Userverschlüsselung

[Pantalaimon]

Hallo,

ich bin gerade dabei zu überlegen, wie ich es am besten anstellen kann, dass die Festplatte verschlüsselt ist und die User (auch die Admin's) sich nicht gegenseitig in die Home-Folder schauen können.

Die Festplatte ist per Filevault verschlüsselt, aber ich muss alle Benutzer markieren, welche die Festplatte beim Start entschlüsseln dürfen, damit geboot werden kann. Nur können sich die Admin's weiterhin gegenseitig in die eigenen Daten sehen. Gibt es dazu Boardmittel oder weitere Einstellungen, die einen solchen Zugriff unterbinden können?

Gruß
Pantalaimon

 

[xentric]

Offensichtlich kann ein Admin des Systems das, sonst wäre er kein Admin. Es macht keinen Sinn anders, sonst könnte ein Admin nicht das System kontrollieren.

Als User kannst du nur nochmal selbst deine Daten verschlüsseln, falls du sicher gehen willst, dass ein anderer (Admin) nicht hineinschaut auf einem fremden System. Als Beispiel ein TrueCrypt Image, ein verschlüsseltes DiskImage, .. es gibt zahlreiche Programme dafür.

Edit: Die Frage ist dann natürlich, in wie weit man dem System überhaupt vertrauen kann, wenn du schon Zweifel daran hast, dass ein Admin in deine Daten schaut, dann ist evlt. eh das ganze System "kompromitiert" und dein verschlüsseltes Image bringt dir nur als Lagerplatz was auf dem System. Ich meine.. theoretisch könnten ja auch die Schnittstellen usw. bearbeitet worden sein, das dem Admin ein auslesen deiner Daten ermöglicht beim Öffnen deiner verschlüsselten Daten ..
Ich hoffe, du verstehst wie ich das meine

 

[Pantalaimon]

Mir ist schon bewusst, dass der Admin Gott ist. Mir geht es nur darum, dass einfach nur die persönlichen Daten geschützt werden können, nach Möglichkeit mit Boardmitteln.

 

[ProjectBuilder]

Mir ist schon bewusst, dass der Admin Gott ist. Mir geht es nur darum, dass einfach nur die persönlichen Daten geschützt werden können, nach Möglichkeit mit Boardmitteln.

Gott sieht alles. Admin auch. Mach die User zu normalen Benutzern, dann ist das Problem gelöst.

 

[mreball]

Dann stimmt bei Dir aber was nicht. Normalerweise kann auch ein Admin nicht in die Benutzerunterordner reinschauen, ausser in den Ordner "Öffentlich".

 

[geronimoTwo]

Wie in #2 erwähnt:

Passwortgeschützter Ordner unter OSX = Verschüsseltes Image

http://www.maclife.de/mac/software/...einen-ordner-mit-passwortschutz-auf-ihrem-mac

http://www.maceinsteiger.de/how-to/festplatte-verschlusseln/

 

[bernie313]

Mir ist schon bewusst, dass der Admin Gott ist. Mir geht es nur darum, dass einfach nur die persönlichen Daten geschützt werden können, nach Möglichkeit mit Boardmitteln.

Nur nebenbei erwähnt, auf einem Rechner, auf dem der Admin Gott ist, gibt es noch ein höher gestelltes Wesen, nennt sich dann Dawkins (root), da zieht Gott dann den kürzeren.
Ansonsten, warum werden die Daten denn nicht in den Uferverzeichnissen verschlüsselt?

 

[tocotronaut]

Meist sind einfach zu viele Admins auf den Computern unterwegs. Normalerweise reicht Einer.

 

[ProjectBuilder]

Dann stimmt bei Dir aber was nicht. Normalerweise kann auch ein Admin nicht in die Benutzerunterordner reinschauen, ausser in den Ordner "Öffentlich".

Er kann sich aber jederzeit die Rechte dazu geben. Er ist schliesslich Admin.

 

[Pantalaimon]

Zu diesem Thema möchte ich noch eine weiterführende Frage los werden.

Wenn Filevault aktiviert wurde und ich es richtig verstanden habe, dann kann der Rechner aber nicht mehr vollständig hochfahren. Beispiel: Ich starte den Rechner per Remote neu. Dann müsste nach dem Start, dass Passwort für Filevault eingetragen werden. Wie kann ich das aus der Ferne?

Wie ist das bei Mac OS Server und Filevault?

 

[Andi]

Hallo Pantalaimon,

sudo fdesetup authrestart

Der Rechner muss das aber unterstützen.

Gruß Andi

 

[ProjectBuilder]

Zu diesem Thema möchte ich noch eine weiterführende Frage los werden.

Wenn Filevault aktiviert wurde und ich es richtig verstanden habe, dann kann der Rechner aber nicht mehr vollständig hochfahren. Beispiel: Ich starte den Rechner per Remote neu. Dann müsste nach dem Start, dass Passwort für Filevault eingetragen werden. Wie kann ich das aus der Ferne?

Wie ist das bei Mac OS Server und Filevault?

Es gibt für das Kommandozeilentool "fdesetup" die Option "authrestart".
Siehe auch hier:
http://support.apple.com/kb/HT6116?viewlocale=de_DE&locale=de_CH

Bei einem Server hat man idealerweise sowieso noch eine Art KVM über IP System dran, also eine Remote Console.

Edit: Nächstes Mal erst den Kaffee, dann Macuser...

 

[Pantalaimon]

Danke euch. Das ist was ich wissen wollte!