GLF

[MäcPädo]

Als langjähriger Admin und Mac-User möchte ich euch an dieser Stelle ein paar vielleicht nützliche Tips geben wie ihr eure Privatsphäre schützen könnt, wenn ihr in OS X unterwegs seid. Dabei liegt es natürlich an euch, welchen Grad an Sicherheit ihr benötigt und umsetzt :


1. Installiert euch ein getrenntes System:

Mac OS X hat die schöne Angewohnheit, anders als Windows, von praktisch jedem Datenträger booten zu können. Das bedeutet, dass selbst ein großer USB-Stick sich wunderbar als Systemdatenträger eignet und ihr eure interne Festplatte nicht mit Daten belasten müsst, die dort vielleicht nicht hingehören.

How-To (...wie ihr OS X auf einen USB-Stick oder eine USB-Festplatte installiert):

- System-DVD einlegen und davon booten (C gedrückt halten)
- Festplattendienstprogramm aufrufen (unter Hilfsprogramme)
- Für Intel Macs das GUID Partitionsschema bzw. APT für PowerPC-Macs wählen
- Erstellt euch eine HFS-Partition mit mind. 8-10GB Größe
- Nun solltet ihr OS X einfach auf dieses neue Laufwerk installieren können
- Die Registrierung von OS X könnt ihr einfach mit CMD+Q überspringen

Nach dem fertigen Setup solltet ihr erstmal kurz zurück in euer normales System booten. Haltet ihr beim Booten die ALT-Taste gedrückt, erhaltet ihr einen Bootmanager und könnt euch zwischen den bootfähigen Laufwerken entscheiden. Wichtig in diesem Moment ist, dass ihr euer Startvolume wieder auf das interne System zurückstellt. Das geht einfach in den Systemeinstellungen. Vergesst ihr diesen Schritt, würde jedesmal automatisch die USB-Platte booten oder euer Mac bräuchte ewig zum Hochfahren falls er sie wieder abgesteckt habt. Beides wollt ihr wahrscheinlich nicht.

Beim Anlegen eines neuen Benutzers solltet ihr zum Schluss noch darauf achten, dass ihr euch ein sicheres Passwort aussucht und die automatische Anmeldung deaktiviert ist. Unter Sytemeinstellungen /Sicherheit /Allgemeines kann euch dazu geholfen werden!


2. Verschlüsselt eure Daten:

Auf einem Mac seid ihr nicht notwenigerweise auf externe Programme zur Verschlüsselung angewiesen. OS X bietet schon mit Bordmitteln mehrere sehr gute Möglichkeiten an:

- Verschlüsseltes Disk-Image : Im Festplatten-Dienstprogramm könnt ihr euch ein verschlüsseltes DMG-Image erstellen. Um dieses DMG zu mounten, müsstet ihr dann immer ein Passwort eingeben. Mit 256-Bit-AES solltet ihr hier schon ziemlich sicher sein. Ihr könnt in diesem Image nicht nur Daten, sondern auch komplette Programme (.App-Objekte) unterbringen und von dort aus starten.

- Kompletten Benutzerordner verschlüsseln : Eine sehr einfache und gründliche Lösung ist es, das komplette Benutzerverzeichnis zu verschlüsseln. Dafür geht ihr einfach in den Systemeinstellungen in den Punkt "Sicherheit" und aktiviert den FileVault mit eurem individuellen Passwort. Ist FileVault aktiv, wird euer kompletter Benutzerordner in ein verschlüsseltes Image gepackt und erst bei der Anmeldung geöffnet. Dies beinhaltet dann nicht nur alle Dateien, sondern auch Einstellungen, Browser-Caches und so weiter. Damit ihr wirklich sicher seid, vergesst auch nicht den "Sicheren Virtuellen Speicher" zu aktivieren.


3. Gelöschte Dateien auch wirklich löschen:

Wenn ihr sichergehen wollt, dass eure Daten, die ihr dem Papierkorb anvertraut, auch wirklich weg sind, aktiviert das "sichere Entleeren des Papierkorbs". Diesen Punkt findet ihr im Finder unter Einstellungen (CMD+;) im erweiterten Bereich.

Für richtig paranoide Menschen gibt es im Festplatten-Dienstprogramm auch die Möglichkeit, den freien Speicher auf einem Laufwerk zu löschen und mit max. 35 Durchgängen sicher zu überschreiben. Diese "Reinigung" kann auf großen Platten dann allerdings auch schnell mehrere Stunden dauern!


4. Sicherheit im lokalen Netzwerk:

Habt ihr mehrere Computer im lokalen Netz, wäre es sicher nicht unklug, wenn ihr in den Systemeinstellungen die Datei- und Bildschirmfreigabe ausschalten würdet.


5. Sonstige Kleinigkeiten:

OS X bietet euch einige nette Sicherheits-Features wie z.B. das automatische zeitgesteuerte Aktivieren der Passworteingabe nach Standby oder Bildschirmschoner. Nutzt diese Möglichkeiten!

[gelöscht_06]

Gibt es MäcPädo eigentlich noch hier?

Na wie dem auch sei. Ich fand es ja mal klasse diese Tipps hier zu lesen, weil ja sonst immer alles auf dieses komische Fremdsystem das so viele nutzen, ausgelegt wird. Das mit dem USB Stick war mir sogar neu.

Was mich im Zusammenhang mit File Vault ja mal interessieren würde ist, wie das mit TimeMachine agiert. Time Machine rühmt sich ja nicht wirklich mit einer Verschlüsselung der Daten und was würde es bringen wenn man sein eigenes Profil mit File Vault sichert wenn es alles blanko auf der externen HD gesichert wird via Time Machine?

[Lolimat]

Hallo Mac-User!
Schaut Euch mal diesen Eintrag hier im GL-Forum an:

http://www.girlloverforum.net/forum/vie ... =23&t=5183

Im versteckten Ordner C:\Dokumente und Einstellungen\Benutzername\Recent wird (in Windows XP jedenfalls) in Form von Links angezeigt, welche Dateien Ihr kürzlich verwendet habt. Windows XP legt dort jedesmal einen neuen Link an, wenn Ihr über das Explorer-System eine Datei (gleich welcher Art) öffnet.

Das gibt es beim Mac leider auch. Manche Programme führen von selbst eine solche lästige Liste, aber die meisten Programme benutzen den system-weiten Dienst (ich weiß leider nicht wie der heißt).
Bei vielen Programmen findet man im "Ablage"-Menü den Eintrag "benutzte Dokumente", wo die verräterischen Dateiaufrufe zu finden sind.
Ich habe noch nicht herausgefunden, wo die verräterischen Spuren gespeichert werden. Einen großen Unterschied würde es z.B. schon machen, ob diese Liste irgendwo zentral auf dem Mac gespeichert wird oder auf den jeweiligen Laufwerken. Aber man kann und sollte die Liste eh abschalten und das geht auf zwei Wegen:

Entweder man kennt den Unix-Dienst und übergibt ihm im Terminal den Ausschalt-Befehl oder man benutzt dafür das Programm Onyx, was eben genau dies macht, nur schön komfortabel mit grafischer Benutzer-Oberfläche.

1. Runterladen und installieren von Onxy (Freeware).
http://www.titanium.free.fr/download.php

2. Onyx braucht das Administrator-Passwort

3. Unter "Parameter" und "Allgemein" folgenden Punkt abhaken:
"Anzeige des Menüpunkts Benutzte Dokumente .... einschalten"

4. "Anzahl benutzter Einträge" auf Null setzen

Das wars.
Bei Fragen bitte gerne eine Mail an mich

P.S. Einen Screenshot gibts nicht, da er zu viel über meinen Rechner erzählen würde. Aber es ist auch so sehr einfach.
Mit Onyx kann man auch viele andere schöne Dinge einstellen, aber mit manchen Sachen sollte man eher nicht "rumspielen".

[gelöscht_06]

Es ist in der Tat so das die zuletzt geöffneten Dokumente des jeweiligen Programms gemerkt werden, allerdings braucht man kein Programm wie Onyx dafür, um dies zu unterbinden.
Man findet die Option des aktivieren oder deaktivieren zentral in den Systemeinstellungen von Mac OS X im Punkt "Erscheinungsbild". Dort gibt es den Eintrag "Benutzte Objekte merken" und nun kann man ganz bequem festlegen, wo was gemerkt werden soll und in welcher Anzahl oder überhaupt nicht. Einige Programme bieten das auch in den eigenen Optionen an, wie z.B. bei Adobe Photoshop oder Quicktime 7 (in QT von OS 10.6 ist diese Option nicht mehr vorhanden, mangels fehlender Einstellungen). Des weiteren lässt sich diese Liste in jedem Programm jederzeit löschen über den Punkt "Ablage/Zuletzt benutzte Dokumente/Einträge löschen"

Deaktivieren der Sicherung der zuletzt geöffneten Dokumente in den Systemeinstellungen:


Letzte Einträge löschen bei einem geöffneten Programm


Die Informationen über die zuletzt geöffneten Dokumente werden übrigens nicht in einem zentralen Ordner des Systems gesichert, sondern in der Preference-Datei der jeweiligen Anwendung. Es ist in den Preferenceswust dann immer die Datei, welche die Info "LSSharedFileList" mit beinhaltet. Bei SubEthaEdit also z.B. die Preference-Datei "de.codingmonkeys.SubEthaEdit.LSSharedFileList.plist".

Onyx ist ein Systempflegetool, dass man mit bedacht nutzen sollte, denn es kann im schlimmsten Fall dazu führen das OS X den Dienst verweigert. Ein Spielzeug ist es definitiv nicht (wie du es ja selbst auch schon erwähnt hast, aber ich will es noch einmal betonen).

Wer dem System etwas herauskitzeln will ohne Risiko, sollte lieber mal TinkerTool verwenden, welches hier zu finden ist: http://www.macupdate.com/info.php/id/5721/tinkertool

[Lolimat]

Ja, so einfach und elegant wie Liquid es beschrieb hat, sollte man es wohl machen

Ich habe den Punkt in den Systemeinstellungen nie wahrgenommen. Super auch die Infos über die Speicherorte. Dass das jede Anwendung für sich selbst speichert, macht tatsäch irgendwie Sinn.

Vielen Dank Liquid!

[gelöscht_06]

Das sind eben eines der vielen "Kleinigkeiten" warum ich dieses Betriebssystem so schätze und auch gerne verwende.

Mein Problem ist aber eh, dass ich hier ständig auf der Suche nach Input bin um was neues zu lernen und um den Workflow am Rechner zu verbessern. Einige Tipps von MacPädo fand ich durchaus interessant. Ich trauere bis heute noch, dass er diesem Forum den Rücken gekehrt hat

Aber dafür erfreue ich mich um so mehr, dass du offensichtlich auch einer der wenigen Nutzer bist, die sich auf diese Plattform eingelassen haben. Dein Beitrag war für mich eine Anregung, selber mal nach zu schauen wo diese Infos so rumflattern. Wie du siehst, wurde ich fündig

[MäcPädo]

Hallo Liquid, hallo Lolimat, hallo ihr alle !!

Bin inzwischen wieder unter die lebenden zurückgekehrt und ich lese gerade mit Freude eure Postings . Danke an euch alle!


Die Idee mit dem Löschen der "Benutzten Dokumente" ist wirklich sinnvoll, jedoch würde ich weiterhin zum Verwenden eines verschlüsselten User-Ordners (FileVault) raten, dann spart man sich solche Dinge und alles bleibt dann ohnehin privat, was privat bleiben soll.

[Dorian]

oh, da freut sich jemand, dass du wieder da bist!
ich mich auch etwas.
alles gute.

[gelöscht_06]

Bei FileVault bleibt aber nur das privat, das auch im eigenen Benutzerordner schlummert. Wenn also irgendwas im Systemordner gepflanzt wird, hilft FileVault auch nicht mehr. Wobei eigentlich alles was man am Rechner macht, auch unter einem eigenen Profil durchgeführt wird.

Wenn man aber nun z.B. Bilder, Filme, Dokumente etc. auf eine externe HD wirft, greift auch der Schutz von FileVault nicht mehr.

Da du nun wieder da bist MäcPädo, habe ich auch prompt eine Frage an dich.

Via TimeMachine kann man ja bequem Backups erstellen lassen die immer wieder automatisch durchgeführt werden. Jedoch habe ich bisher keine Möglichkeit gesehen, das die Infos hinsichtlich FileVault auch auf das Backup übertragen werden. Demnach ist das Backup der externen HD dann unverschlüsselt und kann von einem dritten ausgelesen werden oder?

Ist dem so, ist es eigentlich erstaunlich und zugleich nutzlos sein privates Verzeichnis via TimeMachine sichern zu lassen. Dann ist zwar das lokale Profil verschlüsselt, aber über das Backup kann man an alle Dateien kommen.

Wenn du da einen Tipp oder eine Idee hast, bin ich sehr neugierig.

[MäcPädo]

@Liquid:

Also zunächst einmal : Wer sich extra einen sicheren FileVault anlegt und dann sensible Daten direkt im Rootverzeichnis / oder sonstwo ablegt, wo man keine Verschlüsselung aktiviert hat, der hat es ehrlich verdient, Haue zu kriegen ^^.

Zu deiner Frage bzgl. Time Machine und FileVault :


Kurze Antwort : Es existiert in OS X 10.6 kein grundsätzliches Risiko, dass Daten unverschlüsselt auf dem TimeMachine-Volume landen aber es wird einfach sehr sehr unkomfortabel, Time Machine und FileVault gleichzeitig zu benutzen.

Lange Antwort: Time Machine und FileVault sind ein etwas schwieriges Thema. Soweit es mir bekannt ist, sichert Time Machine von Haus aus keine unverschlüsselten Daten aus einem FileVault-Benutzerordner. Gesichert wird lediglich die Sparebundle-Image-Datei, in der sich das verschlüsselte User-Profil befindet und dies funktioniert dann auch nur, wenn man ausgeloggt ist. OS X warnt aber auch explizit davor, wenn man Time Machine mit FileVault zusammen benutzen will.

Nachteil davon ist allerdings leider, dass man - wie gesagt - ausgeloggt sein muss für das Backup und zweitens, dass Time Machine keine inkrimentelle Sicherung eines FileVaults durchführen kann, sondern für ihn erscheint es einfach, dass sich die Image-Datei geändert hat und er sichert sie dann komplett.

Für Bastellfreunde ist es wohl auch möglich, direkt aus einem Filevault heraus zu sichern und dies dann in ein verschlüsseltes Time Machine Backup hinein zu tun, das sich dann in einer eignenen, sicheren Imagedatei befinden muss. Aber das ist dann eine extrem aufwändige Angelegenheit und die Übertragung der Daten erfolgt wohl unverschlüsselt, daher würde ich von sowas eher abraten.

Mein Tip: Schließe den von FileVault verschlüsselten Benutzerordner von einem Time Machine backup aus. Für ein Backup von wichtigen Dateien würde ich mir eine verschlüsselte DMG-Datei auf einer externen Platte anlegen, diese dann mounten und einfach manuell einmal die Woche oder so im Finder alle wichtigen Dateien dorthin schaufeln. Ist natürlich nicht ganz so komfortabel wie Time Machine aber ist dafür sicher.

[gelöscht_06]

Um es kurz zu sagen, hier existiert eindeutig Nachbesserungsbedarf seitens Apple. Am besten währe die Möglichkeit ein externes Backup mit einem Sicherheistmechanismus zu versehen der ähnlich wie ein Dongle agiert. Ohne verknüpfter Hardware, kein Zugriff. Problem sind aber eben die jeweiligen Betriebssysteme, wobei ein TM Backup ja (leider) eine Mac-Formatierte HD will und die kann man schon einmal nicht einfach so an einen Win PC stecken ohne die HD zu formatieren wenn man sie nutzen will.

Das manuelle verschieben etc. kommt für mich nicht in Frage, ich nutze aber eh kein FileVault am Desktoprechner. Hätte ich nen Laptop, würde ich es dort jedoch aktivieren, damit es beim möglichen Diebstahl eben nicht einfach nen Zugriff gibt.

Ich brauche jedenfalls die Art wie TM arbeitet und ich muss mich darauf verlassen können, das es automatisch abläuft. Das hat mir bei einigen Projekten nun schon öfter gut geholfen.

[gelöscht_06]

Ich habe ein App gefunden, welches im Gegensatz zu FileVault, gezielt Ordner oder Programmcontent verschlüsselt oder entschlüsselt und sich Espionage nennt. Durch die manuelle Auswahl geht das verschlüsseln und entschlüsseln natürlich erheblich schneller und für jeden Ordner oder Programm kann ein eigenes Passwort versehen werden.

Kleines Beispiel:
Man möchte alles was mit Safari oder Firefox zu tun hat, nicht mehr für jeden Preis geben. Das betrifft also den Cache, den Verlauf so wie den Zugriff auf die Anwendung selbst usw.

Mit Espionage kann man nun bequem über die Anwendung selbst aus vordefinierten Regeln (oder eben auch eigene) wählen und so z.B. alles rund um Safari für den Zugriff durch dritte blocken.
Startet man nun Safari nach der Einrichtung via Espionage, wird nach einem Passwort gefragt. Hat man dies nicht, sind alle Informationen die Safari betreffen absolut unerreichbar.

Der Vorteil gegenüber einem Image von TrueCrypt ist die 100% Integration ins Mac OS X und die Images, welche verschlüsselt werden, sind variabel, können also mit dem Datenwachstum mitwachsen. Über das Kontextmenü oder ein Icon in der Menüleiste können dann verschlüsselte Objekte bequem ver- und entschlüsselt werden.

Kleiner Nachteil gegenüber TrueCrypt... Es ist nicht kostenlos sondern schlägt mit recht ansehnlichen 39 Dollar zu buche. Aktuell bekommt man Espionage zusammen mit anderer Software wie z.B. Toast 10 (Vollversion) für 50 Dollar bei http://www.mupromo.com/ (Ist ein seriöses Angebot, also keine Zweifel an diesem Bundleangebot )