Applicazioni ad essere protetta).
  • Potete creare cartelle nuove soltanto al di sotto della cartella radice del vostro utente e nella cartella Condivisa.

22 commenti:

Anonimo ha detto...

Io lavoro sotto win senza privilegi di admin ed è più che possibile.
Dipende molto dal programma che si usa e non da windows. Molti programmi prevedono l'uso del registro per salvare le impostazione e quello ti frega.
Se invece il programma salva in una directory si è a posto (li si possono attribuire i permessi di scrittura come su linux).

(magari è il caso di fare una guida anche per win ;) )

ciao
Giovanni

Paolo Attivissimo ha detto...

Sarebbe interessante una lista di quali programmi Windows non sono usabili con un account non-admin. Non ho modo di fare test, ma sospetto che ci siano nomi importanti nella lista. Qualcuno può contribuire?

Anonimo ha detto...

Paolo: ci si può disadminizzare senza fare logout. Quando si disattiva la casella di spunta "Questo utente può amministrare" ecc, verrà chiesta la password di un altro utente amministratore (quello appena creato, ad esempio).

Paolo Attivissimo ha detto...

Sì, anch'io ho provato a fare anche in questo modo, ma mi sembrava disordinato, e non vorrei che cambiare i privilegi di un utente mentre quell'utente è aperto causi qualche pasticcio. Non conosco ancora OS X a sufficienza da poterlo escludere, per cui ho preferito una strategia più cauta.

Ricordo ancora quando cambiai la password del mio account su un mainframe CICS/MVS mentre l'account era aperto. Fummo tutti chiusi fuori dal sistema, sysadmin compreso... per fortuna c'era ancora un terminale admin loggato e fu possibile ripristinare. Da allora m'è rimasta la fobia :-)

Anonimo ha detto...

in effetti ci sono parecchi programmi che chiedono inspiegabilmente privilegi da admin in windows, non si capisce infatti a che serva l'utente guest...

X

Anonimo ha detto...

Potrebbe, sia per l'ambiente Win che per ambiente Mac, essere un interessante capitolo da inserire nell'Acchiappavirus. In fondo la completezza assoluta non sarà mai raggiunta, in qualsiasi testo informatico, quindi non è tardi per inserirlo... ;-)

Anonimo ha detto...

Paolo: non ti preoccupare, OS X ha la possibilità di aumentare o diminuire i privilegi di un utente senza che questo debba aver fatto il logout (anche se ovviamente questo si può fare solo se l'utente è locale, non gestito da un server). Magie del Security Server. L'ho fatto io e problemi dati non ne ha.

Gacattos ha detto...

Si può lavorare sotto win senza privilegi di admin.
Ieri sera mi ci sono messo di brutto ed ho creato un nuovo account limitato sotto WinXP Sp.2
Metà dei programmi hanno smeso di funzionare, pazienza, l'importante è che funzionino Thunderbird e Firefox.
Però mi hanno chiesto di reinizializzare tutto, ma io da buon firefoxiano mi sono copiato il contenuto della cartella
%appdata%\Mozilla\Firefox\Profiles
su di un CDRW e l'ho riversato nella nuova %appdata% e miracolo tutto si è duplicato.
Idem con la cartella
%appdata%\Thunderbird\Profiles
clonata anch'essa e sto viaggiando.
No non adesso, il nuovo utente si è reimpostato da Win default con la versione plasticosa e devo redefinire tutto.
Inoltre Acchiappavirus alla mano devo riblindare il tutto, ma domani penso di navigare senza privilegi di admin.
In teoria si potrebbe passare disconnettendosi da un utente all'altro, ma, mi pare, che la cosa generi confusione e temo dovrò riavviare il sistema.
Sotto Win non è il massimo ma funzionicchia.
Mi pare che sotto Mac la cosa sia più veloce, e sotto Linux?? Come si passa da un utente all'altro?
Per intanto l'era glaciale avanza, nel SudTirol, luogo già freddo di suo, cominciano ad arrivare i pinguini.....
http://punto-informatico.it/p.asp?i=57987&r=PI

Anonimo ha detto...

gacattos:
Be', sotto linux basta dare il comando "su nomeutente", se è concesso dalle politiche del sistema (ad esempio nella mia installazione non è possibile passare da un utente normale a un altro utente normale senza sloggarsi). A dire il vero non so come si possano impostare tali politiche ^_^, ma in genere se si è nel gruppo "wheel" si può fare "su" ed avere istantaneamente una shell con l'utente root (inserendo la password) senza sloggarsi con l'altro utente. Poi c'è anche "sudo", che non è la conseguenza di attività sportiva ma un programma particolare per poter eseguire applicazioni con i privilegi di amministratore... forse qualche ubuntaro può spiegarlo meglio di me (mmm... non funziona in modo simile, in MacOS X?).

Altrimenti si fa il logout come negli altri sistemi, se proprio hai voglia.

Anonimo ha detto...

Ho provato da root a degradare l'utente amministratore ma non posso togliere il segno di spunta da "l'utente può amministrare questo computer" perchè mi appare grigio.

Suggerimenti?

Pescenaufrago ha detto...

Io ho ancora Jaguar (ti pare che cambio OS ogni 3 anni?), quindi non ho nessuna ganzissima transizione tridimensionale... :P

Comunque farò la procedura stasera, mi sembra interessante!

L'unica cosa: io mi perdo sempre le password, per cui l'unico modo perché ne disponga a lungo è usarle spesso, così non le dimentico. Vorrà dire che installerò e disinstallerò applicazioni di continuo... :P

Ciao
Marco

Anonimo ha detto...

Allora inizio con un piccolissimo elenco di programmi che funzionano in win senza privilegi:

Antivir (antivirus gratuito): funzionano guard e scaricamento aggiornamenti. Non so se riesce ad eliminare eventuali virus perchè non ne ho. :) (cmq l'eliminazione rientra nell'amministrazione pc e si può fare dall'account admin)
Firefox: funziona tutto e fin troppo (ad esempio si possono installare estensioni senza avere privilegi). Ancora non ho avuto modo di provare gli aggiornamenti automatici e li si dovrebbe bloccare.
Winamp: funziona solo dando i permessi di scritturaall'utente della cartella dove c'è il programma. Se non si fa funziona ma non salva la playlist.

Gaim (messaggistica): funziona senza probelmi.

Utorrent (bittorrent) funziona senza problemi

Mirc (client irc, versione senza installer): funziona senza problemi con i permessi di scrittura

virc (client irc) funziona spuntando l'opzione "salva in file .ini" (e non nel registro) e con i diritti di scrittura nella dir.

sygate (firewall) funziona con qualche piccolo problema (non salva alcune impostazioni non fondamentali tipo il non mostrare il popup qando bloccca qualcosa)

Non ho modo di provare office, poi proverò con openoffice.

Giovanni

Anonimo ha detto...

Firefox permette sì di installare estensioni per un utente normale, ma le installa SOLO per quell'utente (nella sua "home").

In windows c'è un modo per avviare e riavviare Apache (e simili) senza essere amministratore? Sapete, per quando si sviluppa. Ammetto di non aver guardato molto.

Gacattos ha detto...

Sono entrato come utente Win limitato.
Sono tanto limitato che posso fare ben poco, un tot dei programmi non funzionano, le impostazioni di blindatura dall'Antivirus (il libretto rosso) praticamente non si possono mettere in atto. Molte però si sono resettate come la versione admin, quindi bene. Non posso modificare il livello di protezione di IExplorer, che è quello di default che fa acqua. Per fortuna uso Firefox.
Comunque non posso fare tante di quelle cose io che se un potenziale aggressore riuscisse anche a farne il doppio......non mi fa paura.
Io sono un tipo che ha molta pazienza e Windows riesce in ogni occasione a rendere questa mia caratteristica evidente. (Non ne posso più).
Paolo hai chiesto la lista dei programmi. Chissà forse reinstallondone alcuni in modalità diversa funzionerebbero. La lista comunque eccola quì:
NON FUNZIONANO Deepsky con annessa regolazione orario computer, Autocad-LT, Cataloghi vari per applicativi CAD, Foxmail-5, Megastar, Norton Ghost (Ho citato solo i più importanti).
FUNZIONANO Thunderbird, Firefox, HP-Me10, Audacity, Antivirus, Skymap (da riconfigurare), Virtual Moon Atlas, Google Earth (che ha perso la lista luoghi precedentemente definita), Adobe Photoshop, Paint shop, Adobe Acrobat, Nero.
Non è la fine del mondo, è il funzionamento generale del computer che mi lascia molto perplesso, non si può toccare niente.

Anonimo ha detto...

Non conosco bene la natura della falla, mami smebra che via Terminale sia possibile cancellare i propri dati con il comando rm anche senza essere admin. Cambiare i privilegi dell'utente non potrebbe quindi mantere aperto un possibile danno?
- ripeto, magari sbaglio io -

ciao
Michele

Anonimo ha detto...

Ehm... il comando rm appunto questo fa, elimina dei file ^_^

Puoi eliminare tutti quelli su cui hai accesso in scrittura. Sta a te vigilare su questo.

Anonimo ha detto...

Uso OS X da un anno e non ho mai avuto problemi particolari per l'uso che ne faccio io. Credo che una vulnerabilità del genere per un browser nuovo come Safari sia una cosa normale, come normale sarà l'uscita di qualche patch apple per risistemare le cose in tempi brevi se proprio questo dovesse rivelarsi un problema notevole.

Anonimo ha detto...

Sotto Win2000 e Linux lavoro "sempre" come utente normale.
L'unica limitazione ce l'ha Windows2000 che non mi concede il funzionamento dello scanner (HP via USB) e del masterizzatore (Plextor SCSI). Gli altri funzionano tutti:
- Office 2000, Autocad da LT2.0 fino a LT 2000, compilatori vari, giochi, ecc...).
Il trucco sta nell'iniziare da subito a lavorare come "power user", i problemi sono a volte dovuti ad un permesso di r/w mal impostato.
Sinceramente non capisco perché si debba lavorare loggati come amministratore...
L'unico problema l'ho avuto con XP, che in alcune installazioni setta la directory \Programmi r/w solo per utenti con diritti di amministratore.

Anonimo ha detto...

Fondamentalmente, se il problema principale è proteggere la cartella Applications da possibili modifiche "non richieste", basterebbe semplicemente impostare i permessi di quella cartella su Read only per il gruppo di utenti Admin (basta fare un Get Info sulla cartella - Mela+I - e sotto la voce "Ownership and permissions" ridefinire i permessi per il gruppo Admin, a cui si appartiene come utenti. La cartella è comunque di "proprietà" del gruppo System. Ricordarsi di cliccare anche sul pulsante "Apply to enclosed items" ).

Tengo a sottolineare che anche come utenti limitati, nel caso specifico di questa falla, i problemi permangono, in quanto l'utente - limitato o meno - ha comunque accesso in scrittura alla propria Home. E se l'utente fa doppio clic su un file che "sembra" una jpg ma è in realtà uno script di shell, non c'è account limitato che tenga: nel caso peggiore, i suoi dati potranno comunque andare persi. Certo, si dirà, il sistema rimane intonso: ma lo sarebbe rimasto comunque, dato che (l'ho già scritto in un commento a un post più sopra, lo ripeto qui) l'utente administrator in OS X corrisponde al power user, non a root. La modifica dei file di sistema richiede comunque una password.

E potremmo discutere sul fatto se sia peggio perdere tutti i propri dati o danneggiare il sistema operativo. Io la mia risposta la conosco bene.

Anonimo ha detto...

Ciao Paolo,

Io lavoro su Windows XP senza privilegi di amministratore.

L'unico caso in cui passo a onnipotente è quando installo programmi.

Paolo,
Gianluca

Giorgio Loi ha detto...

E potremmo discutere sul fatto se sia peggio perdere tutti i propri dati o danneggiare il sistema operativo. Io la mia risposta la conosco bene.

C'è ben poco da discutere. Il sistema operativo e le quattro-cinque applicazioni base che uso con maggior frequenza li ripristino a dir tanto in mezza giornata.

Anni e anni di fotografie, musica, filmati, documenti... quelli non me li restituisce nessuno.

Se tutta la sbandierata superiorità strutturale di Mac e Linux si limita all'integrità del SO e mi espone né più né meno alla perdita dei dati, non faccio nemmeno la fatica di pensare a cambiare sistema. Mi tengo Winzozz, con tutti i suoi pregi e difetti, e semmai aumento la frequenza dei backup. ;-)

Anonimo ha detto...

ad una conferenza microsoft qualche mese fa un tizio MS mi disse che sono consapevoli del fatto che windows è inutilizzabile come utente non amministratore e che esiste una mailing list interna con l'elenco dei programmi che vanno o non vanno come utente non amministratore.
magari si può avere questo elenco contattando microsoft italia...
faceva l'esempio di calcolatrice che non salva le informazioni sull'ultimo utilizzo (modalità scientifica o normale) se non si è amministratori :)
diceva anche che stavano cercando di rendere windows utilizzabile come utente normale in windows vista. chissà se sarà vero :)
saluti,
Ale.