Gościnność na cenzurowanym, czyli konto Gościa w OS X
Większość nowoczesnych systemów operacyjnych wspierających wielu użytkowników oferuje ciekawą, lecz (co wnioskuję z własnych obserwacji) rzadko wykorzystywaną opcję – konto Gościa. W przypadku Microsoft Windows, wiele osób traktuje wyłączenie tego konta jako jeden ze sposobów na zwiększenie bezpieczeństwa. Sam włączyłem takie konto na iMacu bardziej z ciekawości, jednak dopiero teraz zdecydowałem się zgłębić tajemnice tego rozwiązania. Zapraszam do lektury.
Podobnie jak opcja sieci gościnnej w Time Capsule, AirPort Extreme/Express oraz innych nowszych routerach z obsługą WiFi, tak i konto Gościa w systemie OS X służy do tymczasowego udostępnienia zasobów osobie, która nie korzysta z komputera regularnie. Zamiast więc udostępniać nasze prywatne konto, na którym zwykle znajdują się poufne dokumenty i informacje, możemy – bez ryzyka – pozwolić znajomemu czy sąsiadowi na np. odwiedzenie profilu na Facebooku, sprawdzenie poczty, lub inne wykorzystanie stanowiska.
Na konto Gościa można zalogować się, dzięki opcji Szybkiego przełączania użytkowników, bez konieczności wylogowywania się z naszego profilu. Co gwarantuje powrót do stanu, w którym profil opuściliśmy, łącznie z otwartymi programami, dokumentami i procesami działającymi w tle.
Kolejnym powodem, dla którego warto aktywować konto Gościa na naszych Maczkach jest umożliwienie niepowołanej osobie dostępu do komputera. Brzmi absurdalnie? Owszem, ale należy pamiętać, że bez zostawienia takiej z pozoru bezmyślnej furtki, włączenie funkcji Znajdź mój Mac nie pozwoli nam na namierzenie złodzieja. Bo w sytuacji, gdy nie będzie mógł się w żaden sposób zalogować, prawdopodobnie nie przyłączy się też do sieci, a bez nie zadziałają usługi lokalizacji.
Czym różni się konto Gościa od konta normalnego użytkownika? Po za brakiem konieczności podawania hasła (i możliwości jego ustawienia), na koncie gościnnym nie są przechowane długoterminowo żadne informacje. Oznacza to ni mniej, ni więcej, że po wylogowaniu się użytkownika wszystkie utworzone dokumenty i zachowane dane, pliki tymczasowe, hasła np. witryn internetowych, są automatycznie usuwane. Gość nie ma dostępu do profili innych użytkowników, za wyjątkiem katalogów udostępnianych. Co również zwiększa bezpieczeństwo i kontrolę to fakt, że możemy określić z jakich aplikacji nasz gość może korzystać, czy jakie strony WWW może odwiedzać.
Aby włączyć konto Gościa należy wykonać następujące kroki:
- otwieramy Preferencje systemowe (np. z poziomu menu Apple, lub klikając ikonkę w Doku),
- wybieramy panel Użytkownicy i grupy,
- zaznaczamy Użytkownik Gość w oknie po lewej stronie (jeśli opcja jest nieaktywna należy kliknąć ikonkę kłódki na dole i wprowadzić hasło administratora),
- zaznaczamy opcję Pozwalaj gościom logować się na komputerze,
- jeśli konieczne, zaznaczamy również opcję zgody na łączenie gości z katalogami udostępnianymi.
Aby nasz gość mógł logować się do tymczasowego konta bez wylogowywania bieżącego uzytkownika musimy jeszcze wejść w edycję Opcji logowania i wprowadzić dwie istotne zmiany:
- wyłączamy opcję Automatyczne logowanie – istotny aspekt bezpieczeństwa w przypadku np. kradzieży komputera bo przecież często nasze dane są cenniejsze niż sam sprzęt,
- zaznaczamy Szybkie przełączanie użytkowników i wybieramy sposób prezentacji (pełna nazwa, nazwa konta lub ikona).
W zasadzie konto Gościa jest już aktywowane i z poziomu menu możemy do niego przejść.
Warto jednak pójść dalej i określić dozwolone programy i inne możliwości dostępne dla takiego mniej lub bardziej przypadkowego użytkownika. Wracając do panelu Użytkownicy i grupy ponownie wybieramy Użytkownik Gość i po prawej stronie zaznaczamy Włącz nadzór rodzicielski a następnie naciskamy przycisk obok, otwierający panel konfiguracji ustawień.
W pięciu róznych kartach pogrupowane są dostępne opcje:
Programy – chyba najbardziej przydatne ustawienia. Określimy tu, np. że gość może korzystać wyłącznie z przeglądarki Safari i edytora TextEdit (otwieranie pozostałych będzie wymagało podania hasła administratora!). Jeśli nie chcemy by wyłączał lub wznawiał komputer z pomocą przyjdzie opcja Finder uproszczony. Jeśli cenimy porządek w Doku, zabraniamy modyfikacji jego zawartości. Pomocne w określeniu podzbioru aplikacji może być również wybranie jednej z kategorii wiekowych, w których zostały ujęte w sklepie Mac App Store.
WWW – gdzie możemy filtrować automatycznie (lub z naszą pomocą) strony „dla dorosłych”, możliwy jest też dostęp do witryn bez ograniczeń lub dostęp tylko do wybranych – oczywiście taką whitelistę musimy przygotować sami, standardowo znajdują się tam tylko strony z treściami dla dzieci.
Ludzie – tutaj możemy kontrolować interakcję z Game Center, ograniczyć odbiorców w aplikacji Apple Mail oraz określić, z kim Gość może kontaktować się za pomocą usługi/aplikacji Wiadomości. Co ciekawe, w przypadku poczty elektronicznej, o próbie kontaktu z osobą spoza listy osób dopuszczonych możemy być powiadomieni osobnym mailem.
Limity czasu – również przydatna opcja pozwalająca na ustalenie maksymalnego czasu korzystania z komputera z podziałem na dni robocze i weekendy, oraz określenie w jakich godzinach z komputera nie będzie można w ogóle korzystać.
Inne – tutaj można uniemożliwić korzystanie z kamery iSight, modyfikowanie ustawień drukarki, wyłączyć dyktowanie, nagrywanie płyt CD/DVD, oraz ukryć wyrazy niecenzuralne w takich źródłach jak słowniki czy tezaurusy.
Opcje nadzoru rodzicielskiego można stosować również do pozostałych kont użytkowników, zwłaszcza gdy mamy obawy co do poziomu ich umiejętności korzystania z komputera. Fajną sprawą są Dzienniki rejestrujące takie operacje jak uruchomione programy czy odwiedzone witryny.
Po wprowadzeniu wszystkich zmian warto samemu przekonac się o ich działaniu, tym bardziej że cokolwiek nie zrobimy na koncie Gościa, to po wylogowaniu wszystko jest czyszczone. Pewną niedogodnością, zwłaszcza na starszych i wolniejszych komputerach jest fakt, że zarówno logowanie do konta Gościa jak i jego opuszczanie zajmuje więcej czasu (koniecznego m.in. na wczytanie ustawień oraz usuwanie utworzonych w międzyczasie plików. To jednak niewielki koszt, gdy weźmiemy pod uwagę wygodę, bezpieczeństwo oraz ochronę prywatności naszych danych.
Ciekaw jestem czy i kiedy pojawi się podobne rozwiązanie w systemie iOS na urządzeniach mobilnych. O ile iPhone można uznać za bardzo osobisty gadżet, to już iPad często trafia do róznych rąk, należących nie tylko do członków rodziny. Póki co, jedną możliwość stanowi Dostęp nadzorowany…