1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Sicherheit: TrueCrypt als User verwenden

Dieses Thema im Forum "macOS & OS X" wurde erstellt von SilentCry, 24.02.09.

  1. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Freunde der Sicherheit.
    Prolog:
    Ich will mich nicht lange mit dem Vorwort aufhalten, wie miserabel die Lage für MacUser ist, was Sicherheit aus dem Hause Apple betrifft. Speziell Lösungen wie hardwareverschlüsselnde Drives sind praktisch inexistent, der Markt für Full-HDD-Encryption ist von nur zwei Alternativen (PGP Desktop und Endpoint Full HDD Encryption for OS X) besiedelt und vom Rest... naja, dank MacMark wissen wir wenigstens, wie wir in Handarbeit eine Sanbox für einen Browser oder andere Anwendung erstellen können.

    Zum Thema:
    TrueCrypt ist eine fantastische Lösung. Ich finde bei Sicherheitsprodukten die Transparenz besonders wichtig. Leider kann TC auf OS X nicht, was es auf Windows kann. Für Full HDD-Encryption mit Preboot-Authentication gibt es (wenige aber doch) andere Lösungen. Ärgerlich ist aber, dass man verschlüsselte Partitionen (wer wissen will warum das wichtig sein kann soll sich mit plausible denyability beschäftigen) nur als Admin anlegen und noch viel schlimmer: Auch mounten nur als Admin kann.

    Abhilfe schafft ein Eintrag im sudoers File.

    Das sudoers File liegt in /etc

    Man starte ein Terminal (Dienstprogramme)
    Zuerst macht man sich zum Admin: su - admin
    Das Passwort wird gefragt

    Danach wechselt man mit: cd /etc
    in das /etc Verzeichnis (muss man nicht, aber zur Kontrolle)

    Dort tippt man dann: su visudo
    (Passwort).

    Jetzt kommt der haarige Teil, denn eine nicht sterben wollende Scheußlichkeit aus den Untiefen der Unix-Vergangenheit erscheint: Ein vi. "visual integrated" heisst diese Bestie. Der Schrecken meines Studiums. Zum Glück brauchen wir den nur kurz.

    Das File ist offen. Wir bewegen uns mit den Cursortasten an das Ende. Ganz an das Ende. Keine Experimente, der vi interpretiert alles und das grundsätzlich falsch.
    Wir stehen also AM ENDE der Zeile:
    # %users localhost=/sbin/shutdown -h now
    Da drücken wir a
    Nur a
    nichts sonst!
    Es entsteht ein fettes -INSERT- am Ende des Schirms. vi gestattet uns nun zu tippen.

    Mit einem ENTER erzeugen wir eine neue Zeile, in die wir folgendes schreiben:
    XXX YYYYYYYYY = NOPASSWD: /Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt
    wobei XXX natürlich Euer Username ist und YYYYYYYYY Euer Rechnername. Nein, localhost geht nicht. Bei mir zumindest PFEIFT er mir was.
    Also zum Beispiel:
    heinzi hundehuette = NOPASSWD: /Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt

    So, wie bringt man diesen mistigen vi nun zum Speichern?
    man drückt EINMAL die ESC-Taste. Nur einmal.
    Dann :w ENTER
    Nur :w ENTER
    danach :q ENTER

    INTERMEZZO für Vertipper:
    Sollten wir uns irgendwo vertippt haben, keine Korrekturen versuchen, der vi ist kein Editor, er ist ein spätindustrielles Folterinstrument für Vollkomatöse mit gallopierender Impotenz. Wirklich, ich kenne NUR Studienkollegen, die den vi mögen die eine nackte Frau nicht mal dann erkennen, wenn sie sich ihnen auf das Gesicht setzte oder MAMA zu ihnen sagen würde. Das nur um zu erklären: Jeder, der denkt, der vi ist der allerletzte Dreck ist völlig normal.

    Also, was machen wir wenn wir uns vertippen? Wir drücken EINMAL ESC und dann :q! ENTER
    (ja, richtig: Doppelpunkt Ku Rufzeichen ENTER, ist doch ganz einleuchtend, dass das Schließen ohne Speichern heisst, oder?) Dann nochmal von vorne.


    Um zu testen, ob dieser wertvolle vi auch alles gespeichert hat, schreiben wir cat sudoers
    Da sollte dann als letzte Zeile unsere stehen.

    EDIT:
    Truecrypt rufen wir dann zukünftig auf indem wir wieder im Terminal (als ganz normaler User) schreiben
    sudo /Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt
    Man kann das ganze auch als Script machen, vielleicht hänge ich das später mal hier an, ich habe grade nicht im Kopf wie das geht !#/bin/bash glaube ich oder so...

    EDIT:
    Obiges braucht man nicht zu tun. Das ganz normale Icon von TC (ich habe es in der Startleiste) benutzt das passwortlose sudo des Anwenders automatisch bei "select device". Es geht also nach dem Einrichten bequemer als beschrieben, wenn man einmal das sudoers-File geändert hat.

    Epilog:
    Unbequem? Ja. Aber derzeit die einzige Möglichkeit die ich sehe, TC mit Partitionen zu verwenden.
     
    #1 SilentCry, 24.02.09
    Zuletzt bearbeitet: 25.02.09
    domai gefällt das.
  2. Zeisel

    Zeisel Spätblühender Taffetapfe

    Dabei seit:
    07.08.07
    Beiträge:
    2.810
    Ich habe ein externes Laufwerk für Sicherheitskopien wichtiger Daten (lagert bei einem Freund) mit TrueCrypt verschlüsselt. Dass ich mich dafür als Admin einloggen muss hat mich zwar auch gewundert, aber um das zu ändern werde ich nicht in die Tiefen des Betriebssystems absteigen. Mich für das Mounten als Admin einzuloggen finde ich unproblematisch. Zurück in meinen Benutzeraccount (ohne Admin-Rechte) kann ich dann problemlos auf das Laufwerk schreiben. Das mache ich maximal wöchentlich.
     
  3. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Das Problem damit ist, dass Du es dann nicht als User dismounten kannst. Somit ist ein schneller Dismount unmöglich. Auch ein Dismount mit einem Script, das zuschlagen soll, wenn das MB in Sleep geht (SleepWatcher) geht dann nicht (einfach).
     
  4. Zeisel

    Zeisel Spätblühender Taffetapfe

    Dabei seit:
    07.08.07
    Beiträge:
    2.810
    Dennoch bereitet mir Deine Methode Unbehagen. Dazu kenne ich mich in diesen Tiefen des Betriebssystems (und das fängt für mich mit dem Aufruf des Terminal bereits an) zu wenig aus. Ich bin User und möchte auf einer graphischen Oberfläche bleiben. FileVault wäre für mich die einzige Methode, meinen kompletten Benutzer zu verschlüsseln. Verschlüsselte Images verwende ich für sensible Daten. TrueCrypt für meinen USB-Stick, um Daten Windows-tauglich verschlüsselt zu transportieren, und für eine Festplatte, auf der ich Backups mache und die außerhalb meiner Räumlichkeiten lagert. Nur für letztere muss ich mich, um sie zu mounten, als Admin einloggen.

    Um täglich mit verschlüsselten Festplatten (Partitionen) zu arbeiten ist Deine Methode sicher eine gute Lösung. Nur ist sie für die meisten Benutzer nicht praktikabel. Das notwendige Einloggen als Admin, um sie zu mounten, wird doch irgendeinen Grund haben - der sicher in OS X selbst begründet liegt (dazu würde mich MacMarks Kommentar interessieren!). Wenn nicht, dann werde ich hoffen, dass Deine Methode von den TrueCrypt-Entwicklern mit einem Update einmal überflüssig gemacht wird (was sicher auch in Deinem Sinne ist).
     
  5. wolfsbein

    wolfsbein Jerseymac

    Dabei seit:
    29.06.05
    Beiträge:
    448
    Das soll auch keine Methode fuer den Normalsterblichen sein, sondern ein Workaround, bis der Bug bereinigt ist.
     
  6. s0f4surf3r

    s0f4surf3r Langelandapfel

    Dabei seit:
    09.09.08
    Beiträge:
    2.689
    sry wenn jetzt ne absolute noob-Frage kommt, aber warum seid ihr nicht immer Admin? Also wenn ich zB meinen Mac auspacke, will er ja, dass ich dem Rechner nen Namen gebe. Das habe ich gemacht und sonst hab ich kein Benutzer angelegt. Also bin ich immer als Admin drinne oder? Root ist nochmal was anderes, das weiß ich inzwischen. Aber wenn ich kein Admin bin, dann könnte ich ja nicht mal ohne weiteres ein Update oder ein Programm installieren (denn da fragt er mich nach meinem Passwort). Oder bin ich gerade auf dem Holzweg?
    Mich interessiert die Sache mit TC. Habe das früher unter Windows immer benutzt und will es auch wieder tun.
     
  7. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Als Admin generell hat man einfach zu viele Rechte. Schau mal auf die Seite von MacMark
     
  8. s0f4surf3r

    s0f4surf3r Langelandapfel

    Dabei seit:
    09.09.08
    Beiträge:
    2.689
    hmm ich kann da jetzt in der Inhaltsübersicht nichts finden. Generell ist es mir meistens zu kompliziert was der gute da schreibt... leider. Will eigentlich nur wissen, ob ich

    1. als normaler Benutzer dann mit Passworteingabe trotzdem noch Programme installieren oder Sys-Updates machen kann. Oder muss ich mich dann extra abmelden und mich als admin anmelden?

    2. Angenommen ich würde jetzt nen neuen Benutzer anlegen, könnte ich mit dem auf alle Programme/Bilder/Musik/Bookmarks/mein eingerichtetes Mail/ical etc. etc. ganz normal zugreifen?

    wenn beide Fragen mit ja beantwortet werden würden, dann seh ich keinen Unterschied zw. Admin und Benutzer und ich würde das auf jeden fall machen. Denke aber eher 1. nein und 2. ja
     
  9. Zeisel

    Zeisel Spätblühender Taffetapfe

    Dabei seit:
    07.08.07
    Beiträge:
    2.810
    Bist Du. Willst Du etwas aktualisieren/installieren/löschen oder irgendetwas machen, für das Du Admin-Rechte brauchst, dann kommt eine entsprechende Box, in die gibst Du dann den Admin-Namen und sein Passwort ein.

    Ausnahmen:
    • TrueCrypt (Partitionen/Laufwerke kannst Du vom Admin aus mounten und dann als normaler Benutzer verwenden, schneller Benutzerwechsel vorausgesetzt, normale Container funktionieren auch mit eingeschränkten Benutzerrechten)
    • EyeTV (Dein normaler Benutzer muss für die Einstellung der Programme vorübergehend Admin-Rechte bekommen)
    • Fernbedienung koppeln (geht nur mit einem Admin-Account)
    • und sicher noch ein par Dinge mehr
     
  10. Zeisel

    Zeisel Spätblühender Taffetapfe

    Dabei seit:
    07.08.07
    Beiträge:
    2.810
    Lege einen neuen Benutzer mit Admin-Rechten an und entziehe anschließend Deinem jetzigen Benutzer die Admin-Rechte - fertig. Ganz einfach und in 2 Minuten erledigt. Aber bitte dem Admin ein anderes Passwort geben ;)
     
  11. s0f4surf3r

    s0f4surf3r Langelandapfel

    Dabei seit:
    09.09.08
    Beiträge:
    2.689
    ok jetzt bin ich noch mehr verwirrt! Es ist ja im Moment so, dass diese Passwortabfrage immer kommt wenn ich was installiere. Bin ich also gar kein admin? Wo seh ich denn was ich bin. Oh Gott ich hab ne Seinskrise :D ... ich bring mir das auch gerne selbst bei wenn mir jmd nen Link gibt. Hab grad versucht nach admin/root/benutzer mac osx zu googlen. Da kam nichts tolles bei raus.

    /e: ok ich bin Admin. Sehe das unter benutzer in den Syseinstellungen. Hmm was verändert sich wenn ich normaler Benutzer bin beim täglichen Arbeiten? Nachteile?
     
  12. Zeisel

    Zeisel Spätblühender Taffetapfe

    Dabei seit:
    07.08.07
    Beiträge:
    2.810
    Das siehst Du in Einstellungen - Benutzer (linke Spalte). Und wenn Dein Schlüsselbund sich nach X Minuten Inaktivität schützt (sehr löblich), dann musst Du auch Dein Passwort für viele Dinge nach X Minuten neu eingeben.

    Jezt werden wir nur langsam ein wenig Offtopic...
     
  13. s0f4surf3r

    s0f4surf3r Langelandapfel

    Dabei seit:
    09.09.08
    Beiträge:
    2.689
    ja sry für OT, hab auch was gefunden.. http://www.muspellheim.de/node/5 werde das aus Gründen der Sicherheit mal probieren mit dem neuen Benutzer ohne Admin-Rechte. Danke. Back to topic
     
  14. Technologic

    Technologic Jonagold

    Dabei seit:
    07.10.08
    Beiträge:
    22
    Ich möchte mein OSX verschlüsseln.

    Wie heißt das Programm dafür?
     
  15. awk

    awk Clairgeau

    Dabei seit:
    03.07.08
    Beiträge:
    3.687
    o_O Vielleicht genügt ja das deinen Anforderungen.
     
  16. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Deine Anforderungen dürfen aber nicht sein, Suspend to Disk (S4, gemeinhin als "Hibernation" oder "deep sleep" oder "safe sleep") bezeichnet) durchzuführen, denn das können BEIDE nicht.
    Wichtig? Ja. Denn :wenn: sie es könnten könnte man das MB anweisen, niemals Suspend to Ram (S3, gemeinhin als "Sleep" bezeichnet) sondern immer in S4 zu gehen und wäre sicher, ohne das ganze MB komplett runter fahren zu müssen, denn die Passphrase müsste vor dem Laden des "Hibernationfiles" abgefragt werden. Geht aber nicht. Unter OS X. (Unnötig zu erwähnen, dass selbst Bitlocker von Vista dazu in der Lage ist.)
     

Diese Seite empfehlen