Sysadmin will Zugriff auf meinen iMac - wie schuetzen??

[FunkyOne]

Hmmm,
wenn ich Onkel Schnitzels Beiträge so lese, kann ich gut verstehen, warum das Unternehmen solche Einfälle hat und die User überwachen möchte. Ich würde es auch so halten. Lt. Beitrag ist es doch ein Rechner der Firma und kein Privateigentum. WTF hat Dein Privatkram auf der Kiste zu suchen? Ich bin kein BAFH (BadAdministratorfromHell) und würde Dir trotzdem die Hölle heiß machen. Der "Handlanger" Deiner "unfähigen Chefs" macht seinen Job - dafür wird er bezahlt.
Glaub mir sicher - mit der Einstellung wärst Du auf meiner Liste ganz weit oben....

Gr F1 - auch so ein Handlanger

 

[AssetBurned]

Vor ein paar Wochen hat der im Auftrag der Geschaeftsfuehrung schon alle moeglichen Ueberwachungs- und Internetzensursysteme eingefuehrt um unser Nutzerverhalten zu ueberwachen, seitdem kann ich dem nicht mehr vertrauen.

Hm also ich gehe mal davon aus das ihr keinen betriebsrat habt. deren aufgabe wäre es gewesen sich bei solchen sachen auch mal queer zu stellen.
aber wie so üblich "Warum soll ich in ne gewerkschaft die machen doch eh nix für mich?" nix gewerkschaft, nix betriebsrat, und sowas kommt dabei dann raus.
gut leicht überspitzt aber im grunde stimmts.

Auf meinem Mac sind alle moeglichen privaten Daten mit drauf weswegen ich aus Sicherheitsgruenden meine Daten nicht auf unseren Server kopiert haben moechte, ich denke es geht da zum Teil auch wieder um Ueberwachung der Mitarbeiter.

verschlüssel deine dateien. nicht mit den üblichen krams sondern mach es mit einer software die auf datei leven verschlüsselt und nicht datenträger ebene.
das problem ist das gleiche wie bei time machine. wenn du nen container hast (wird in solchen fällen dann von Truecrypt oder DMG usern vorgeschlagen) wird immer der ganze container gesichert. problematisch ist das er einiges an netzwerk traffic verursacht und auch viel platz auf dem "backup" medium beansprucht.
sowas liefert dann natürlich argumente gegen den nutzer. "Mit deiner verschlüsselung erursachst du uns unnütze kosten. lass den schei*!!".
wenn du hingegen nur einzelne dateinen verschlüsselst (und das geht soweit das auch der dateiname verschlüsselt ist) werden, bei ordentlicher backup strategie, nur die änderungen gesichert. und kleinere dateien sind in solchen fällen weit aus unauffälliger.

Aber generell muß ich schon sagen. gut ist das alles nicht. wenn du mir der firma unzufrieden bist, wechsel den job.
anderenfalls wirst du mir all deinen gegenmaßnahmen eher munition liefern die gegen dich verwendet werden.

 

[Turbo Stacy]

Ganz einfach - private Daten haben nichts auf einem Firmenrechner verloren.

 

[maceis]

...
und unser Admin ist quasi der Handlanger unserer unfaehigen Geschaeftsfuehrung, der hier niemand vertraut, daher meine Sorge.
...

von der Chefetage den Auftrag bekommen hat auf unsere Festplatten zu schauen, und die Backups sind nur eine Ausrede. Daher will ichs ihm so schwer wie moeglich machen, wenn er sieht dass es keinen Sinn macht wird er schnell aufgeben.

...
Aber gibts nicht irgendne Moeglichkeit, die Kommandozeile zu sabotieren, damit er dieses Tool gar nicht erst zum laufen bekommt?
...

Wenn ich so etwas lese, kann ich mich nur wundern, dass Du nicht kündigst, da ja offensichtlich jegliche Vertrauensbasis fehlt.

als informatiker denk ich schon dass ich ahnung von dem krempel hab,
...

Wenn dam so wäre, hättest Du nicht fragen müssen.

Gruß
maceis

 

[martinibook]

Informatik hat mit Computern nix zu tun. Schon gar nicht, wie man mit einem UNIX umgeht, sowas lernt man wo anders. Es geht um Datenverarbeitung und so dinge wie zum Beispiel Sortieralgorithmen.

Ein großes DMG ist wahrscheinlich die Wahl, oder TrueCrypt. FileVault oder PGP Whole Disk bringt da nix, denn wenn der Rechner an ist, sind die Daten wie sonst auch da.

Private Daten nicht auf dem Firmenrechner speichen.

Aber eine Idee habe ich noch:
Du schaltest root frei. Entweder im NetInfo Manager oder in der Konsole:

sudo su
passwd

Dann das Mörderpasswort setzen und merken.

Anschließend in deinem Heimatverzeichnis eine Datei "profile" erzeugen, folgendes enthält:

alias sudo='echo Permission Denied'
alias su='echo Permission Denied'
alias top='echo Permission Denied'
alias ls='echo Permission Denied'
alias rm='echo Permission Denied'
alias mv='echo Permission Denied'

Dann in der Konsole, als Root mit

sudo su

einloggen und dann folgendes:

mv profile .profile
chown root .profile
chgrp wheel .profile
chmod 644 .profile

Dann kann man sich bei dir auf der Konsole nicht mehr als Root einloggen, oder sudo benutzen, jedenfalls nicht so einfach. Obwohl das mit unalias auch nicht schwer würde.


Besser ist sicher noch, wenn du ein getrenntes Adminkonto erstellst, dort ein dickes Passwort machst, und du selbst als nicht-Administrator arbeitest. Das Passwort hast du natürlich vergessen. Und gegen die DVD erstellst du noch ein Firmware Passwort. Dann ist der Mac für mindestens 10 Minuten nicht administrierbar

 

[maceis]

Nun ja, den NI Manger gibt es in 10.5 nicht mehr und ein MacBook Air hat mW auch kein optisches Laufwerk, von daher ... .
Rein kommt man natürlich trotzdem noch. Da ändern auch die aliasse nichts dran.

Das Shell login kann man aber auf extrem einfache Weise wirkungsvoll und unumgänglich verhindern. Ich glaube nur nicht, dass ich das jetzt hier erzählen möchte, weil man damit ganz ganz böse Dinge anstellen kann.

 

[martinibook]

gelöscht

 

[maceis]

Ach komm, das ist doch Krampf.
Mach das bitte wieder weg, am Ende tippt es noch einer ein, der er es nicht versteht.

 

[yankadi]

Auf alle Fälle ist ein Abeitsvertrag auch eine Beziehung bzw. ein Vetrauensverhältnis. Wenn das Vertrauen schon so stark gebrochen ist wie hier geschildert kann man gleich gehen.

Wozu weitere Schmerzen ertragen, wenn sie aus eigenem Stehenbleiben stammen?

 

[HZJ]

Private Daten haben auf einem Firmenrechner nichts verloren und auch nicht auf den firmeneigenen Backups. Die Geschäftsführung kann vermutlich jederzeit verlangen, in Daten Einblick zu bekommen, auch wenn sie verschlüsselt sind.

Wer die Arbeit des Admins behindert, liefert den Grund für eine Kündigung.

Wenn du den Mac auch für private Zwecke nutzen willst und das darfst, lagere den Kram doch einfach auf einen USB Stick aus oder starte eventuell sogar davon, oder nutze eine externe Festplatte.

Bernhard

 

[magheinz]

werde dir einfach bewusst wer der admin ist und wer der user.
wenn der admin unbedingt auf deine festplatte wollte, dann hätte er schon lange zum schraubenzieher gegriffen.

mit deinem verhalten bist du ein guter kandidat für eine kündigung.

als admin würde ich dir als erstes mal sämtliche passwörter wegnehmen, dir einen user einrichten und dir dann NUR dessen passwort geben.
ausserdem hättest du am nächsten tag ein sauberes, weil komplett geplättetetes und neuinstalliertes system.
in meinem beisein dürftest du dann aus dem von mir gemachten backup daten wiederherstellen von denen wir BEIDE und eventuell dein direkter vorgesetzter überzeugt sind das du sie zum arbeiten benötigst.

danach würde ich dir eine betriebsanweisung verpassen nach der du deine privaten daten vom rechner fernzuhalten hast. (als handlanger vom chef sollte das ja kein problem sein.)

bin ich jetzt der bofh? ich denke nein, dein verhalten provoziert dieses vorgehen ja geradezu.

 

[AssetBurned]

vermutlich würde es vorher ein mitarbeitergespräch geben. aber im prinzip wäre das ein verständliches vorgehen.