Der
erste Start des ProgrammsDer
erste Start des ProgrammsWenn Sie NFS Manager zum ersten Mal starten, integriert sich das Programm automatisch in das Sicherheitsmodell von Mac OS X. Dies ist notwendig, da das Programm benutzt werden kann, um kritische Vorgänge in Mac OS X durchzuführen, zum Beispiel um Daten verschiedener Benutzer im Netz öffentlich zur Verfügung zu stellen. Nur verantwortlichen Systemverwaltern, die die Installation des jeweiligen Computers übernehmen, sollten solche Aktionen gestattet werden.
Aus diesem Grund enthält NFS Manager eine Wächterkomponente, die mit den Sicherheitsfunktionen von Mac OS X kommuniziert. Unter normalen Umständen ist NFS Manager darauf beschränkt, sich wie ein normales Anwenderprogramm zu verhalten, wobei es keine erweiterten Rechte hat. Zum Beispiel kann es keine Systemfunktionen verwenden, die auf mehr als den aktuellen Benutzer Auswirkungen haben können. Gewisse Wartungsfunktionen erfordern allerdings, dass NFS Manager erlaubt wird, für den ganzen Computer und alle seine Benutzer zu handeln. In diesem Fall beantragt der eingebaute Wächter von NFS Manager die Erlaubnis bei Mac OS X, vorübergehend eine Systemfunktion nutzen zu dürfen, die erweiterte Berechtigungen benötigt. Als Antwort auf diesen Antrag „friert“ Mac OS X das Programm NFS Manager vollständig ein und öffnet ein Kennworteingabefenster, in das Sie ein gültiges Kennwort eines Systemverwalters eingeben müssen. Ist das Kennwort richtig, erlaubt Mac OS X, dass NFS Manager seine Arbeit fortsetzt und es kann die angeforderte Aktion durchführen. Ist das Kennwort falsch, darf NFS Manager ebenfalls weiterlaufen, erhält jedoch die Rückantwort, dass die Erlaubnis nicht erteilt wurde und die laufende Anforderung zurückgewiesen wurde. In diesem Fall kann NFS Manager die gerade ausgewählte Aktion nicht durchführen. Durch dieses Verfahren wird es unmöglich, dass ein Unbefugter Programme wie NFS Manager missbrauchen könnte.
Dieses Vorgehen hält sich streng an Apples Software-Richtlinien für systembezogene Dienstprogramme. Beachten Sie, dass NFS Manager noch nicht einmal das Verwalterkennwort „erfährt“, wenn dieses eingegeben wird. Alle sicherheitsbezogenen Abläufe werden direkt von Mac OS X behandelt und überwacht. Sogar in dem unwahrscheinlichen Fall, dass ein Computervirus NFS Manager mit der Absicht angreifen würde, die Kennworteingabe „abzuhören“ um das Kennwort hierbei zu speichern und zu stehlen, hätte der Virus keinen Erfolg, da nur der gesondert geschützte Kern von Mac OS X das Kennwort tatsächlich erhält und überprüft.
Die erste Kennworteingabe wird von Mac OS X angefordert, wenn Sie NFS Manager zum ersten Mal starten. Das erlaubt dem Programm, das oben erwähnte Vertrauensverhältnis und den Schutzmechanismus aufzubauen. Andere Kennwortanfragen werden folgen, sobald Sie eine Operation starten, die erweiterte Rechte benötigt.
Alle beschriebenen Sicherheitsmaßnahmen werden ausschließlich durch Mac OS X kontrolliert. Sie haben nichts mit der Registrierung oder Freischaltung der Software zu tun, sondern sind nötig, um Sicherheitslücken im Betriebssystem zu vermeiden.
Hinweis: Mac OS X stellt automatisch sicher, dass der Benutzer nicht zu oft nach Kennworten gefragt wird. Nachdem ein Kennwort eingegeben wurde, „vertraut“ Mac OS X allen Programmen, die vom gleichen Benutzer gestartet worden sind, für einen Zeitraum von 5 Minuten und gibt diesen ebenfalls alle Verwaltungsrechte.
Die folgenden Abschnitte enthalten Informationen für erfahrene Systemverwalter. Sie können beim ersten Lesen übersprungen werden.
Die Sicherheitskomponente wird im Ordner /Library/PrivilegedHelperTools abgelegt, der Apples empfohlenen Ort für solche Hilfsprogramme darstellt. Der Name der Komponente lautet com.bresink.system.securityagent3. Mac OS X startet und beendet das Programm automatisch, wie es gerade nötig ist, und vermeidet es, es längere Zeit im Hintergrund laufen zu lassen.
Das Sicherheitswerkzeug kann von mehreren Programmen von Marcel Bresink Software-Systeme gemeinsam verwendet werden. Aus diesem Grund installiert NFS Manager diese Komponente beim ersten Start eventuell nicht neu, wenn es erkennt, dass eine akzeptable Version, z.B. von einer früheren Softwareversion oder von einem anderen Programm, das auch bevorrechtigte Vorgänge ausführen muss, bereits vorhanden ist.
Sie können sich jederzeit dazu entscheiden, das Sicherheitsprogramm ohne Spuren zu entfernen. In diesem Fall verliert NFS Manager seine Fähigkeit, auf privilegierte Systembereiche zugreifen zu dürfen, so dass das Programm gezwungen wird, sich ebenso abzuschalten. Führen Sie die folgenden Schritte durch, um die Komponente zu entfernen:
Sich nur mit einem Name-/Kennwortpaar eines Systemverwalters zu identifizieren, ist möglicherweise in großen Organisationen nicht ausreichend. Vielleicht sollte der Benutzer zusätzlich Mitglied in einer weiteren Gruppe speziell ausgebildeten Personals sein, um einen gewissen Vorgang auslösen zu können, oder vielleicht sollten andere Regeln auch entschärft werden, so dass auch nicht-administrative Benutzer das Recht bekommen, privilegierte Aufgaben erledigen zu dürfen. NFS Manager folgt Apples Richtlinien, intern mit benannten Rechten für jede Klasse von Operationen zu arbeiten und diese Namen in der Sicherheitsrichtliniendatenbank von Mac OS X zu registrieren. Auf diese Weise können fortgeschrittene Systemverwalter die Rechte in der Datenbank feinanpassen, falls nötig, so dass Rechte an bestimmte Authentifizierungsmechanismen gebunden werden. Details werden in einem separaten Kapitel erläutert.