Ich habe File Vault in Lion auf einem gemeinsam genutzten Computer mit mehreren Benutzerkonten aktiviert. Ist es möglich, jedes Benutzer-Home-Verzeichnis so zu verschlüsseln, dass andere Benutzer nicht auf ihre Daten zugreifen können? So wie es aussieht, kann ich auf das Terminal gehen und (mit sudo
) auf alle Dateien in allen Konten zugreifen. Das möchte ich gerne verhindern.
Es ist einfacher, jeden Benutzer seine privaten Informationen in verschlüsselten Disk-Images speichern zu lassen, da die alte Filevault (1)-Methode zum Verschlüsseln des gesamten Home-Ordners nicht etwas ist, das Sie mit einfachen Tools auf Lion einrichten können.
Lion unterstützt es immer noch, sodass Sie in ein Shell-System migrieren können, das die erforderlichen Konten für die Verwendung von File Vault eingerichtet hat, dann das Laufwerk verschlüsseln und schließlich die Dateien von einem externen Backup-Laufwerk verschieben und vermutlich beide das Legacy-Filevault-Speicherschema haben sowie das neue Schema, bei dem die gesamte Festplatte nicht verfügbar ist, bis das Laufwerkskennwort eingegeben wird.
Denken Sie daran - root (und jeder Admin-Benutzer, der sudo kennt) hat die vollständige Kontrolle über das System und kann jeden Schutz, der von root festgelegt wurde, löschen und entfernen. Die Verschlüsselung mit einem eindeutigen Passwort ist die einzige Methode, um zu verhindern, dass root die Dateien, auf die es leicht zugreifen kann, tatsächlich sinnvoll erkennt.
Wie Sie wissen, kann der Root-Benutzer alles rückgängig machen, was ein anderer Administrator/Root tut, aber da alle Aufrufe sudo
protokolliert werden, können Sie dies verwenden, um den Zugriff abzuschrecken und zu erkennen. Wenn Sie nur das untätige Kopieren/Browsen unterbinden müssen, beschränkt der folgende Befehl den Zugriff auf alle außer dem Root-Benutzer und dem Besitzer des Verzeichnisses.
sudo chmod go-rx /Users/username
Sofern Sie den Mac nicht physisch zurückhalten (um den Zugriff auf das Innere zu verhindern) und ein Firmware-Passwort verwenden, um das Booten von einem alternativen Betriebssystem zu verhindern, bei dem der "böse Schauspieler" alle Kontobeschränkungen und -berechtigungen umgehen kann, müssen Sie die Installation in Betracht ziehen Truecrypt oder ein anderes aktuelles Verschlüsselungstool. Es hat eine Fülle von Optionen zum Verschlüsseln von Dateien, Ordnern, ganzen Festplatten usw.
Weitere Härtungstipps finden Sie auch in diesem NSA-Dokument:
http://www.nsa.gov/ia/_files/factsheets/macosx_hardening_tips.pdf
Der Vorteil gegenüber dem alten Filevault besteht darin, dass es in Zukunft wahrscheinlicher unterstützt wird und alle Ihre Verschlüsselungseier nicht nur mit Filevault in Apples Warenkorb gespeichert werden.
sudo chmod go-rx /Users/username
dann sudo -s
dann su - username
und ich kann alle Dateien im Konto dieses Benutzers sehen.
Matteo
root
dass Nutzer-Homes angezeigt werden? Oder möchten Sie verhindern, dass andere Benutzer Root-Rechte erhalten?Olli
root
, es sei denn, sie kannten das zu entschlüsselnde Passwort. Ich nehme an, das ist nicht möglich?Matteo