Letztens stellte ein Besucher ;-) in meinem heimischen Netzwerk fest, daß man meinen Mac per VNC („Virtual Network Computing“) fernsteuern kann. Obwohl zwei Benutzer gleichzeitig angemeldet waren und der zweite gerade auf der Konsole aktiv war, konnte man meine, „im Hintergrund befindliche“ Sitzung fernbedienen – doch leider, ohne ein Kennwort eingeben zu müssen! Oh Graus, oh Schreck, welch ein Lapsus, der private Rechner hat Tag der offenen Konsole! Da VNC-Clients per Apple Remote Desktop Zugriff erhalten können, habe ich schnell die Berechtigungen unter Systemeinstellungen > Sharing korrigieren wollen. Doch hier sah alles korrekt aus:

Pro registriertem Benutzer kann man den Zugang freischalten und spezielle Eigenschaften individuell setzen sowie die Kompatibilität mit VNC-Dienst einschalten. Aber wie weit ich die Berechtigungen auch zurückdrehte oder Apple Remote Desktop sogar ganz abschaltete: Der Zugriff war weiterhin ohne Weiteres gestattet! Welches Programm machte hier denn nur die Tür auf?

Mittels der Mac Benutzeroberfläche konnte man nichts weiter herausfinden und die ersatzhalber verdächtigten Client-Programme (Chicken of the VNC), die auch einen Server-/Listen-Modus haben, waren nicht aktiv. Wer also ist der Bösewicht? Es sah so aus, als ob man mit einem Netzwerktool auf Kommandozeilenebene weiterforschen muß. Zu meinem Leidwesen fördert netstat auf dem Mac nicht die gleichen Angaben zutage, wie unter Linux (Debian), wo man mit „netstat -vleepn“ die aktiven Ports und das auf eingehende Verbindungen achtende Programm angezeigt bekommt.

Zum Glück wußte Mike Rat: In der Prozeßliste (mit „ps -aex“) fand sich ein „VNC“, das wohl der Übeltäter sein mußte (zum Glück hieß es so auffällig)! Testhalber konnte das Programm mit „sudo SystemStarter stop VNC“ beendet werden: Der Mac war wieder unzugänglich, was auf den richtigen, abgeschalteten Dienst hindeutete. Jetzt mußte nur noch das Starten des Programms beim nächsten Neustart verhindert werden. Dazu fand sich in /Library/Startup Items/ ein Ordner „VNC“, den ich komplett gelöscht habe. Der Zugang per VNC geht nun wieder via Apple Remote Desktop, aber mit Kennwort!

Diese VNC Software hatte ich wohl mal ausprobiert, als ich von der Kompatibilität von Apples eigener Software mit VNC noch nichts wußte. Weil niemand einen Fehler wegen der Doppelbelegung des Ports 5900 meldete, war es nicht aufgefallen.

Also: Immer schön nach dem Spielen alles wieder aufräumen!

PS: Inzwischen ist mir klargeworden, daß die VNC-Einstellung in Apple Remote Desktop nicht am Benutzer hängt, sondern systemweit gilt. D.h., mit dem dort hinterlegten Kennwort kann sich jeder von außen anmelden. Apple Remote Desktop aber hat eine benutzerbezogene Authentisierung, VNC hingegen nicht unbedingt. Die von mir eingesetzte, alte Version des Programms OSXvnc wurde wohl in meinem Benutzerkontext gestartet und erlaubte darum das Betrachten meiner Konsole während ein anderer Benutzer den realen Bildschirm belegte.