Schützen Sie jedes Benutzerkonto in Lion?

Ich habe File Vault in Lion auf einem gemeinsam genutzten Computer mit mehreren Benutzerkonten aktiviert. Ist es möglich, jedes Benutzer-Home-Verzeichnis so zu verschlüsseln, dass andere Benutzer nicht auf ihre Daten zugreifen können? So wie es aussieht, kann ich auf das Terminal gehen und (mit sudo) auf alle Dateien in allen Konten zugreifen. Das möchte ich gerne verhindern.

Möchten Sie verhindern, rootdass Nutzer-Homes angezeigt werden? Oder möchten Sie verhindern, dass andere Benutzer Root-Rechte erhalten?
Ich möchte grundsätzlich, dass die Home-Ordner auch verschlüsselt werden root, es sei denn, sie kannten das zu entschlüsselnde Passwort. Ich nehme an, das ist nicht möglich?
Nein wirklich, wenn der Besitzer darauf zugreifen muss, werden sie gemountet und sind für den Benutzer (den Besitzer) und root lesbar.

Antworten (2)

Es ist einfacher, jeden Benutzer seine privaten Informationen in verschlüsselten Disk-Images speichern zu lassen, da die alte Filevault (1)-Methode zum Verschlüsseln des gesamten Home-Ordners nicht etwas ist, das Sie mit einfachen Tools auf Lion einrichten können.

Lion unterstützt es immer noch, sodass Sie in ein Shell-System migrieren können, das die erforderlichen Konten für die Verwendung von File Vault eingerichtet hat, dann das Laufwerk verschlüsseln und schließlich die Dateien von einem externen Backup-Laufwerk verschieben und vermutlich beide das Legacy-Filevault-Speicherschema haben sowie das neue Schema, bei dem die gesamte Festplatte nicht verfügbar ist, bis das Laufwerkskennwort eingegeben wird.

Denken Sie daran - root (und jeder Admin-Benutzer, der sudo kennt) hat die vollständige Kontrolle über das System und kann jeden Schutz, der von root festgelegt wurde, löschen und entfernen. Die Verschlüsselung mit einem eindeutigen Passwort ist die einzige Methode, um zu verhindern, dass root die Dateien, auf die es leicht zugreifen kann, tatsächlich sinnvoll erkennt.

Ich habe dies dem Fragesteller bereits erwähnt und auch vorgeschlagen, su zu deaktivieren oder sudoers zu bearbeiten. Ich wurde mit zwei negativen Stimmen belohnt. Anscheinend ist nur das Durchsuchen von Benutzerhomes wichtig.
Ihre Tipps sind großartig - ich würde es gerne ungelöscht sehen. Ich möchte nicht, dass Ihr Repräsentant darunter leidet, aber ich hätte dafür gestimmt, und es enthält FANTASTISCHE Informationen, die im Laufe der Zeit viel mehr positive Stimmen erhalten sollten als der anfängliche Ansturm von negativen. Aber Ihr Anruf.
Nur damit Sie es wissen – die Reputation wird ständig neu berechnet (täglich, wenn Sie dies nicht tun, indem Sie /recalculate am Ende Ihrer Konto-URL hinzufügen) – wenn Sie eine Antwort löschen, verlieren Sie alle Punkte, die Sie davon erhalten haben, aber Sie auch verlorene Punkte wiedererlangen. Ich würde sagen, gib ihm eine Woche und tue, was sich richtig anfühlt ...

Wie Sie wissen, kann der Root-Benutzer alles rückgängig machen, was ein anderer Administrator/Root tut, aber da alle Aufrufe sudoprotokolliert werden, können Sie dies verwenden, um den Zugriff abzuschrecken und zu erkennen. Wenn Sie nur das untätige Kopieren/Browsen unterbinden müssen, beschränkt der folgende Befehl den Zugriff auf alle außer dem Root-Benutzer und dem Besitzer des Verzeichnisses.

sudo chmod go-rx /Users/username

Sofern Sie den Mac nicht physisch zurückhalten (um den Zugriff auf das Innere zu verhindern) und ein Firmware-Passwort verwenden, um das Booten von einem alternativen Betriebssystem zu verhindern, bei dem der "böse Schauspieler" alle Kontobeschränkungen und -berechtigungen umgehen kann, müssen Sie die Installation in Betracht ziehen Truecrypt oder ein anderes aktuelles Verschlüsselungstool. Es hat eine Fülle von Optionen zum Verschlüsseln von Dateien, Ordnern, ganzen Festplatten usw.

Weitere Härtungstipps finden Sie auch in diesem NSA-Dokument:

http://www.nsa.gov/ia/_files/factsheets/macosx_hardening_tips.pdf

Der Vorteil gegenüber dem alten Filevault besteht darin, dass es in Zukunft wahrscheinlicher unterstützt wird und alle Ihre Verschlüsselungseier nicht nur mit Filevault in Apples Warenkorb gespeichert werden.

Das funktioniert nicht, wenn einer der Benutzer über Administratorrechte verfügt, da er mit sudo zu root und dann mit su zum Konto eines anderen Benutzers wechseln kann.
Ja, ich habe es gerade probiert. sudo chmod go-rx /Users/usernamedann sudo -sdann su - usernameund ich kann alle Dateien im Konto dieses Benutzers sehen.
Natürlich kann root alles sehen, was root versteckt hat. Ich werde den Beitrag von ioi bearbeiten, um das klarer zu machen :-) Der Grund, warum Root deaktiviert ist, ist, dass es ein Protokoll von allen gibt, die Root werden. Sie können diese Protokolle in den meisten Fällen prüfen, in denen Sie den Personen vertrauen, sie aber daran erinnern möchten, sich um ihre eigenen Angelegenheiten zu kümmern. Der NSA-Artikel / Truecrypt eignen sich hervorragend für Fälle, in denen Sie dieses Vertrauen nicht haben und sich einen Verstoß nicht leisten können - selbst wenn Sie später davon erfahren.
Schützen Sie jedes Benutzerkonto in Lion?
AntwortenHierDatenschutz-Bestimmungen1y, 0v