Schützen Sie Dateien von anderen Administratorkonten

Bei der Arbeit gibt es also einen "gemeinsam genutzten" Server, auf dem Leute Dinge ausführen können, die lange dauern. Ich benutze diese Maschine ziemlich oft bis zu dem Punkt, an dem ich mein eigenes Login erstellt habe, um meine Benutzerdateien zu trennen.

  1. Das Konto, das ich verwende, ist ein Administrator.
  2. Das andere Konto, das alle anderen verwenden, ist ebenfalls ein Administrator.

In meinen Benutzerdateien befinden sich einige private SSH-Schlüssel für Dinge wie Github und Amazon Web Services, mit denen die anderen Benutzer gemeine Dinge tun könnten, wenn sie dazu neigten. Ich glaube nicht, dass sie das tun würden, aber es wäre schön, nicht darüber nachdenken zu müssen.

  1. Gibt es eine Möglichkeit, diesen Dateien einen gewissen Schutz hinzuzufügen, ohne die Berechtigungsstufe des anderen Logins zu ändern?

  2. Können andere Administratoren auf die gespeicherten Schlüsselbund-Anmeldeinformationen eines anderen Administrators zugreifen?

  3. Wenn Sie es „richtig machen“ würden, wie würden Sie empfehlen, diesen Computer so einzurichten, dass er vernünftigerweise von Personen gemeinsam genutzt werden kann, die Verwaltungsaufgaben ausführen müssen, aber kein Albtraum für die Sicherheit ist?

Willkommen bei Ask Different. Im Allgemeinen ist es am besten, eine Frage pro Frage zu stellen. Wenn Sie auf jede Frage eine gute Einzelantwort erhalten, hindert Sie nichts daran, eine Frage zu stellen, wie Sie widersprüchliche Antworten kombinieren können, wenn dies der Fall ist.

Antworten (1)

Einfache Antwort - nein. Der Administratorzugriff ist für mehrere Benutzer auf einem einzelnen Computer zu leistungsfähig. Selbst wenn Sie jedem dieser Benutzer implizit vertrauen, besteht immer die Möglichkeit eines versehentlichen Missbrauchs und potenziellen Datenverlusts.

  • Wenn Sie Administrator sind, können Sie jede Datei auf dem Mac lesen
  • Wenn Sie Administrator sind, können Sie jede Datei auf dem Mac löschen und ändern

Die einzige Ausnahme ist SIP – hier kann nicht einmal Root einige Dateien ändern, die Apple als eingeschränkt markiert hat.

Standardbetriebsverfahren schreiben Standardbenutzerkonten für alle Benutzer auf einem Mehrbenutzer-Mac vor, mit einem Administratorkonto für Wartungszwecke usw.

Sie können eine verschlüsselte DMG erstellen, um Dinge zu speichern, die Sie anderen Benutzern des Computers nicht zeigen können. Sie könnten die Dateien kopieren und versuchen, das Passwort brutal zu erzwingen - aber der Finder leistet gute Arbeit beim Abfragen und Mounten solcher Dateisysteme, wenn Sie einen Alias ​​​​auf die Datei verweisen.

Der Schlüsselbund ist eine spezialisierte Version eines verschlüsselten Speichers. Möglicherweise können Sie Ihre Schlüssel dort speichern und sie wären auf ähnliche Weise vor anderen Benutzern sicher.

Was ich tun möchte, ist, eine Maschine so zu teilen, dass ich niemandem vertrauen muss, und ich brauche keine Leute, die mir vertrauen. Selbst wenn ich alle Konten zu Benutzern gemacht habe, gibt es immer noch ein Administratorkonto, und daher muss jemand jemandem vertrauen. Es scheint, als wäre dies möglich, wenn die Dateien jedes Benutzers mit separaten privaten Schlüsseln verschlüsselt würden (und möglicherweise den Schlüsseln, die nicht auf dem Computer gespeichert sind oder auf eine Weise gespeichert werden, die sogar über einem Administrator liegt). Ich bitte die Leute wirklich, über den Tellerrand von "Benutzer" und "Administrator" hinauszudenken.
@Eric Ich habe einige Änderungen vorgenommen, um zu erklären, warum die Antwort "Nein" richtig ist. Kurz gesagt – wenn Sie Teil der Admin-Gruppe sind – können Sie jede Datei auf Benutzerebene unter OS X lesen/manipulieren/schreiben/löschen/kopieren. Glücklicherweise können Sie Verschlüsselung verwenden, um Ihre Daten vor Manipulation und Entschlüsselung zu schützen.
Danke für deine Änderungen, @bmike. Es verbessert meine nackte Knochenantwort.
Schützen Sie Dateien von anderen Administratorkonten
AntwortenHierDatenschutz-Bestimmungen1y, 0v