Salaava tiedostojärjestelmä?

[tonyjl]

Terve!


Olen uusi tässä mac-maailmassa ja pohdin että onkohan tässä Tigerissa
jonkinlainen salaava tiedostojärjestelmä? Siis jos joku toinen loggautuu
järjestelmään niin näkeekö hän millään konstilla mitä tiedostoja toisilla
käyttäjillä on? Vai pitääkö jokaisen käyttäjän jotenkin erikseen salata
tiedostonsa mitä ei halua muiden näkevän?

Olen ymmärtänyt että ainakin unixissa tiedostot oletuksena näkee mutta
ei pysty avaamaan?

Kohta kun on lähes kaikki mitä koneella tekee laitonta, niin enpä
haluaisi kohdata tilannetta jossa ripattuja mp3:ani tullaan tutkimaan..

[MacFinn]

No, siis jos koneessa on kaksi käyttäjää he oletuksena eivät näe toistensa tiedostoja. Vain ne, jotka on sijoitettu kunkin käyttäjän Julkinen nimisen kansioon ovat toisten nähtävissä.

[NOx]

käyttäjillä on? Vai pitääkö jokaisen käyttäjän jotenkin erikseen salata
tiedostonsa mitä ei halua muiden näkevän?

Olen ymmärtänyt että ainakin unixissa tiedostot oletuksena näkee mutta
ei pysty avaamaan?

Kotikansion näkee kuka vain. Mutta sen sisältöä ei voi penkoa Julkista-kansiota lukuunottamatta. Tämä on lähtökohta. Lisää turvallisuutta saat käyttämällä Filevaultia. Käynnistä Ohjeet Finderista ja kirjoita hakusanaksi turvallisuus. Levytyökalu on toinen mainio työkalu, sillä voi tehdä kryptatun levyimagen. Tuolle levyimagelle voi tallentaa mitä sitten tarve onkin ja vaikka polttaa DVD:lle koko imagen. Sitä ei ihan helposti aukaise kukaan. Tekniikka on sama kuin FileVaultissa. Turvallisuus on sitä luokkaa että salasanat on syytä muistaa, Apple ei kykene auttamaan jos salasanat ovat kateissa.

[Lare]

Olisko FileVaultin käyttötarkoitus sama kuin Windowsin CheckPointin: Jos kone varastetaan, ei tiedostoja siltikään voi lukea. Ainakin koneeseen pääsee muuten käsiksi käynnistyslevykkeellä.
Pääseekö jotakin takaporttia pitkin eri käyttäjätilien tiedostoihin käsiksi, ellei tiedä kyseisen tunnuksen salasanaa, mutta käynnistyslevykkeellä vaihtaa (admin) salasanan?

PC mailmassa CheckPoint on kätevä, jos haluaa ulkoiselle kovalevylle varmuuskopioita salatussa muodossa. Sama pätenee FileVaultiin? Muutenhan kuka tahansa voisi lukea varmuuskopiota jos pääsee levyyn fyysisesti käsiksi.

Muuten käyttäjien ei tarvitse erikseen salata tiedostoja MaCissä.

[NOx]

Olisko FileVaultin käyttötarkoitus sama kuin Windowsin CheckPointin: Jos kone varastetaan, ei tiedostoja siltikään voi lukea. Ainakin koneeseen pääsee muuten käsiksi käynnistyslevykkeellä.
Pääseekö jotakin takaporttia pitkin eri käyttäjätilien tiedostoihin käsiksi, ellei tiedä kyseisen tunnuksen salasanaa, mutta käynnistyslevykkeellä vaihtaa (admin) salasanan?

PC mailmassa CheckPoint on kätevä, jos haluaa ulkoiselle kovalevylle varmuuskopioita salatussa muodossa. Sama pätenee FileVaultiin? Muutenhan kuka tahansa voisi lukea varmuuskopiota jos pääsee levyyn fyysisesti käsiksi.

Kerro tarkemmin tuosta MS Windows Checkpointista?

FileVault suojaa vain yksittäisen käyttäjän kotikansion. Sinne ne dokumentit tietysti pitää tallentaakin eikä ympäriinsä pitkin kovalevyä. Ulkoisille levyille tai koko levyn kryptaamiseen käytetään PGP:tä.

Mistä tahansa datasta esim. kansiosta voi luoda kryptatun Disk Imagen Disk Utilityn avulla ja pistää kaverin kiusaksi vaikka sähköpostilla. Tietysti sitten on näitä erilaisia suojattuja kovalevyjä sun muita joissa tunnistus on itsessään sormenjäljen tai sirukortin avulla.

Jos käytössä Applen oma suojausmekanismi niin salasana kadottua ei auta mikään. Ei vaihto eikä mikään:

If you forget your login password and your home folder is protected by FileVault, you must know the master password to get access to your account. If you don't know the master password, ask your computer's administrator to help you.

If you are the administrator of the computer, and you can't remember the master password, the information in your home folder is lost forever.

Disk Imagen kohdalle ei auta edes master password. Salasana on imagessa itsessään.

[tkt]

Pääseekö jotakin takaporttia pitkin eri käyttäjätilien tiedostoihin käsiksi, ellei tiedä kyseisen tunnuksen salasanaa, mutta käynnistyslevykkeellä vaihtaa (admin) salasanan?

Admin-käyttäjäkään ei pääse suoraan käsiksi toisten käyttäjien tiedostoihin. Komentorivin kautta ja pääkäyttäjän oikeuksia käyttämällä sen voi kuitenkin tehdä. FileVault-järjestelmä käyttää erillistä salasanaa, joten siihen ei pure edes root-käyttäjä, vaan pitää tietää salausavain tai master-salasana.
Turvakopioihin en suosittele FileVaultin käyttöä, vaan vahvaa fyysistä suojausta (kunnolla lukittu kaappi). Lahopäisyys iskee nimittäin ensimmäiseksi salasanoihin.

--Ari

PS. Tiedostojärjestelmässä ei ole salausta. FileVault on tiedostojärjestelmän päällä oleva salattu tietovarasto, joka tiedostojärjestelmässä näkyy tiedostona.

[matteus/2]

Levytyökalu on toinen mainio työkalu, sillä voi tehdä kryptatun levyimagen. Tuolle levyimagelle voi tallentaa mitä sitten tarve onkin ja vaikka polttaa DVD:lle koko imagen. Sitä ei ihan helposti aukaise kukaan. Tekniikka on sama kuin FileVaultissa. Turvallisuus on sitä luokkaa että salasanat on syytä muistaa, Apple ei kykene auttamaan jos salasanat ovat kateissa.

Tein kokeeksi kryptatun imagen eräästä kansiosta, käytin Levytyökalun suosittelemaa AES-128 kryptausta, valitsin salanan (en tallettanut sitä Avainnippuun) ja luin varoitukset että jos salasana hukkuu niin tietoa ei voida palauttaa. Nyt kuitenkin kun tuplaklikkaan syntynyttä imagea niin se aukeaa ihan normaalisti, eikä kysele mitään - mikäs nyt mättää?

[spiidi78]

Tein kokeeksi kryptatun imagen eräästä kansiosta, käytin Levytyökalun suosittelemaa AES-128 kryptausta, valitsin salanan (en tallettanut sitä Avainnippuun) ja luin varoitukset että jos salasana hukkuu niin tietoa ei voida palauttaa. Nyt kuitenkin kun tuplaklikkaan syntynyttä imagea niin se aukeaa ihan normaalisti, eikä kysele mitään - mikäs nyt mättää?

Kokeilin perässä samaa ja minulla se kyllä kysyi salasanaa..

[NOx]

Nyt kuitenkin kun tuplaklikkaan syntynyttä imagea niin se aukeaa ihan normaalisti, eikä kysele mitään - mikäs nyt mättää?

Laitoit salasanan avainnippuun?

[matteus/2]

Kuten kirjoitin, mielestäni nimenomaan ruksasin pois sen "Lisää avainnippuun" kohdan, mutta inhimillinen moka lienee ainoa vaihtoehto. Hetken jo ajattelin että tuossa olisi joku järjetön systeemi että sen saa auki sillä koneella ja käyttäjätunnuksella millä se on luotu..

[Lare]

Kerro tarkemmin tuosta MS Windows Checkpointista?

Itseasiassa se on PointSec. Sorry. PS tulee käsittääkseni Windows Office -paketin mukana, eikä ole Home -editiossa. Se kryptaa kovalevyn. Käynnistyessä ekana kysytään PointSec toimesta salasana ja käyttäjätunnus. Myöhemmin vielä joudut antamaan Windows NT-salasanan. Mikrotuella on ilmeisesti toinen konekohtainen salasana, koska ne pääsee käsiksi vaikka muutaisit ja hukkaisit omasi. PointSec on myös eräänlaisena näytönsäästäjänä, koneeseen käsiksipääsyyn vaaditaan (Windows) kirjautuminen näytönsäästäjän ollessa päällä. Lienee konfattavissa, milloin aktivoituu, ja voi aktivoida myös manuaalisesti. PointSec toimii huomaamattomasti taustalla, kaikki toimii kuten salausta ei olisikaan.

En tiedä miten se tapahtuu, mutta kaverin firmassa (ei omistamassa) politiikka on että mikrotuki antaa tilattaessa ulkoisen kovalevyn, joka on kryptattu samoilla avaimilla. Täten levyn tietoihin ei sivulliset pääse käsiksi.

[Lare]

Ehkä hieman off-topic:
Varmuuskopioista haluaisin salata
- käyttäjätunnus + salasanalistan
- sähköpostit.

Käyttäjätunnuksiin mulla on tekstitiedosto, jossa on palvelun osoite, username + salasana tyyliin "salasana1". Mulla on muutama kantasalasana, esim työasioihin salasana1 ja siihen ehkä numeroita perään. On tärkeää että huuhaa-palveluihin ei anna työ- tai raha-asioiden salasanaa. Toinen salasana on kohtalaisen luetettaviin palveluihin. Ja huuhaisiin omansa.

Sähköposti ei ole vielä ongelma, koska käytän työpaikan meiliä, ja WEB-meilejä. Voisin hyvin kuvitella, että perheen sisälläkin on joillakin syytä salata meilinsä, jos on "sivubisneksiä". Jos siis meilitiedosto on kovalevyllä. Siihen voi käyttää vaikka PGP:tä, mutta back-upista tullee aika työläs...

[Jamac]

En nyt jaksa lukea ketjua läpi, mutta tuollaiseen tarkoitukseen minusta olisi parasta luoda Levytyökalulla eli Disk Utilityllä pikkuinen Disk Image -tiedosto johon AES-128 suojaus päälle.

Nyt kun se on valmis, niin pidä sitä vaikka työpöydällä ja kaksoisklikkaa sitä jolloin se mounttaantuu Virtuaalilevyasemaksi. Sitä ennen se kysyy kuitenkin salasanaa. Kun se on mounttantunut niin tallentelet ja luet sinne Virtuaaliasemalle kuin mihin tahansa levyasemaan. Sitten kun et käytä sitä niin Unmounttaat sen virtuaaliaseman viemällä sen roskiksen päälle tai sitten vaikka Finderin ikkunan sivupalkista.

Ja kukaan ei pääse katselemaan tuon Disk Imagen sisälle ellei tiedä salasanaa. Jos tuo disk image jää tarpeeksi pieneksi niin voit vaikka varmuuskopioida sen jonnekin verkkoon, vaikka Gmailiin tms. ja turvassa on.

[NOx]

Itseasiassa se on PointSec. Sorry. PS tulee käsittääkseni Windows Office -paketin mukana, eikä ole Home -editiossa. Se kryptaa kovalevyn. Käynnistyessä ekana kysytään PointSec toimesta salasana ja käyttäjätunnus.

PointSec on PointSecin tuote ja siitä on olemassa keskitetyllä hallinnalla oleva versio ja työasemakohtainen versio, kuten PGP:stäkin. MS:llä ei ole kait asian kanssa mitään tekemistä?

[Lare]

PointSec on PointSecin tuote ja siitä on olemassa keskitetyllä hallinnalla oleva versio ja työasemakohtainen versio, kuten PGP:stäkin. MS:llä ei ole kait asian kanssa mitään tekemistä?

En tiedä PointSec & MS suhteesta sen tarkemmin. Joskus vaan katselin PC:tä ostettavaksi, ja PC-SuperStoressa homma oli paketoitu niin että PointSec tuli OfficeEditiossa mutta ei home editiossa. Tämä oli joskus reilu vuosi sitten. MS sivuilta kyllä löytyy pointereita PointSecin sivuille partner-sivuilla. (Pikainen googlaus antoi tälläisen kuvan).

[at]

PointSec on oma erillinen yritys.
MS ei omista sitä mutta he tekevät jonkin verran yhteistyötä.
Checkpoint taas valmistaa palomuuriohjelmitoa.

[Mictlantecuhtli]

Jos haluaa että muut eivät pysty edes lukemaan tiedostoja, niin komentoriviltä sen pitäisi onnistua helpo(hko)sti komennoilla

cd /Users
chmod og-rwx käyttäjä

Komento poistaa muilta (o=other) ja käyttäjän ryhmältä (g=group), jos sellainen on, luku-, kirjoitus- ja suoritusoikeudet (r=read, w=write, x=execute).

En ole kyllä itse testannut OSX:ssä kun en tarvitse kuin yhden käyttäjätunnuksen.

[nobu178]

Jos haluaa käyttää ilmaista salausohjelmaa, löytyy seuraava:

Mac GNU Privacy Guard

Ehkä kokeilemisen arvoinen.

[jole]

Jos haluaa käyttää ilmaista salausohjelmaa, löytyy seuraava:

Mac GNU Privacy Guard

Ehkä kokeilemisen arvoinen.

Erinomainen ohjelma, mutta ei sisällä PGPDiskiä vastaavaa toiminnallisuutta. (Eli sen puolesta ainoa vaihtoehto taitaa olla filevault)

[jole]

Varoituksen sana FileVaultin käyttäjille. Valitettavasti suon kryptauksen purkaminen on triviaalia jos samalla ei kytke päälle virtuaalimuistin cryptausta (jota 10.3:ssa ei ole mukana).