1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

TrueCrypt und sudo-Rechte, sudo notwendig beim Anlegen?

Dieses Thema im Forum "macOS & OS X" wurde erstellt von SilentCry, 27.01.09.

  1. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Hallo Verschlüsselungsfreunde.
    SW-Stände: TC 6.1a, Leopard.
    Ich teste gerade, ob TrueCrypt auf OS X jetzt so weit ist, dass man es produktiv einsetzen kann und erstaune schon beim ersten Schritt: Ich will eine USB-Platte komplett verschlüsseln. Aber ich scheitere, denn wenn ich "Select Device" drücke will er ein Passwort. Ich gebe ihm das Admin-PWD aber da er keine UserID verlangt versucht er, mit meinem angemeldeten User ein sudo zu machen. Das geht natürlich nicht, mein User ist selbstredend nicht in der sudoers-Liste.

    Meine Frage nun an Euch: Obwohl ich das zwar nicht glaube aber: Mache ich irgendwas falsch oder kann man tatsächlich nur als angemeldeter Admin Volumes verschlüsseln? Oder muss ich meinen User in die sudoers eintragen? Dann muss ich aber erst ein Jahr lang erforschen, welche Sicherheitsrisiken ich damit eingehe.
     
  2. Klaffi

    Klaffi Prinzenapfel

    Dabei seit:
    17.12.07
    Beiträge:
    544
    Ja, leider muß man hierfür unter OS X genauso Adminrechte haben, wie unter Windows.
    Bei 6.0 konnten übrigens alle angemeldeten Benutzer das gemountete Laufwerk lesen (bei 6.1a weiß ich es nicht).
    TrueCrypt hat also schon deutliche Schwächen.
     
  3. gbyte

    gbyte Gelbe Schleswiger Reinette

    Dabei seit:
    07.04.07
    Beiträge:
    1.750
    Selbiges Problem habe ich auch feststellen müssen. Was der Grund dafür ist, das TrueCrypt erst mal wieder ausgelagert wurde. Ich will jedenfalls keinen der User in die sudoers-Liste aufnehmen. Allerdings kann man ja jedem User eine verschlüsselte Festplatte oder einen verschlüsselten USB-Stick zur verfügung stellen. Ein- und ausbinden gehen ja. Nur eben das erstellen der Images ging bei mir nur über den Weg das Programm über das Terminal mit einem entsprechenden Nutzer zu starten.

    Gruß,

    GByte
     
  4. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Danke für die Antworten. Bin einmal froh, dass ich nichts übersehen habe. Unfroh, dass das so schlecht integriert ist in OS X. Die Abfrage nach Admin-Rechten sehe ich ja (bedingt) noch ein, aber dann bitte OS X-typisch als "Admin ID und Admin PWD"-Fenster.
    Ich habe jetzt den schnellen Bentutzerwechsel aktiviert und während ich das hier tippe formatiert der Adminaccount in der "zweiten Sitzung" die USB-Platte.
    Ich finde es zwar wenig elegant, eine komplette Sitzung inkl. Desktop öffnen zu müssen, damit ich eine Platte verschlüsseln kann, aber bitte, man will ja nicht kleinlich sein :.)

    Also, danke nochmals!

    Edit: Für ein Firmenenvironment muss das überhaupt schlimm sein. Der Anwender kann sich ohne Admin-Support kein eigenes Device anlegen. Und auf Firmenrechnern kann man nicht voraussetzen, dass der Anwender den Adminaccount nutzen kann. Naja, zum Glück nicht mein Problem (wäre nichtmal in meiner Firma eines, denn die Winkisten dort laufen alle mit Adminuser, unsere IT tut sich das nicht an, Windows als User betreiben zu wollen - die wissen warum.)
     
  5. gbyte

    gbyte Gelbe Schleswiger Reinette

    Dabei seit:
    07.04.07
    Beiträge:
    1.750
    Du brauchst keine komplette Sitzung dafür.

    Gehe zu dem Client-Rechner und öffne ein Terminal. Melde Dich per:
    Code:
    su [I]AdminUser[/I]
    mit einem AdminUser, der in der sudoers-Liste vertreten ist, an. Nun kannst Du Dir mit einem:
    Code:
    sudo su
    die root-Rechte aneignen auch wenn der User root selbst nicht aktiviert wurde.
    Danach noch das Programm mit:
    Code:
    /Applications/TrueCrypt.app/Contents/MacOS/TrueCrypt
    aufrufen und es läuft übergansweise unter root-Rechten.

    Gruß,

    GByte
     
  6. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Hi, danke. Ja, ich weiss mit dem Terminal umzugehen, ich wollte heute nur nicht. Bin im Krankenstand weil mein Unterkiefer geschwollen ist wie das Ego von George W. Daher bin ich unlustig, am Terminal rumzutippen und mir zu überlegen ob ich su mit oder ohne "-" machen soll, wegen des Environments, das er dann entweder vom User oder eben vom ge-su-ten Admin nehmen soll--- sch. Schmerzmittel und Antibiotika machen mich immer schon unkonzentriert und launisch.
    Vielleicht tatsächlich nicht die beste Idee, in dem Zustand mit neuer Verschlüsselungsmethodik zu experimentieren aber ich will mich ablenken.
    Danke jedenfalls!
     
  7. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Darf ich Dich nochmal belästigen... Wie meinst Du das mit "ein- und ausbinden"? Ich habe nämlich jetzt genau das Problem: Wenn ich die USB-Disk, die ich komplett als Partition verschlüsselt habe, einbinden will müsste ich auf "Select Device" gehen. Dann aber kommt wieder diese idiotische Passwortabfrage und die Meldung dass mein User nicht im sudoers File steht.

    Irgend eine Idee?

    Langsam glaube ich, ich kauf mir doch lieber PGP-Desktop. Ich finde ja toll, dass TC gratis ist aber ich würde lieber Geld bezahlen und dafür was Durchdachtes bekommen und nicht so einen Pfusch, sorry, aber das ist doch nicht wahr, dass die Entwickler von TC annehmen, auf OS X werkelt jeder wie beim Deppenwindows als angemeldeter Admin rum.

    Edit: Ich glaube, Du nutzt Containerfiles und nicht verschlüsselte Gesamtpartitionen. Richtig? Ich glaube ich muss den Useraccount ins sudoers eintragen, zumindest damit er TC aufrufen darf. Super - ein Sicherheitsprogramm das gleich mal die Sicherheit gefährdet.
     
  8. wolfsbein

    wolfsbein Jerseymac

    Dabei seit:
    29.06.05
    Beiträge:
    448
    Jeder nicht. Es ist aber zu befuerchten, dass es jenseits der 90% sind. Oder warum glaubst du jemand der einen Computer kauft, weil er "out of the box" funkioniert sich einen zweiten Account mit eingeschraenkten Rechten einrichtet?
     
    Walli gefällt das.
  9. gbyte

    gbyte Gelbe Schleswiger Reinette

    Dabei seit:
    07.04.07
    Beiträge:
    1.750
    Stimmt, es geht nicht mehr ohne Admin-Rechte. Ich bin mir sicher das es funktioniert hatte. Ich habe hier keine Containerfiles drauf, der Stick ist komplett verschlüsselt. Ich kann ihn jetzt nicht mehr ohne su zu bemühen einbinden. Das war's ... TrueCrypt hat hier vorerst verloren.

    Gruß,

    GByte

    [EDIT]

    Auf unseren XP-Kisten kann ich den voll-verschlüsselten Stick allerdings mit TrueCrypt einbinden. Dort bin ich als nicht-Admin unterwegs, erstellen geht auch unter Windows nur als Admin. Sehr suspekt.

    [/EDIT]
     
    #9 gbyte, 27.01.09
    Zuletzt bearbeitet: 27.01.09
  10. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Hm. Ich würde TC trotzdem gerne mal antesten für den richtigen Betrieb.
    Daher habe ich mal einen Bugreport auf truecrypt.org ausgefüllt.
     
  11. keen

    keen Boskop

    Dabei seit:
    20.11.06
    Beiträge:
    207
  12. gbyte

    gbyte Gelbe Schleswiger Reinette

    Dabei seit:
    07.04.07
    Beiträge:
    1.750
    Das ist die Schnelllösung für den normalen Weg den man sonst über das Festplatten-Dienstprogramm geht. Im Bezug zu TrueCrypt ist hier der Nachteil, das es lediglich für den Mac ist und nicht plattformübergreifend funktioniert.

    Gruß,

    GByte
     
    keen gefällt das.
  13. keen

    keen Boskop

    Dabei seit:
    20.11.06
    Beiträge:
    207
    Gutes Argument, das hätte ich jetzt völlig übersehen.
     
  14. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Ein weiterer Nachteil ist, dass es Images erzeugt und nicht komplette Partitionen verschlüsselt, die dann nicht erkennbar sind ob sie nur leere (externe USB-) Festplatten sind oder eben verschlüsselte.
     

Diese Seite empfehlen