FileVault und Benutzer

[MacFlieger]

Wenn man unter 10.8.3 FileVault installiert hat, kommt ja direkt beim Booten die Maske zum Einlochen, denn nur bei erfolgreichem Einlochen wird die Platte "geöffnet".

Jetzt kann ich es nicht gut steuern, dass alle gute Kennwörter nehmen und somit wäre auch das Starten/Entschlüsseln evtl. mit einem schlechten Kennwort möglich. Das ist dabei aber nicht Sinn der Sache.

Ich meine mich zu erinnern, dass man irgendwie konfigurieren konnte, welche Benutzer den Rechner überhaupt booten dürfen. Ich finde das aber nicht mehr. Da ihr ja schon länger 10.7/10.8 verwendet, wisst ihr vielleicht die Lösung?

[radneuerfinder]

Wenn Du 'FileVault aktivieren' klickst, dann kommt als erstes die Abfrage welche Benutzer in Zukunft berechtigt sein werden die Verschlüsselung per Passwort zu entschlüsseln. Zumindest verstehe ich den etwas holprigen Dialog so, probiert habe ich es nicht.

In der Hilfe klingt es so:

Klicken Sie auf „FileVault aktivieren“.
Wenn der Computer mehrere Benutzer hat, wird eine Liste der Benutzer angezeigt. Sie können einem Benutzer erlauben, sich und die anderen Benutzer nach dem Systemstart des Computers anzumelden. Ist kein solcher Benutzer aktiviert, muss sich zunächst ein Administrator anmelden. Erst danach können sich andere Benutzer anmelden.

Klicken Sie für jeden Benutzer, der entsprechend aktiviert werden soll, neben dessen Namen auf „Benutzer aktivieren“, geben Sie sein Anmeldekennwort ein (oder der Benutzer gibt es selbst ein) und klicken Sie auf „OK“.

Allgemeine Infos:
http://support.apple.com/kb/HT4790?viewlocale=de_DE&locale=de_DE

[radneuerfinder]

Ich habs mir jetzt noch mal angeschaut. Der Dialog ist nicht holprig, sondern schlicht falsch. MMn sind diese Worte falsch: "Jeder Benutzer muss" und "Festplattenschutz aufgehoben". Es besteht ja noch gar kein Festplattenschutz und wenn Du Benutzer ausläßt und weiter klickst, wird die Verschlüsselung nach einem Neustart trotzdem angelegt werden.

[radneuerfinder]

Btw, sind eigentlich diese beiden Eigenheiten von FileVault mittlerweile geändert?

http://mjtsai.com/blog/images/2012-08-07-fv2ss2.png
http://www.infiniteloopmobile.com/2012/04/mac-os-x-lion-file-system-problem-causes-user-account-update-needed/

[MacFlieger]

Ja, an diesen Dialog habe ich mich auch erinnert. Allerdings kam der bei mir nicht.
Als ich FileVault eingeschaltet habe, gab es auch nur einen Benutzer. Jetzt läuft FileVault und ist immer noch beim Verschlüsseln. Zwischenzeitlich habe ich die anderen Benutzer angelegt und alle Daten/Programme zurückkopiert.

Es muss doch auch eine Möglichkeit geben, das nachträglich zu konfigurieren. Ich kann mir nicht vorstellen, dass das nur beim Einschalten von FileVault gehen sollte. Nun, werde ich mal abwarten müssen, bis die Verschlüsselung beendet ist.

BTW, mir ist da noch eine andere Absonderlichkeit aufgefallen:
Ich installiere ML von einem USB-Stick aus auf die leere interne Platte. Beim ersten mal war alles in Ordnung, d.h. FPDP aufrufen, Platte komplett leeren und ML installieren. Dann habe ich FileVault eingeschaltet und kurze Zeit später fiel mir auf, dass ich bei der Eingabe des ersten Accounts einen "Fehler" bei der Groß/Kleinschreibung des Kurznamens gemacht hatte. Eigentlich nicht weiter schlimm, aber da ich ansonsten noch nichtsinstalliert/konfiguriert hatte, bot es sich an, mal eben schnell komplett neu zu installieren. Und da bekam ich ein Problem:
Wieder von USB-Stick gebotet, FPDP aufgerufen, um die Platte wieder zu leeren und... das ging nicht! Ich konnte die interne mit FileVault verschlüsselte Platte weder leeren, noch partitionieren. Erst als ich die verschlüsselte Partition mit dem Kennwort geöffnet hatte (Partitionieren weiter unmöglich), konnte ich die löschen und erst danach partitionieren.
OK, soweit erst einmal kein Problem, aber: Dass ich ohne das Kennwort nicht mehr an die Inhalte meiner verschlüsselten Platte komme, ist klar. Aber warum kann ich die nicht einfach komplett löschen/partitionieren? Was macht man, wenn man das Kennwort vergessen hat? Platte wegschmeissen?
Komisch irgendwie.

http://mjtsai.com/blog/images/2012-08-07-fv2ss2.png

Was meinst Du?

http://www.infiniteloopmobile.com/2012/04/mac-os-x-lion-file-system-problem-causes-user-account-update-needed/

Habe ich noch nicht von gehört. Außerdem kann man wohl mit dem FPDP auch die verschlüsselten Platten reparieren/checken. Man muss sie natürlich erst mit dem Kennwort aufschliessen (s.o.).

[radneuerfinder]

http://mjtsai.com/blog/images/2012-08-07-fv2ss2.png

Was meinst Du?

Ich meine, daß es das Zurücksetzen des OS X Benutzerkennwortes per Apple-ID sicherheitshalber & offiziell gar nicht angeboten werden sollte:
http://support.apple.com/kb/HT4798?viewlocale=de_DE

[MacFlieger]

Ach so.

Bei der Einrichtung von FileVault wird ja dieser Schlüssel angezeigt, mit dem man die Verschlüsselung auch ohne normales Kennwort aufheben kann. Diesen Schlüssel kann man lokal sichern oder auf Apple Servern, damit das Zurücksetzen per Apple-ID möglich ist.
Das habe ich natürlich beides nicht gemacht. Einen Schlüssel bei Apple zu hinterlegen, käme mir echt nicht in den Sinn.

[MacFlieger]

So, die FileVault-Verschlüsselung ist fertig. Und ich kann da nichts einstellen.
Man muss doch nachträglich festlegen können, wer den Rechner entschlüsseln/booten darf und wer nicht!

D.h. ja, jedes mal, wenn man einen neuen Benutzer anlegt, müsste man entschlüsseln und wieder verschlüsseln, damit man die Regel neu festlegen kann. Das dauert aber ewig. Kann doch nicht sein, oder?

[MacFlieger]

OK, Apple selber schlägt tatsächlich die entschlüsseln/verschlüsseln Lösung vor. siehe hier unter "Changing your recovery key"

Und ich habe eine Anleitung gefunden, wie man es auch ohne Entschlüsseln hinkriegen kann:
http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

Allerdings bin ich mir nicht sicher, ob die ganze Kennwortänderei im Terminal und an einer eigentlich ungewöhnlichen Stelle nicht nachher Probleme mit dem eigenen Schlüsselbund gibt.

Ich werde wohl doch die Apple-Lösung wählen.

[Florian]

Alles sehr überzeugend, bei diesem Filevault. Und das schon sei der Einführung. Respekt!

[warlord]

Man muss doch nachträglich festlegen können, wer den Rechner entschlüsseln/booten darf und wer nicht!

Code: [Auswählen]

sudo fdesetup add -usertoadd kurzname
bzw.

Code: [Auswählen]

sudo fdesetup remove -user kurzname

[MacFlieger]

ARGH!
Knapp 1,5 Stunden zu kurz gewartet. Jetzt läuft die Entschlüsselung schon.

Aber trotzdem danke, das werde ich mir speichern, da ich das sicher mal verwenden kann.
Zu fdesetup gibt es auch eine schöne manpage.