Gastbenutzer unter Mac OS X absichern

Wenn Sie wie ich einen Rechner mit Mac OS X besitzen, starten Sie ihn doch einmal neu und warten bis der Anmeldebildschirm kommt. Kann man sich auf Ihrer Maschine auch als so genannter Gastbenutzer (guest user) ohne Kennwort anmelden? Ich war ein wenig erschrocken, als ich feststellte, dass das auf meiner Maschine geht.

Ich loggte mich also als Gastbenutzer ein, öffnete den Finder und wählte „Gehe zu / Gehe zum Ordner“ und wählte als Ordner „/Users/MeinLieblingsUser“. Ich stellte fest: Als Gastbenutzer darf ich da hinein, obwohl es dort vertrauliche Dinge gibt.

Also schnell geprüft, wie es um die Zugriffsrechte für neue Dateien und Verzeichnisse bestellt ist: Der Standardwert für die umask auf Mac OS X ist offenbar 0022, so dass alle Welt neu angelegte Dateien lesen und neu angelegte Verzeichnisse durchsuchen darf. Das fand ich suboptimal für meine Belange. Ich finde, alle Welt sollte nur das lesen dürfen, was ich ihr explizit erlaube. Ich möchte nicht ständig darauf achten müssen, was ich erlaube und was nicht. Geht es Ihnen auch so? Dann lesen Sie weiter.

Zum Glück gibt es bei Apple in den Supportseiten eine, die hier weiterhilft: Mac OS X: Eine benutzerdefinierte umask setzen. Verschaffen Sie sich das Administratorrecht auf der Maschine (oder lassen Sie das Ganze sowieso Ihren Admin machen) und legen dann eine Datei an, die heißt /etc/launchd-user.conf. Tragen Sie in diese Datei folgendes ein:

umask 027

Damit bekommen alle neuen Dateien automatisch keine Rechte mehr für alle Welt, sondern nur noch für den Besitzer und (lesend) für die Gruppe, der die Datei gehört.

Die Zugriffsrechte für Ihre Verzeichnisse (also nicht des Gastes, sondern Ihre eigenen!) sollten Sie nachträglich richtig einstellen. Als Besitzer wollen Sie alles können, die Gruppe darf vielleicht lesen und die ganze Welt darf gar nichts. Zum Beispiel so:

chmod -R o-rwx ...

Ansonsten wollen Sie vielleicht noch genauer definieren, was der Gastbenutzer überhaupt auf Ihrer Maschine tun darf. Das finden Sie unter „Systemeinstellungen, Benutzer & Gruppen, Gastbenutzer“. Sie können ihn dort ganz abschalten oder genau definieren, welche Programme er starten darf. Das geht mit „Kindersicherung aktivieren / Kindersicherung öffnen“ für den Gastbenutzer.

So, am Ende der Aktion fühlte ich mich wieder wohl auf meiner Maschine. Dumm, dass das nicht standardmäßig von Apple so eingestellt ist!