software zum verschlüsseln einzelner ordner

[FOX]

so. nachdem ich mich nun fast den ganzen tag um dieses thema gekümmert habe, komme ich zu dem entschluss, dass "tresor" die beste applikation dafür ist!

ich werde das nun noch etwas testen und dann abwägen, ob ich dein gutes programm, lieber warlord, nutze, oder ob ich die daten lokal auf einem clientrechner speichere.

danke an alle mitwirkenden.

[mbs]

kaum war es ein paar mal an verschiedenen rechner gemountet, konnte man nichts mehr reinkopieren. fehler -10irgendwas.
die variante ist mir zu komisch und meine daten zu wichtig.

Das ist recht merkwürdig. Ich verwende diese Art der Verschlüsselung seit mehreren Jahren und hatte noch nie Probleme. War vielleicht die virtuelle Platte einfach nur voll?
Übrigens basiert Apples FileVault auf der gleichen Technik.

ein klitzekleines programm, dass ein passwort verlangt, wenn ich einen ordner anklicke. ich kann es nicht glauben, dass es sowas nicht gibt.

Kennwortschutz hast Du ja schon mit Berechtigungen. Von daher ergibt es keinen Sinn, da noch irgendein "Programm" zusätzlich benutzen zu wollen, es sei denn Du willst verschlüsseln.
Und zum Verschlüsseln gibt es ja bereits die in Mac OS X eingebaute Lösung, die ich genannt habe. Von daher wird sowas niemand neu entwickeln.

Das Ungewöhnliche an Deiner Anforderung ist ja, dass Du einen verschlüsselten Ordner für Mehrbenutzerzugriff im Netz freigeben willst. Dazu müsste Apple komplett verschlüsselte "echte" Festplatten in Mac OS X integrieren (andere Systeme können das). Wahrscheinlich gibt es das irgendwann in Mac OS X, aber im Moment geht das nicht.

Access Control Lists. Damit kann man die Zugriffrechte wesentlich feiner definieren, zumindest über's Netz, ich hab' aber nie ausprobiert, ob die auch lokal gelten.

Die gelten hauptsächlich lokal. Übers Netz gelten sie auch, wenn man das AFP- oder SMB-Protokoll nutzt. Über alle anderen Netzprotokolle (NFS, FTP, WebDAV) bleiben ACLs für die Clients unsichtbar, behalten aber natürlich trotzdem auf dem Server ihrer lokale Wirkung.

ACLs lassen sich ab Mac OS X 10.4 nutzen. Das wäre tatsächlich die einfachste Lösung, wenn man fein gegliederte Spezialrechte braucht.

arbeitet nun ein anderer mitarbeiter am server selbst, kann er die volumes natürlich durchsuchen und hat zugang zu allen files.

Oha, jetzt wird mir langsam klar, was Du mit "Mount-Berechtigungen" gemeint hast. Da höre ich einen Konfigurationsfehler heraus. Normalerweise ist es ja so, dass ein Benutzerkonto auf sämtlichen Rechnern im Netz die gleiche Gültigkeit hat. Wenn ein Benutzer A auf einem Client eine Datei nicht sehen darf, dann darf er das auf dem Server natürlich auch nicht. Von daher stellt sich dieses Problem im Normalfall eigentlich nie.

Wenn Du diesen Effekt sieht, kann das nur so zustande kommen, dass ihr offensichtlich auf jedem Rechner eigene (und damit unterschiedliche) Benutzerkonten definiert habt. (Ob Namen und Kennworte gleich sind, spielt hierbei keine Rolle). Das läuft dem Sicherheitskonzept von heutigen Systemen natürlich ziemlich zuwider. Wäre die Benutzerverwaltung korrekt nach der Philosophie von Mac OS X eingerichtet (über Verzeichnisdienste), dann müsste man nicht zu komplizierten Behelfslösungen greifen.

[MacFlieger]

Hmm, so wie ich es verstanden habe, ist doch das eigentliche Problem, daß am Server Leute mit Admin-Rechten arbeiten, die aber nicht alle Dateien sehen dürfen, oder?
Aber egal, was bezgl. der rechte oder ACL eingestellt wird, jemand mit Admin-Rechten kann per sudo doch auf alles zugreifen. Klar könnte man diesen Leuten das "sudo-Recht" entziehen, aber dann könnten die auch viele Sachen nicht machen, die sie anscheinend tun müssen, denn sonst wären sie ja keine Admins.
Richtig?

[FOX]

@mbs:
das mit dem image verstehe ich auch nicht. ich habe ein volume mit 10 GB angelegt, aber nur ca. 100 MB dort reinkopiert. nach mehrmaligem mounten auf zwei rechnern konnte ich nichts mehr dorthin kopieren, weil fehlermeldungen auftauchten.

vielleicht nochmal eine kurze erklärung, auch für macflieger, wie ich mit dem server arbeite:

die clients benutzen den server nur als datenspeicher. also reines filesharing. dokumente (layouts) werden erstellt, auf den server kopiert und andere leute können sich diese files zum weiterbearbeiten wieder hohlen. der server wird für nichts anderes verwendet! es laufen auch keine homeverzeichnisse oder maildienste am server.
am server gibt es verschiedene freigegebene volumes für die verschiedenen projekte. d.h. jeder hat mit seinem passwort zugriff auf die für ihn bestimmten volumes.

am server selbst gibt es auch ein volume, auf dem die daten (rechnungen, verträge etc.) der geschäftsleitung liegen. dieses volume kann im netz nur von den beiden GF gemountet werden.

arbeitet nun ein mitarbeiter am server direkt, weil z.b. die datensicherung ein neues band braucht, ist er dort als admin unterwegs. er muss bei retrospect ja auch daten zurückholen können und braucht dazu die admin-rechte. nun könnte er auf das oben genannte volume zugreifen und daten lesen, die er eigentlich nicht sehen sollte.

ich halte struktur und handhabung des server so einfach wie möglich, um eben wenig aufwand damit zu haben. es ist die klassische dokumentenverwaltung (nur filesharing), wie sie in agenturen und druckvorstufen früher auch schon immer war.

jetzt dürfte das problem klarer sein. deswegen wollte ich das eine volume mit einem passwort schützen. zum sichern kann ich retrospect für das eine volume ja ein passwort mitgeben, welches ich im schlüsselbund mitsichere, damit die daten auch auf's band kommen.
wenn nun aber ein mitarbeiter das volume am server anklickt, sollte es ein passwort verlangen.

ich denke, dass einfachste für mich ist tatsächlich das programm von warlord, dass die einzelnen files einfach verschlüsselt.

[FOX]

und noch was: mit solchen wilden sachen, wie sudo-befehlen, kennt sich bei uns eh keiner aus. 
 d.h. solche zugriffe werden nicht passieren. wogegen ein doppelklick auf ein einfaches volume schon schmackhaft ist...
ich will ja niemand kriminelle energie unterstellen, aber geschäftskorespondenz sollte halt nicht jeder sehen.

[MacFlieger]

arbeitet nun ein mitarbeiter am server direkt, weil z.b. die datensicherung ein neues band braucht, ist er dort als admin unterwegs. er muss bei retrospect ja auch daten zurückholen können und braucht dazu die admin-rechte. nun könnte er auf das oben genannte volume zugreifen und daten lesen, die er eigentlich nicht sehen sollte.

Ja, genauso hatte ich das verstanden. Er muß Admin-Rechte haben und kann daher auf alles zugreifen.

jetzt dürfte das problem klarer sein. deswegen wollte ich das eine volume mit einem passwort schützen. zum sichern kann ich retrospect für das eine volume ja ein passwort mitgeben, welches ich im schlüsselbund mitsichere, damit die daten auch auf's band kommen.
wenn nun aber ein mitarbeiter das volume am server anklickt, sollte es ein passwort verlangen.

Wobei das dann auch nicht sicher ist, denn der User kann dann ja das Paßwort aus dem Schlüsselbund auslesen. Solange es notwendig ist, daß er an alle Daten kommt, weil er die sichern soll, dann kann er natürlich immer auf die Daten zugreifen. Man kann nur die Schwelle der Einfachheit höher legen.
Zusammen mit:

und noch was: mit solchen wilden sachen, wie sudo-befehlen, kennt sich bei uns eh keiner aus.
 d.h. solche zugriffe werden nicht passieren. wogegen ein doppelklick auf ein einfaches volume schon schmackhaft ist...

könnte man einfach einen zweiten User anlegen, dem der Ordner mit der Korrespondenz gehört, dann kann ein Admin ja auch nicht einfach so zugreifen. Um dann darauf zuzugreifen müßte der Benutzer das Paßwort des Benutzers aus dem Schlüsselbund auslesen oder per sudo zugreifen. Beides relativ simpel, aber Du hast angedeutet, daß eine derart unsichere Methode schon reichen würde.

ich denke, dass einfachste für mich ist tatsächlich das programm von warlord, dass die einzelnen files einfach verschlüsselt.

Die einfachste sicherlich nicht (s.o.), aber mit Sicherheit wesentlich besser und sicherer.

[mbs]

er muss bei retrospect ja auch daten zurückholen können und braucht dazu die admin-rechte.

Ja, das ist ein generelles Problem, das es in der Informationstechnik (damals noch EDV genannt) schon seit 50 Jahren gibt. Die Datentechniker dürfen immer mehr als die Geschäftsleitung; ist bei Hausmeistern übrigens so ähnlich... Retrospect läuft sogar mit Root-Rechten, ansonsten könnte es gar nicht alles sichern.

Wenn dieser Zugriff verhindert werden soll, kommt man um Verschlüsselung wirklich nicht herum.

ich halte struktur und handhabung des server so einfach wie möglich, um eben wenig aufwand damit zu haben. es ist die klassische dokumentenverwaltung (nur filesharing), wie sie in agenturen und druckvorstufen früher auch schon immer war.

Das sei Dir unbenommen. Die meisten Anwender benutzen einen Server so, dafür ist er ja gedacht.

Das Arbeiten wird aber noch wesentlich einfacher, wenn ein einziger zusätzlicher Dienst, nämlich die Benutzerverwaltung (Verzeichnisdienst) auch vom Server übernommen wird. In dem Fall müssten die Benutzer auch keine manuellen Verbindungen zum Server mehr herstellen. Das könnte Mac OS X automatisch übernehmen, ohne dass ständig Kennworte eingegeben werden müssen.

So etwas wie "Mount-Berechtingungen" gibt es heute nur noch indirekt. In Wirklichkeit ist es mehr eine Komfortfunktion des Systems, Dir bei einem manuellen Peer-to-Peer-Mount nur die Freigaben anzubieten, auf deren obersten Ordner Du Leserechte hast.

[FOX]

Wenn dieser Zugriff verhindert werden soll, kommt man um Verschlüsselung wirklich nicht herum.

diese aussage hilft mir weiter. es gibt in meinem speziellen fall wohl keine andere lösung.

vielen dank für eure hilfe!


p.s. das mit dem hausmeister muss ich wohl hinnehmen 
unserer putzfrau musste ich auch erklären, die platteneinschübe des server bitte NICHT zu putzen.
das hat sie aber nicht wirklich verstanden...

[MacFlieger]

Wenn dieser Zugriff verhindert werden soll, kommt man um Verschlüsselung wirklich nicht herum.

diese aussage hilft mir weiter. es gibt in meinem speziellen fall wohl keine andere lösung.

Hatte ich ja auch geschrieben, solange einer als Admin drin ist, kann er alle Dateien irgendwie sichtbar machen. Nur an verschlüsselten beisst er sich die Zähne aus.

Die andere Lösung (zweiter Benutzer) taugt ja nur für die von Dir erwähnten Fälle: Benutzer kann kein sudo und Benutzer kann nicht mit dem Schlüsselbund umgehen und soll eine Paßwortabfrage beim Zugriff bekommen.

[FOX]

Hatte ich ja auch geschrieben, solange einer als Admin drin ist, kann er alle Dateien irgendwie sichtbar machen. Nur an verschlüsselten beisst er sich die Zähne aus....

hab ich vergessen, dich mitzuloben? 

[MacFlieger]

hab ich vergessen, dich mitzuloben? 

Nö.



Ich wollte nur darauf hinweisen, daß das zwar die einzig sinnvolle Lösung ist, aber bei den Abstrichen, die Du vorher bereit warst zu machen, es noch eine einfacherere Lösung gibt.

[FOX]

.... es noch eine einfacherere Lösung gibt.

findest du? 
für mich wäre das die schwierigere gewesen, da ich mit programmen gut umgehen kann, mit diesen unixbefehlen aber überhaupt nicht.

[MacFlieger]

findest du? 
für mich wäre das die schwierigere gewesen, da ich mit programmen gut umgehen kann, mit diesen unixbefehlen aber überhaupt nicht.

Ich glaube, da hast Du was falsch verstanden. Du bräuchtest nur einen zweiten Benutzer anlegen, mehr nicht. Dann würde auch ein Admin nicht mehr durch einen einfachen Klick an die Daten kommen. Dieser Admin, der ja nicht zugreifen soll, könnte zur Umgehung dieses "Schutzes" nur "sudo" verwenden, an den Paßwörtern der anderen User rumspielen oder ähnliches. Daher ist das eigentlich kein richtiger "Schutz", sondern nur eine Hürde, damit es nicht so schnell mit einem Mausklick von einem Admin einsehbar ist. Aber Du meintest ja, das würde evtl. reichen.
Vernünftiger ist das Verschlüsseln, da dann auch der Admin mit allen Tricks nichts machen kann.

[FOX]

o.k. jetzt habe ich es kapiert 

dann würde aber retrospect unter dem admin-account die daten des anderen/neuen benutzers nicht mitsichern können, oder?

ist aber auch egal, da "tresor" eine wirklich feine software ist, die ich nun einsetzen werde.

das funktioniert wirklich wunderbar. durch die einstellungen in tresor wird das file am server durch drag&drop entschlüsselt und das verschlüsselte gleich gelöscht. danach das dokument einfach wieder auf "tresor" ziehen und die datei wird wieder verschlüsselt und das offene dokument gelöscht.
ich muss die daten nicht einmal auf den clientrechner kopieren. so muss das sein! einfach und schnell.

lob an den softwareentwickler 

[MacFlieger]

dann würde aber retrospect unter dem admin-account die daten des anderen/neuen benutzers nicht mitsichern können, oder?

Doch, weil laut mbs diese Software ja mit root-Rechten läuft (vermutlich per sudo im Hintergrund geholt)

ist aber auch egal, da "tresor" eine wirklich feine software ist, die ich nun einsetzen werde.

Ja, halte ich auch für die erheblich bessere Lösung, weil man dann wirklich auf Sicherheit setzt und nicht nur auf die Unkenntnis und guten Willen der Mitarbeiter. Dafür sind Geschäftsdaten doch zu wichtig.