filevault- sicherheit

Ernst_42

Ernst_42

schläft auf dem Boardsofa
Okay...

Ich hab' FileVault aktiviert, womit ja eigentlich alle Daten in den persönlichen Bereichen ($HOME) verschlüsselt sein sollten (außer dem Ordner "Öffentlich"...).

Jetzt hab' ich auf einen anderen Ordner Leserechte für einen anderen Nutzer vergeben (jaja, könnte man ja auch über einen quasi gemeinsamen Ordner im Temp-Bereich machen, hab' ich aber nicht!) :
Code: 
chown ernst_42:ernst_43 <folder>
wobei ich (na, wer wohl) der Nutzer 'ernst_42' bin, und der andere Nutzer mit seiner Gruppe 'ernst_43' vertreten ist.
Mit
Code: 
chmod -fR g+rw <folder>
werden die Berechtigungen gesetzt. (Wird ggf. für Ordner noch um ein g+x erweitert...)

Eigentlich hätte der Nutzer ernst_43 zwar Zugriff auf Dateiebene, aber ich hätte erwartet, dass er keine Datei erfolgreich lesen kann, da sie verschlüsselt sein sollte.

Da der Zugriff aber funktioniert (als ob ich FileVault außer acht lassen würde), stellen sich mir die Fragen:
  • Bin ich zu doof?
  • Ist zwar FileVault aktiviert, aber es hat noch nicht verschlüsselt?
  • Falls es verschlüsselt ist, wird der Schlüssel über die Dateiberechtigungen quasi mitverwaltet?
Ich könnte natürlich noch die HowTos und die man-pages wälzen (was ich bisher noch nicht getan habe), aber du hast ja die Fragen hören/lesen wollen ;)

TIA + Grüße
 
gegenfrage:

ist Ernst42 abgemeldet, wenn Ernst43 auf die daten zugreift?

und warum hast du filevault überhaupt aktiviert?
anmeldung mit benutzername/kennwort bei neustart sollte doch eigentlich reichen ;)

wenn du aber genau bescheid wissen willst, werde ich noch meinen unix-spezialisten fragen...
ich beweg mich mehr auf der Oberfläche ... Systemeinstellungen/Benutzer/Einschränkungen- Anmeldeoptionen usw. :angel
 
Also wenn ich schon Daten unter Verschluss halten will, dann ist der Weg über die normale Rechteverwaltung sicher nicht das Mittel der Wahl, da ein weiterer Nutzer (root) an alle Daten rankommt.

Da ich mich inzwischen doch einige Zeit mit IT-Sicherheit beschäftigt habe, ist "Paranoia" quasi zu meinem zweiten Vornamen geworden; und so stelle ich mir bei allem, was das Thema angeht, immer gleich die Frage, was das jeweils wirklich bringt.
Zurück zu FileVault: Da hieß es in der Beschreibung, dass die Verschlüsselung - grob gesagt - auf der Basis der Nutzerpassphrase funktioniert. Dann hätte aber kein anderer Nutzer - auch wenn über Zugriffsrechte erlaubt - erfolgreich auf die Daten zugreifen können dürfen...

Aber ich muss sowieso noch mal gucken, ob der FileVault-Verwalter (root) nicht doch mit seinem Masterkey die Verschlüsselung "aufbrechen" kann.


Warum das mit den zusätzlichen Zugriffen?
Es gibt ja auch Daten, die zwischen Nutzern geteilt werden, ohne dass deshalb die ganze Welt mitlesen können muss.
JaJa, würde man normalerweise dann aber nicht über die Home-Verzeichnisse laufen lassen, sondern eigene Projektordner einrichten...
Nicht, dass ich dass unbedingt so umsetzen müsste (gemeinsamer Zugriff mehrerer Nutzer innerhalb des $HOME eines Nutzers), aber das Problem ist mir dabei aufgefallen.

[Edit] (Formatierung, Lesbarkeit) [/Edit]
Grüße
 
Zuletzt bearbeitet:
Ich habe bisher nichts gutes von FileVault gehört. Wenn du deine Daten wirklich sicher veschlüsseln willst, dann
erstelle doch über das Festplattendienstprogramm ein Image (dmg) mit einer 128bit Verschlüsselung. Da musst du auch beim mounten von diesem Image ein Passwort eingeben, das logischerweise nicht zu dem Schlüsselbund abgelelegt werden darf/sollte.
So habe ich das gemacht, das auch Benuzterübergreifend funzt.
 
Hätte mich doch gewundert, wenn's da nicht was gäbe...

Danke, wird heut' mal ausgeprobt.
 
jo, condor hat recht

filevault ist definitiv nicht zu empfehlen.
ich hab gestern noch etwas gestöbert und einige negative sachen zu filevault gefunden

Das Anlegen eines disk - images mit passwort über das Festplattendienstprogramm oder Roxio toast sind da erste wahl.
Und wenn deine Paranoia extrem ist, solltest du vielleicht ein Open Firmware Passwort setzen.
Das blockiert gängige Tastenkürzel beim Startvorgang - zb. Starten von System-CD ( umgehen des Datenschutzes).
-->
zu laden bei Apple über: Dokumentennummer 120095/ Programm: Firmware Password Application.
Dort lediglich den Open Firmware Schutz aktivieren und Passwort eingeben.
Das Passwort wird dann künftig beim Systemstart abgefragt.
 
Danke für den Tipp, jabberj. Und: Von Paranoia krieg ich nie genug ;)

Und das mit dem Anlegen eines Images funzt auch hervorragend.


Nachschlag:
Btw, da unsere Diskussion leicht OT ist:
Vielleicht mag einer der Mods den Teil herausschneiden und als eigenen Thread ins Mac-Forum eintragen? Z.B. als "Diskussion: Sichere Datenträger/Datenbereiche"

[Edit]
Danke jabberj(?)
[/Edit]

Grüße
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben