OSX Lion FileVault verschiedene Passwörter für Entschlüsselung und Benutzer

[ProUser]

Es gibt den Unterschied, dass nach einem Shutdown wieder das lange Passwort eingegeben werden muss, und beim Sleepmodus nur das kurze.

Das ist falsch - auch wenn man eigentlich unter dem zweiten Benutzer mit dem kurzen Passwort angemeldet ist, muss man, um den Rechner aus dem Ruhezustand zu erwecken, wieder das lange Passwort eingeben, also das Passwort, welches zur Entschlüsselung berechtigt ist..

 

[macgloom]

Ah, ok umso besser!
Ist es dabei egal ob Deep Sleep oder reiner Sleep?

 

[detto87]

@ProUser .. wenn ich also aus dem Ruhezustand aufwecken will muss ich mein langes FileVault Passwort wieder eingeben. Das ist doch super! Dadurch ist das Vorhaben von macgloom nur noch sinniger.

Ich hab zwar auch kein simples Passwort für meinen Nutzeraccount, aber immerhin deutlich einfacher als das für eine Festplattenverschlüsselung, da man - wie schon gesagt - das NutzerPW öfters eingeben wird während des Arbeitens.


Mich reizt FileVault seit Lion weil es endlich mit TimeMachine anständig funktionieren soll. Und allein die Gewissheit zu haben, dass nicht jeder Depp an meine Daten kommen kann, SOLLTE ich den iMac mal tatsächlich einschicken oder jemand an mein Nutzerpasswort gelangt sein und ich nicht im Haus sein (iMac wäre dann meist im Ruhezustand), ist schon eine Überlegung wert das ganze zu nutzen.
Ich bin nur noch interessiert an Performance Aspekten seitens FileVault und TimeMachine in Lion und werde auch hier weiter mitverfolgen.
Vll findet sich ja tatsächlich noch ein etwas simplerer Vorgang als das Ab- und Anmelden.

 

[fox78]

Ich setze auf allen Notebooks unserer Firma im Moment PGP auf Snow Leo ein, will aber davon weg, seit dem es Symantec gehört und die sich alle Mühe geben, die Nutzer zu verscheuchen.

Jetzt lese ich hier, das man für FileVault auf Lion Adminrechte zum Starten/Entschlüsseln benötigt?
Dann fällt diese Lösung wohl als Ersatz im Firmenumfeld aus, ich kann doch nicht alle Anwender als Admins rumdoktern lassen.

fox78

 

[ProUser]

@ProUser .. wenn ich also aus dem Ruhezustand aufwecken will muss ich mein langes FileVault Passwort wieder eingeben. Das ist doch super! Dadurch ist das Vorhaben von macgloom nur noch sinniger.

Nein, denn sein Vorhaben führt nicht zur Beseitigung dieser (durchaus sinnvollen) Sicherheitseinstellung - egal welcher Benutzer grad angemeldet ist, sobald der Rechner in den Ruhezustand versetzt oder heruntergefahren wird, ist der Inhalt der Festplatte verschlüsselt/geschützt und damit das entsprechende Passwort erforderlich um es wieder zu entschlüsseln..

Jetzt lese ich hier, das man für FileVault auf Lion Adminrechte zum Starten/Entschlüsseln benötigt?

Wo hast Du denn das gelesen? Auch Benutzer ohne Admin-rechte können zur Entschlüsselung des Rechners aktiviert/deaktiviert berechtigt werden..

 

[kugel]

aid geht da eigentlich das deaktivieren?

 

[macgloom]

Nein, denn sein Vorhaben führt nicht zur Beseitigung dieser (durchaus sinnvollen) Sicherheitseinstellung -

Also ehrlich gesagt verstehe ich nicht, was du hier sagen willst.... Was ist jetzt sinnvoll?

 

[ProUser]

aid geht da eigentlich das deaktivieren?

Kann ich grad nicht sagen, im schlimmsten Fall über einen Umweg, indem man FileVault deaktiviert und den Festplatteninhalt komplett wieder entschlüsselt..

Also ehrlich gesagt verstehe ich nicht, was du hier sagen willst....

Dein Vorhaben war ja, sich beim Rechnerstart einmal mit dem Hauptpasswort anzumelden und danach mit einem einfachen Passwort arbeiten zu können - sobald aber der Rechner in den Ruhezustand geht, wird wieder das Hauptpasswort (also eines der zur Entschlüsselung berechtigten Benutzer) erforderlich..

 

[ProUser]

Was ist jetzt sinnvoll?

Das hängt immer von den persönlichen Ansprüchen ab.. Klar, man möchte es möglichst sicher und gleichzeitig möglichst einfach - leider beißt sich hier die Katze in den Schwanz - zudem definiert jeder "Sicherheit" anders..

Um 1. Sicherheit und 2. Komfort zu erreichen, wird man wohl (wie zuvor auch) mehrere Benutzer einrichten dürfen..

1. Hauptbenutzer (hat logischerweise Admin-rechte) mit einem hochkomplexen/sicheren in der Benutzung aber sehr umständlichem Passwort, der zur Entschlüsselung des Rechners berechtigt ist..
2. Zweiter Benutzer, hat Admin-rechte für administrative Aufgaben (Programme installieren etc.) mit einem guten aber alltagstauglichen Passwort, darf/kann aber den Rechner nicht entschlüsseln..
3. Dritter Benutzer, zusätzlich für alle, die nicht permanent mit Admin-rechten arbeiten möchten, oder dürfen..

PS: Benutzerwechsel in OS X geht sehr einfach und schnell..

 

[detto87]

So wie du es schreibst mit mehreren Benutzern ist es also realisierbar.
Ich denke so werd ich das dann auch angehen wenn Lion frisch drauf kommt.

.. das Time Machine Backup auf meiner Time Capsule wird dann aber nicht verschlüsselt sein, richtig?

 

[detto87]

Wie ich grad bemerke verlangt OS X sogar das Entschlüsselungspasswort wenn man den Bildschirmschoner(!) verlassen möchte.
Das macht das ganze wieder sehr viel weniger akzeptabel. :\

 

[SirLockholmes]

bildschirmschoner nicht nutzen, sondern ruhezustand des monitors auf nie setzen und dann aber ne aktive ecke nutzen und damit den bildschirm sperren ... wenn ud kein passwort eingibts geht der bildschirm in den ruhezustand, aber diesmal bleiben services aktiv und schlafen nicht irgendwann ...

 

[macgloom]

Also ich habe folgendes ausprobiert und es folgendes kam raus:

Ich habe 3 Benutzer angelegt: unlock, user und superuser.
unlock darf als einziger die festplatte entschlüsseln, user ist ein standardbenutzer und superuser ein admin, der nicht entschlüsseln darf.
Bei unlock wird beim Einloggen ein Skript gestartet, was ihn sofort wieder ausloggt. -> Der Bootvorgang läuft wie folgt: man muss das PW von unlock eingeben, und landet dann im Anmeldefenster. (mit sudo defaults write /Library/Preferences/com.apple.loginwindow HiddenUsersList -array-add user1 user2 user3 user4 kann man User dort ausblenden)
Man gibt das PW von user ein und alles ist in Butter. Zu Systemänderungen kann entweder das PW von unlock oder superuser eingegeben werden.

Nun kommt das Bemerkenswerte:
Geht das Macbook in den Ruhezustand (Sleep, bzw Hybrid Sleep), kann es durch das PW von user entsperrt werden!
Wie das mit Deep Sleep aussieht, weiß ich nicht, da dürfte man das PW von unlock eingeben müssen.

 

[Spacemarine]

Wie das mit Deep Sleep aussieht, weiß ich nicht, da dürfte man das PW von unlock eingeben müssen.

Ich habe das gerade mal ausprobiert, in dem ich den Deep-Sleep mit sudo pmset -a hibernatemode 1 erzwungen habe. Das Aufwachen hat dadurch auch deutlich länger gedauert, außerdem wurde immer die Datei /var/sm/sleepimage erzeugt. Das seltsame ist jedoch, dass mein User PW ausgereicht hat den Bildschirm zu entsperren und weiter zu arbeiten.

Ich verstehe das nicht, denn wenn der Ram Inhalt auf die Platte gespeichert wird, sollte dies eigentlich aufgrund der Vollverschlüsselung nur verschlüsselt möglich sein. Dann wiederum müsste man jedoch das Entschlüsselungspasswort eingeben!

 

[detto87]

bildschirmschoner nicht nutzen, sondern ruhezustand des monitors auf nie setzen und dann aber ne aktive ecke nutzen und damit den bildschirm sperren ... wenn ud kein passwort eingibts geht der bildschirm in den ruhezustand, aber diesmal bleiben services aktiv und schlafen nicht irgendwann ...

Das heißt das Passwort was eingegeben werden muss um den Ruhezustand des Monitors zu beenden ist das Nutzerpasswort und NICHT das FileVault-Passwort? Das wär super, da ich derzeit sowieso immer nur die Maus in eine Ecke baller und dann geht der Moni-Sleep an. (den Zeiger natürlich, nicht die Maus)

 

[Spacemarine]

Das heißt das Passwort was eingegeben werden muss um den Ruhezustand des Monitors zu beenden ist das Nutzerpasswort und NICHT das FileVault-Passwort?

Ja genauso ist das bei mir.