macOS Sierra CCC Bootklon, geänderte Filevault- und Userdaten

[Sharptype]

Hallo zusammen,

wenn ich meine Login-Daten im Nachhinein ändere (z. B. anderes User-PW), und meinen bestehenden verschlüsselten Bootklon aktualisiere, aktualisiert er automatisch auch das Festplatten-PW (was ja an dem User-PW hängt) usw. mit oder muss ich das im Nachhinein auf der Backup-HD auch nochmal manuell aktualisieren, sprich extra davon booten und das PW ändern?

Kann ich mir irgendwie nicht vorstellen, dass ich das manuell nochmal machen muss, aber andererseits fühlt es sich auch irgendwie "unsicher" an und ich frage mich, wie das gespeichert ist, wenn er das durch die Aktualisierung des Backups alles mitkopiert.

Danke euch

 

[mausfang]

Du erstellst mit Carbon Copy Cloner von der entschlüsselten Platte einen Klon?

Hast Du vom Klon testweise mal gestartet?

 

[Schiffversenker]

Das sollte man doch, nach dem Klonen, ganz simpel testen können.
Darauf würde ich mehr vertrauen als auf Antworten in einem Forum.
Wobei ich die Qualität der Antworten hier natürlich nicht kritisieren möchte, aber ein eigener Test beruhigt doch enorm.

 

[mausfang]

Ein CCC-Klon einer entschlüsselten SSD kann meiner Meinung nach auch nur unverschlüsselt sein, oder?

 

[oneOeight]

die login daten sollten dann schon beim klonen verändert werden, die sind ja im system gespeichert.
allerdings bleibt halt das passwort der verschlüsselung gleich.
d.h. du musst dann wohl zwei mal ein passwort eingeben, einmal für die verschlüsselung und dann noch mal für den login.

 

[mausfang]

Hier ist der Umgang beim Klonen mit Filevault beschrieben:
https://bombich.com/de/kb/ccc5/working-filevault-encryption

Dann muss man wie @oneOeight geschrieben hat die Login-Daten entsprechend geändert werden.

 

[Sharptype]

Moin,

wie bereits gepostet gibt es dazu eine Anleitung wie man eine HD mit aktiviertem FV bootfähig klont und der Klon dann auch verschlüsselt ist (muss man wie die Anleitung beschreibt von starten und halt einfach nachträglich aktivieren). Das ist ja aber meine Ausgangssituation

Nun ist es (habs gerade ausprobiert) leider genau wie @oneOeight beschrieben hat: Die Login-Daten wurden aktualisiert, aber wenn ich jetzt vom Klon boote, fragt er jetzt das ALTE Festplattenkennwort vor dem Bootvorgang separat ab und dann muss ich mich nochmal mit dem neuen User-PW einloggen. Und das alte Festplattenkennwort ist ja genau das Kennwort von dem alten User, welches ich aktualisiert (etwas komplexer gemacht) habe -> Ziel des Ganzen.

Ich habe bisher leider so nichts gewonnen, da man die Backup-Platte nach wie vor mit dem alten Kennwort entschlüsseln kann. Hatte gehofft, dass er dies auch mit aktualisiert, weil der User ja für die Entschlüsselung des FV-Volumes freigeschaltet ist.

Warum ist das Verhalten jetzt so? Und hat jmd eine Idee wie ich das User-PW auf der Backup-Platte wieder synchron mit dem Festplattenkennwort bekomme?

 

[oneOeight]

Warum ist das Verhalten jetzt so? Und hat jmd eine Idee wie ich das User-PW auf der Backup-Platte wieder synchron mit dem Festplattenkennwort bekomme?

das ist an sich ein normales verhalten, wenn man eine verschlüssung hat.
filevault macht es halt nur bequem, indem es das benutzer passwort für die verschlüsselung nimmt beim aktivieren.
wenn du jetzt dein user passwort änderst, wird bei aktivierten filevault wohl das dann auch automatisch mit abgeglichen.

daraus folgt
um das auf dem klon zu ändern, musst du halt davon booten, dann änderst du da entweder das passwort eben kurz noch mal.
oder du führst im terminal folgendes aus:

sudo fdesetup sync

 

[Sharptype]

Danke für diesen Tipp, wirklich!

Bekomme das nur irgendwie nicht hin, er frisst das nicht. Hab das einmal über den eingeloggten Adminuser gemacht, Befehl erfolgreich ausgeführt (keine Rückmeldung im Terminal), das hat aber nicht funktioniert. Wenn ich mich mit dem User anmelde um den es geht (vielleicht ist der Befehl kontextbezogen?) sagt er mir, dass der User nicht in der „sudoers“ Datei enthalten ist.

Mache ich etwas falsch?

 

[oneOeight]

Wenn ich mich mit dem User anmelde um den es geht (vielleicht ist der Befehl kontextbezogen?) sagt er mir, dass der User nicht in der „sudoers“ Datei enthalten ist.

sudo kann halt nur ein admin user ausführen.
aber wenn ich die man page des befehls richtig lese, sollte der aufruf vom admin user aus schon reichen und alle user abgeglichen werden.
eventuell ist hier das problem, dass die passwort änderung wegen dem klonen jetzt nicht erkannt wird und des deswegen nicht neu abglecht?

probier halt mal das passwort von dem user neu zu setzen, ob es dann schon abgeglichen wird.

 

[Sharptype]

Vermute ich auch, wobei als ich den fdesetup sync Befehl gesehen habe, dachte ich, das muss es sein!

Habe jetzt wie du gesagt hast das User-PW einfach nochmal auf das gleiche gesetzt (gebootet vom Klon natürlich) über den ganz normalen PW-Änderungsprozess in den Systemeinstellungen. Dann hat er das genommen und funktioniert.

Kommt mir allerdings etwas "getrickst" vor irgendwie. Fühlt sich nicht so gut an Hoffe das ist trotzdem alles safe?!

 

[Sharptype]

Andere Frage: Könnte man so nicht - das von einigen gewünschte - separate Festplattenkennwort erzwingen, also das, was vom User-PW getrennt ist? Ansonsten besteht ja nicht mehr die Möglichkeit das Filevault-Festplattenkennwort von dem User zu trennen, um so z. B. ein komplexeres Festplattenkennwort zu nutzen (einmalig beim Booten) und ein weniger komplexes User-PW?!

Ist natürlich umständlich, aber entspricht dies nicht genau der Anforderung von einigen? Hier ist es lediglich aufgrund der technischen Situation automatisch so entstanden

Also komplexes PW setzen (FV aktiv), dann klonen, dann User-PW ändern in Produktivumgebung, dann wieder klonen, und schon muss man das alte komplexe Festplattenkennwort (das alte User-PW) und das neue User-PW eingeben (beides), was ja eigentlich technisch nicht möglich ist.

Oder habe ich da - von der Umständlichkeit mal abgesehen - einen technischen Denkfehler?