2006/02/21

Sicurezza: diventare utente non-Admin in Mac OS X

Questo articolo vi arriva grazie alle gentili donazioni di "infoclassic", "donaz" e "gianfrisio".

Con l'aumentare dei rischi per gli utenti Mac, diventa imperativo adottare un po' di regole di prudenza che finora probabilmente molti hanno trascurato, convinti di essere immuni alle tribolazioni che affliggono il mondo Windows.

Una di queste regole è lavorare con privilegi di amministratore solo quando è strettamente indispensabile, ossia quando si fa manutenzione al computer; per tutte le altre attività, bisogna operare sempre e solo con un utente senza privilegi.

Il guaio è che l'installazione standard di Mac OS X assegna un unico utente e gli conferisce privilegi di amministratore, per cui capita spesso di lavorare perennemente con questo utente onnipotente. Questo, come dimostrato dalle falle recenti, è male anche sotto Mac OS X, esattamente come sotto Linux e sotto Windows (con la differenza che lavorare senza privilegi di amministratore sotto Windows è pressoché impossibile).

Quando si compra un Mac, quindi, bisogna creare subito un utente non privilegiato e usarlo per le normali attività, commutando all'utente amministratore soltanto quando occorre fare amministrazione. Questa doppia utenza consente, fra l'altro, di sfoggiare l'elegantissima transizione tridimensionale da un utente all'altro delle versioni recenti di Mac OS X (fatevela dimostrare da un Macchista).

Capita spesso, però, che si decida di applicare questa regola di sicurezza soltanto in un secondo momento, dopo aver personalizzato approfonditamente l'utente predefinito e dopo aver installato caterve di programmi. Creare un utente nuovo, non privilegiato, e usarlo al posto di quello usato fino a quel momento comporterebbe rifare tutto questo lavoro di personalizzazione (le installazioni, invece, solitamente sono disponibili anche all'utente nuovo).

Per fortuna c'è un modo per evitare questa complicazione: ridefinire i privilegi dell'utente amministratore, "degradandolo" a utente non privilegiato.

Ecco come ho fatto io: se qualcuno ha suggerimenti migliori (sicuramente esiste una serie di comandi UNIX che fa la stessa cosa in tre secondi) o trova qualche errore, me li segnali nei commenti.
  • Avviate il vostro Mac normalmente. In Preferenze di Sistema - Account, abilitate le modifiche (cliccando sul lucchetto e dando la vostra password).
  • Cliccate su "+" per creare un nuovo account (ossia un nuovo utente).
  • Dategli un nome e una password e attivate la casella L'utente può amministrare questo computer. Segnatevi la password da qualche parte!
  • Cliccate su Crea account e accettate l'avviso che l'utente non potrà essere cambiato.
  • Cliccate su Opzioni login e scegliete Abilita cambio utente rapido.
  • Chiudete Preferenze di Sistema.

Ora siete pronti a "degradare" l'utente che avete usato fin qui:
  • Fate logout dell'utente che avete usato fin qui: cliccate sulla mela nella barra menu e scegliete Logout e poi ancora Logout.
  • Fate login con l'utente nuovo (quello al quale avete dato privilegi di amministratore).
  • In Preferenze di Sistema - Account, abilitate le modifiche e cliccate sull'icona del vostro utente vecchio (non sull'icona di quello appena creato); poi disattivate la casella L'utente può amministrare questo computer. Il Mac chiede nome e password di questo utente principale: dategliele.
  • Fate logout dall'utente amministratore (o lasciatelo attivo, se non avete problemi di memoria RAM) e fate login con l'utente vecchio ora "degradato" (ossia privo, a questo punto, di privilegi di amministratore).

Fatto! Ora potete riprendere a lavorare praticamente come prima, ma più blindati. Noterete alcuni piccoli cambiamenti:
  • Se disinstallate un'applicazione dalla cartella Applicazioni trascinandola nel Cestino, il Mac vi chiede il nome e la password dell'amministratore.
  • Se installate un'applicazione trascinandola alla cartella Applicazioni, vi viene chiesto di autenticarvi come amministratore (questo succedeva quasi sempre anche prima, ma ora è l'intera cartella Applicazioni ad essere protetta).
  • Potete creare cartelle nuove soltanto al di sotto della cartella radice del vostro utente e nella cartella Condivisa.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili