TrueCrypt und sudo-Rechte, sudo notwendig beim Anlegen?

SilentCry · 27.01.09

Hallo Verschlüsselungsfreunde.
SW-Stände: TC 6.1a, Leopard.
Ich teste gerade, ob TrueCrypt auf OS X jetzt so weit ist, dass man es produktiv einsetzen kann und erstaune schon beim ersten Schritt: Ich will eine USB-Platte komplett verschlüsseln. Aber ich scheitere, denn wenn ich "Select Device" drücke will er ein Passwort. Ich gebe ihm das Admin-PWD aber da er keine UserID verlangt versucht er, mit meinem angemeldeten User ein sudo zu machen. Das geht natürlich nicht, mein User ist selbstredend nicht in der sudoers-Liste.

Meine Frage nun an Euch: Obwohl ich das zwar nicht glaube aber: Mache ich irgendwas falsch oder kann man tatsächlich nur als angemeldeter Admin Volumes verschlüsseln? Oder muss ich meinen User in die sudoers eintragen? Dann muss ich aber erst ein Jahr lang erforschen, welche Sicherheitsrisiken ich damit eingehe.

Klaffi · 27.01.09

Ja, leider muß man hierfür unter OS X genauso Adminrechte haben, wie unter Windows.
Bei 6.0 konnten übrigens alle angemeldeten Benutzer das gemountete Laufwerk lesen (bei 6.1a weiß ich es nicht).
TrueCrypt hat also schon deutliche Schwächen.

gbyte · 27.01.09

Selbiges Problem habe ich auch feststellen müssen. Was der Grund dafür ist, das TrueCrypt erst mal wieder ausgelagert wurde. Ich will jedenfalls keinen der User in die sudoers-Liste aufnehmen. Allerdings kann man ja jedem User eine verschlüsselte Festplatte oder einen verschlüsselten USB-Stick zur verfügung stellen. Ein- und ausbinden gehen ja. Nur eben das erstellen der Images ging bei mir nur über den Weg das Programm über das Terminal mit einem entsprechenden Nutzer zu starten.

Gruß,

GByte

SilentCry · 27.01.09

Danke für die Antworten. Bin einmal froh, dass ich nichts übersehen habe. Unfroh, dass das so schlecht integriert ist in OS X. Die Abfrage nach Admin-Rechten sehe ich ja (bedingt) noch ein, aber dann bitte OS X-typisch als "Admin ID und Admin PWD"-Fenster.
Ich habe jetzt den schnellen Bentutzerwechsel aktiviert und während ich das hier tippe formatiert der Adminaccount in der "zweiten Sitzung" die USB-Platte.
Ich finde es zwar wenig elegant, eine komplette Sitzung inkl. Desktop öffnen zu müssen, damit ich eine Platte verschlüsseln kann, aber bitte, man will ja nicht kleinlich sein :.)

Also, danke nochmals!

Edit: Für ein Firmenenvironment muss das überhaupt schlimm sein. Der Anwender kann sich ohne Admin-Support kein eigenes Device anlegen. Und auf Firmenrechnern kann man nicht voraussetzen, dass der Anwender den Adminaccount nutzen kann. Naja, zum Glück nicht mein Problem (wäre nichtmal in meiner Firma eines, denn die Winkisten dort laufen alle mit Adminuser, unsere IT tut sich das nicht an, Windows als User betreiben zu wollen - die wissen warum.)

gbyte · 27.01.09

SilentCry schrieb:
Danke für die Antworten. Bin einmal froh, dass ich nichts übersehen habe. Unfroh, dass das so schlecht integriert ist in OS X. Die Abfrage nach Admin-Rechten sehe ich ja (bedingt) noch ein, aber dann bitte OS X-typisch als "Admin ID und Admin PWD"-Fenster.
Ich habe jetzt den schnellen Bentutzerwechsel aktiviert und während ich das hier tippe formatiert der Adminaccount in der "zweiten Sitzung" die USB-Platte.
Ich finde es zwar wenig elegant, eine komplette Sitzung inkl. Desktop öffnen zu müssen, damit ich eine Platte verschlüsseln kann, aber bitte, man will ja nicht kleinlich sein :.)

Also, danke nochmals!

Edit: Für ein Firmenenvironment muss das überhaupt schlimm sein. Der Anwender kann sich ohne Admin-Support kein eigenes Device anlegen. Und auf Firmenrechnern kann man nicht voraussetzen, dass der Anwender den Adminaccount nutzen kann. Naja, zum Glück nicht mein Problem (wäre nichtmal in meiner Firma eines, denn die Winkisten dort laufen alle mit Adminuser, unsere IT tut sich das nicht an, Windows als User betreiben zu wollen - die wissen warum.)

Du brauchst keine komplette Sitzung dafür.

Gehe zu dem Client-Rechner und öffne ein Terminal. Melde Dich per:

Code:

su [I]AdminUser[/I]

mit einem AdminUser, der in der sudoers-Liste vertreten ist, an. Nun kannst Du Dir mit einem:

Code:

sudo su

die root-Rechte aneignen auch wenn der User root selbst nicht aktiviert wurde.
Danach noch das Programm mit:

Code:

/Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt

aufrufen und es läuft übergansweise unter root-Rechten.

Gruß,

GByte

SilentCry · 27.01.09

Hi, danke. Ja, ich weiss mit dem Terminal umzugehen, ich wollte heute nur nicht. Bin im Krankenstand weil mein Unterkiefer geschwollen ist wie das Ego von George W. Daher bin ich unlustig, am Terminal rumzutippen und mir zu überlegen ob ich su mit oder ohne "-" machen soll, wegen des Environments, das er dann entweder vom User oder eben vom ge-su-ten Admin nehmen soll--- sch. Schmerzmittel und Antibiotika machen mich immer schon unkonzentriert und launisch.
Vielleicht tatsächlich nicht die beste Idee, in dem Zustand mit neuer Verschlüsselungsmethodik zu experimentieren aber ich will mich ablenken.
Danke jedenfalls!

SilentCry · 27.01.09

gbyte schrieb:
SEin- und ausbinden gehen ja. Nur eben das erstellen der Images ging bei mir nur über den Weg das Programm über das Terminal mit einem entsprechenden Nutzer zu starten.

Darf ich Dich nochmal belästigen... Wie meinst Du das mit "ein- und ausbinden"? Ich habe nämlich jetzt genau das Problem: Wenn ich die USB-Disk, die ich komplett als Partition verschlüsselt habe, einbinden will müsste ich auf "Select Device" gehen. Dann aber kommt wieder diese idiotische Passwortabfrage und die Meldung dass mein User nicht im sudoers File steht.

Irgend eine Idee?

Langsam glaube ich, ich kauf mir doch lieber PGP-Desktop. Ich finde ja toll, dass TC gratis ist aber ich würde lieber Geld bezahlen und dafür was Durchdachtes bekommen und nicht so einen Pfusch, sorry, aber das ist doch nicht wahr, dass die Entwickler von TC annehmen, auf OS X werkelt jeder wie beim Deppenwindows als angemeldeter Admin rum.

Edit: Ich glaube, Du nutzt Containerfiles und nicht verschlüsselte Gesamtpartitionen. Richtig? Ich glaube ich muss den Useraccount ins sudoers eintragen, zumindest damit er TC aufrufen darf. Super - ein Sicherheitsprogramm das gleich mal die Sicherheit gefährdet.

wolfsbein · 27.01.09

SilentCry schrieb:
... ist doch nicht wahr, dass die Entwickler von TC annehmen, auf OS X werkelt jeder wie beim Deppenwindows als angemeldeter Admin rum....

Jeder nicht. Es ist aber zu befuerchten, dass es jenseits der 90% sind. Oder warum glaubst du jemand der einen Computer kauft, weil er "out of the box" funkioniert sich einen zweiten Account mit eingeschraenkten Rechten einrichtet?

gbyte · 27.01.09

SilentCry schrieb:
Darf ich Dich nochmal belästigen... Wie meinst Du das mit "ein- und ausbinden"? Ich habe nämlich jetzt genau das Problem: Wenn ich die USB-Disk, die ich komplett als Partition verschlüsselt habe, einbinden will müsste ich auf "Select Device" gehen. Dann aber kommt wieder diese idiotische Passwortabfrage und die Meldung dass mein User nicht im sudoers File steht.

Irgend eine Idee?

Langsam glaube ich, ich kauf mir doch lieber PGP-Desktop. Ich finde ja toll, dass TC gratis ist aber ich würde lieber Geld bezahlen und dafür was Durchdachtes bekommen und nicht so einen Pfusch, sorry, aber das ist doch nicht wahr, dass die Entwickler von TC annehmen, auf OS X werkelt jeder wie beim Deppenwindows als angemeldeter Admin rum.

Edit: Ich glaube, Du nutzt Containerfiles und nicht verschlüsselte Gesamtpartitionen. Richtig? Ich glaube ich muss den Useraccount ins sudoers eintragen, zumindest damit er TC aufrufen darf. Super - ein Sicherheitsprogramm das gleich mal die Sicherheit gefährdet.

Stimmt, es geht nicht mehr ohne Admin-Rechte. Ich bin mir sicher das es funktioniert hatte. Ich habe hier keine Containerfiles drauf, der Stick ist komplett verschlüsselt. Ich kann ihn jetzt nicht mehr ohne su zu bemühen einbinden. Das war's ... TrueCrypt hat hier vorerst verloren.

Gruß,

GByte

[EDIT]

Auf unseren XP-Kisten kann ich den voll-verschlüsselten Stick allerdings mit TrueCrypt einbinden. Dort bin ich als nicht-Admin unterwegs, erstellen geht auch unter Windows nur als Admin. Sehr suspekt.

[/EDIT]

SilentCry · 28.01.09

Hm. Ich würde TC trotzdem gerne mal antesten für den richtigen Betrieb.
Daher habe ich mal einen Bugreport auf truecrypt.org ausgefüllt.

keen · 28.01.09

Was haltet ihr von http://www.freemacsoft.net/SecureFiles/ ?

gbyte · 28.01.09

keen schrieb:
Was haltet ihr von http://www.freemacsoft.net/SecureFiles/ ?

Das ist die Schnelllösung für den normalen Weg den man sonst über das Festplatten-Dienstprogramm geht. Im Bezug zu TrueCrypt ist hier der Nachteil, das es lediglich für den Mac ist und nicht plattformübergreifend funktioniert.

Gruß,

GByte

keen · 28.01.09

gbyte schrieb:
Das ist die Schnelllösung für den normalen Weg den man sonst über das Festplatten-Dienstprogramm geht. Im Bezug zu TrueCrypt ist hier der Nachteil, das es lediglich für den Mac ist und nicht plattformübergreifend funktioniert.

Gutes Argument, das hätte ich jetzt völlig übersehen.

SilentCry · 29.01.09

Ein weiterer Nachteil ist, dass es Images erzeugt und nicht komplette Partitionen verschlüsselt, die dann nicht erkennbar sind ob sie nur leere (externe USB-) Festplatten sind oder eben verschlüsselte.

Suche

Suche

TrueCrypt und sudo-Rechte, sudo notwendig beim Anlegen?

SilentCry

deaktivierter Benutzer

Klaffi

Prinzenapfel

gbyte

Gelbe Schleswiger Reinette

SilentCry

deaktivierter Benutzer

gbyte

Gelbe Schleswiger Reinette

SilentCry

deaktivierter Benutzer

SilentCry

deaktivierter Benutzer

wolfsbein

Jerseymac

gbyte

Gelbe Schleswiger Reinette

SilentCry

deaktivierter Benutzer

keen

Boskop

gbyte

Gelbe Schleswiger Reinette

keen

Boskop

SilentCry

deaktivierter Benutzer

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)