Uudelle macistille vinkkejä käyttäjäoikeuksien luomisen suhteen

[Fokker]

Heippa, uusi käyttäjä sekä foorumilla että Macilla. Sen verran olen ehtinyt tehdä, että saan koneen käyntiin. Siihen kokemukseni Maceista sitten jääkin. Olen koneen ainoa käyttäjä ja sillä ei ole muuta virkaa kuin käsitellä valokuvia, minkä jälkeen lataan ne Flickriin. No varmaan jotain perusselailua parilla foorumilla ehkä sen lisäksi. Onko mulla mitään tarvetta luoda huonommilla oikeuksilla varustettu peruskäyttäjä, joka olen edelleen minä itse?

Yritin etsiä jotain nyyppä-ketjua täältä, muttei osunut sopivaa vielä silmiin.


AMA-EDIT: Uuden foorumilaisen esittämä hyvä kysymys sai ylläpidon toimesta oman ketjun ja otsikon.
Tervetuloa foorumille!

[homenamsi]

Vastaus kysymykseesi riippuu aika paljon siitä muusta tietotekniikan ja tietoturvauhkien tieto- ja kokemustaustasta. Ja toisaalta siitä, onko koneessasi arkaluonteisia tietoja tai tärkeitä tietoja joiden tuhoutuminen olisi fataalia.

Yleisesti ottaen jos Macissäsi on turvallisuusasetukset säädetty hyvälle mallille (ei automaattista sisäänkirjautumista, salasana vaatiminen kun kone on ollut kayttämättä, vieraskäyttäjän ja etäkirjautumisen estäminen, palomuuri, ei jakoja pöällä, vain tunnettujen ohjelmien salliminen jne jne.) niin käyttö ylläpitäjän oikeuksin on kotiympäristössä turvallista. Matkakäytössä on sitten varauduttava varkauksiin ja estettävä käynnistys ulkoiselta välineelt, ehkä salattava kiintolevy.

Tässä joitain näkökulmia. Olisi hyvä olla jossain tarkistuslistoja tai nyrkkisääntöohjeita käyttäjien avuksi.

Viime kädessä sitten käyttäjä voi oalla toim8nnallaa kuitenkin murentaa oletusarvoisia suojauksia antamalla pyydettäessä luvan latauksille, joita ei itse ymmärrä - ja sitten luvan suorittaa tuntematon ohjelma tai avata tuntematon paketti. Jos käyttäjätunnuksella ei ole riittävästi oikeuksia, tulee ainakin miettineeksi pidempään tuntemattoman autiomaan kangastuksien kohdalla.

[Jultsu]

Mitään sovellusta/komentoa/toimintoa ei automaattisesti ajeta pääkäyttäjän oikeuksilla, käyttöjärjestelmä pyytää aina vahvistuksen jos jotain tuollaista halutaan tehdä. Siinä mielessä siis ne oletuksena admin-oikeuden omaavat käyttäjätunnukset eivät ole mikään tietoturvariski. Viikonloppukännäilyjä varten voi sitten tehdä tuollaiset perustunnukset joilla ei saa mitään isoa tuhoa aikaiseksi, ei edes vaikka kaikkeen klikkailisi kyllä kyllä joo hyväksyn.

[Fokker]

Vastaus kysymykseesi riippuu aika paljon siitä muusta tietotekniikan ja tietoturvauhkien tieto- ja kokemustaustasta. Ja toisaalta siitä, onko koneessasi arkaluonteisia tietoja tai tärkeitä tietoja joiden tuhoutuminen olisi fataalia.

Yleisesti ottaen jos Macissäsi on turvallisuusasetukset säädetty hyvälle mallille (ei automaattista sisäänkirjautumista, salasana vaatiminen kun kone on ollut kayttämättä, vieraskäyttäjän ja etäkirjautumisen estäminen, palomuuri, ei jakoja pöällä, vain tunnettujen ohjelmien salliminen jne jne.) niin käyttö ylläpitäjän oikeuksin on kotiympäristössä turvallista. Matkakäytössä on sitten varauduttava varkauksiin ja estettävä käynnistys ulkoiselta välineelt, ehkä salattava kiintolevy.

Tässä joitain näkökulmia. Olisi hyvä olla jossain tarkistuslistoja tai nyrkkisääntöohjeita käyttäjien avuksi.

Viime kädessä sitten käyttäjä voi oalla toim8nnallaa kuitenkin murentaa oletusarvoisia suojauksia antamalla pyydettäessä luvan latauksille, joita ei itse ymmärrä - ja sitten luvan suorittaa tuntematon ohjelma tai avata tuntematon paketti. Jos käyttäjätunnuksella ei ole riittävästi oikeuksia, tulee ainakin miettineeksi pidempään tuntemattoman autiomaan kangastuksien kohdalla.

Kokemusta on vähintään kohtuullisesti, ainakin omasta mielestä. Tietoturva-asiat iittyvät aika paljon työhönkin. Henkilökohtainen tietoturva on omasta mielestä ihan riittävällä tasolla. Win-koneiden kanssa on tullut touhuttua pitkään ja siinä sivussa hiukan Linuxiakin. Uusi kone on Mac Mini, se ei liikahda työhuoneesta minnekään eikä siihen pääse teoriassa käsiksi kuin vaimo, mutta tuskin tulee tuohon edes koskemaan. Macin sielunelämä on mulle toistaiseksi tuntematon alue, pitää hiukan kahlata noita turvallisuusasetuksia, kunhan ensin löydän ne. Vieraskäyttäjää en tarvitse, jakoja en ajatellut laittaa. Ohjelmia asennetaan tasan yksi vakioiden lisäksi. Ulkoista muuria ei ole, sisäverkko on NATin takana.

Arkaluontoista tietoa ei tuohon tule, pelkkiä valokuvia, jotka ovat toki tärkeitä. Kuvat siirtyvät muistikortilta kovalevylle, mahdollisesti sisäisen SSD:n kautta, mutta ne eivät jää sille kovin pitkäksi aikaa. Ulkoinen levy on vielä mietinnässä, laitanko pyörivän vai SSD:n, mutta siihen ne kuvat varastoidaan. Sen lisäksi varmuuskopiot parille muulle ulkoiselle (joista yksi toisessa sijainnissa, mistä syystä hiukan harvemmalla syklillä synkattu), joten tuhoutumisen riski on pieni. Periaatteessa tuo kone voisi olla kokonaan irti verkostakin, mutta se kuvankäsittelysofta saattaa tehdä jotain lisenssitarkistuksia ajoittain. Menisi siinä kuvien siirtäminen Flickriinkin hiukan kikkailuksi, joten olkoot verkossa mun puolesta.

Kysymykseni liittyy siis ihan puhtaasti Maciin ja sen erityispiirteisiin. Onko näissä ompuissa vastaava kuin winkkarin FW? WiFi tossa on nyt toistaiseksi päällä, mutta jatkossa tulee olemaan piuhalla kytkimeen, joten voisin ottaa samalla WiFinkin pois päältä. En ole paranoidi, kunhan spekuloin. Todennäköisesti en siis tule tarvitsemaan tuota pentti peruskäyttäjätiliä tuohon masiinaan. Mutta jos sille on hyvät perusteet, niin toki sen teen.

[Ötsi Vik]

En näe kyllä mitään syytä tehdä toista käyttäjää.

[MacFinn]

Onhan toki palomuuri ja muistaakseni oletuksena päälläkin.

[Ötsi Vik]

Itsehän en pidä koskaan edes SIP:ia päällä, mutta minun koneellani nyt ei olekaan mitään valtionsalaisuuksia.

[homenamsi]

macOS:sä on siis oma palomuurikerros ja sen asetuksia voi säätää - tai kytkeä pois. Oletusarvoisesti se on päällä.

Verkkoasetuksissa kannattaa myös kytkeä päälle na. häivetila ellei se ole oletusarvoisesti. Vaikeuttaa IP-osoitteen nuuskijoita. Etäyhteydet (FTP, telnet) on estetty ymmärtääkseni oletusarvoisesti.

Ainoa pohde liittyy siihen tarvitsetko Macin levylle TimeMachine-varmistuksen. Ja mille levyille yleensäkin tarvitset varmistuksen tai varmuuskopiooinnin.

TimeMachine varmistus ei siis ole varmuuskooiointi tavanomaisessa merkityksessä. Se kelpaa palautukseen valikoivasti - tai kokonaan - menneisyyden ajankohtien tilanteista. Se ei ole kuitenkaan buuttaava kopio käynnistyslevystä.

Atk-lukutaitoisella ei ole mielestäni erityistä syytä toimia erikseen perustunnuksella ja ylläpito-oikeudet omaavalla tunnuksella. Liikkuvan käyttäjän läppäri on sitten aivan eri tilanne.

[homenamsi]

Yleisemmin tästä käytön turvallisuuden lisäämisestä ja hallinnasta nostan pari käyttämääni työkalua:

- AdGuard - pohjimmiltaan selaimen maiinosten sudattaja mutta joka samalla estää monia keksejä ja seurantoja. Siihen on liitetty myös WOT (Web of Trust), joka varoittaa arveluttavista web-sivuista

- Malwarebytes - selainhaitakkeiden ja mahdollisten haittaohjelmien tarkistus- ja poistotyökalu. Maksuttomana toimii käsikäyttöisenä eli tarkistuksen voi tehdä silloin kun siltä tuntuu. Siitä on myös maksullinen versio, joka väijyy jatkuvasti ja todennäköisesti haittaa MacOS:n toimintaa enemmän kuin löytää mitään.

[Ötsi Vik]

Liikkuvan käyttäjän läppäri on sitten aivan eri tilanne.

Riippuu tosi paljon siitä miten konetta käyttää. Mä liikun läppärin kanssa paljon ja käytän sitä paljon muualla kuin kotona. Käyttö on kuitenkin vain työasioita, eli minulla ei ole silloin edes WiFi päällä.

[KB7s]

Riippuu mimmoista käyttö on.

[homenamsi]

Silloin kun itse liikuin Loungeissa ja Lobbyissa niin pidin levyn salattuna (FileVault) ja kaiken mahdollisen datan Dropboxissa. Koskaan ei läppäriä varastettu - enkä hukannut - mutta kertaalleen kiintolevy rikkoutui matkalla. Vanha varmuuskopio (ei ollut Time Machinea) ja Dropbox-strategia pelastivat enemmiltä vaurioilta.

Ennen Dropboxia ”turvallisilla” USB-tikuilla…