Externe HDD mit Benutzerrechten statt größere interne HDD?

[gammler1403]

Hallo zusammen,

ich überlege irgendwann einen neuen Mac Mini zu kaufen, da mein 2008er iMac nun recht alt ist.

Problemstellung:
- Festplatte nicht eigenständig wechselbar
- Apples übertriebene Preisvorstellung für größere SSDs

Lösungsvorschlag:
- externe SSD anschließen
- externe SSD so partitionieren, dass Nutzer A, Nutzer B und Nutzer C je eine eigene Partition haben
- Zugriffsrechte so setzen, dass jeder Nutzer (ob Admin oder Standard) nur seine eigene Partition öffnen kann (Partition A: everyone: kein Zugriff; Nutzer A: Lesen & Schreiben; Häkchen bei Eigentümer ignorieren raus)

Am iMac funktioniert es - getestet mit einem USB Stick - sehr gut. Was mich nur wundert ist, dass der gleiche USB Stick an meinem anderen Gerät (Macbook Pro) die Daten "meiner Partition" fröhlich freigibt, obwohl er Zugriff von einem anderen Nutzernamen erfolgt. Liegt das an der gleichen Apple ID für den Benutzer trotz anderem Benutzernamen? Die anderen Partitionen (Nutzer B und C) werden nicht freigegeben. Letztere haben keine Accounts auf dem MacbookPro.

Frage 1: Wird der USB Stick deshalb freigegeben, weil es die gleiche Apple ID ist?
Frage 2: Gibt es sonstige Probleme, die mir noch nicht aufgefallen sind? Ich möchte mehr Speicher, diesen aber aus Preisgründen extern anschließen aber trotzdem abtrennen.

Dankeschön

 

[Wuchtbrumme]

Du willst ein NAS.
Logische Sicherheit ohne physische Sicherheit ist logisch nicht durchsetzbar.

 

[Dx667]

Die externe SSD ist eine gute Idee.
Von den Partitionen würde ich absehen, das fällt dir irgendwann auf den Kopf.
Das ganze kannst du auch über die Benutzerrechte steuern.

Das es beim USB Stick nicht geht liegt vielleicht am Dateisystem. Welches hast du auf dem Stick?

Edit:
Ah sorry...ich habe da was überlesen.
Das mit dem USB Stick am anderen Rechner liegt an deiner Nutzer ID. Die Rechte werden ja nicht anhand des Namens sondern anhand der ID vergeben.
Das kannst du nur mittels Verschlüsselung verhindern.

 

[gammler1403]

Du willst ein NAS.
Logische Sicherheit ohne physische Sicherheit ist logisch nicht durchsetzbar.

Ein NAS möchte ich eigentlich nicht, da zum Einen teurer und zum Anderen langsamer als eine direkt angeschlossene ext. SSD/HDD.

 

[gammler1403]

Die externe SSD ist eine gute Idee.
Von den Partitionen würde ich absehen, das fällt dir irgendwann auf den Kopf.
Das ganze kannst du auch über die Benutzerrechte steuern.

Das es beim USB Stick nicht geht liegt vielleicht am Dateisystem. Welches hast du auf dem Stick?

Ich habe testweise nur eine Partition eingestellt mit mehreren Ordnern auf dem USB Stick. Ich habe es jedoch nicht geschafft die Ordner so einzustellen, dass jeder Ordner nur durch einen Benutzer zu öffen war. Die Realität sah so aus, dass jeder Ordner durch jeden Nutzer zu öffnen war.

Der USB Stick war Mac OS Extended (Journaled) formatiert.

 

[Wuchtbrumme]

Nochmal: Wenn irgendjemand Zugriff auf den Datenträger hat, dann kann derjenige jegliche Berechtigung auf dem Datenträger durchbrechen. Von daher ist die Diskussion darüber eh überflüssig. Ist genauso, als wenn Dein MBP abhanden kommt und Du hast kein Firmwarekennwort und das Laufwerk ist nicht verschlüsselt.

 

[gammler1403]

Ist angekommen. Das gleiche klappt bei einem EInbruch und EInbau einer HDD aus jedem Rechner auch denke ich. Mir geht es weniger um den ultimativen Schutz, sondern mehr um eine sagen wir räumliche Trennung zwischen mehreren Benutzern. Nicht auf NSA Level, aber auch nicht frei für jeden Nutzer einsichtbar.

Welche Risiken gibt es bei der Partitionslösung, wenn externe und interne Laufwerke mittels Time Machine separat gesichert sind?

 

[Wuchtbrumme]

Ist angekommen. [...]

Welche Risiken gibt es bei der Partitionslösung, wenn externe und interne Laufwerke mittels Time Machine separat gesichert sind?

also ist es doch nicht angekommen. Es gibt da keine Sicherheit, weil jede Sicherheit überwunden werden kann, weil physische Zugriffsmöglichkeit herrscht. Von daher: 100% Risiko, dass jeder alles lesen kann.

Du kannst versuchen, jedes System zu verschlüsseln, aber das ist erstens nicht trivial, weil nicht vorgesehen und ich glaube anhand der Diskussion hier auch nicht, dass Du als fortgeschrittener Nutzer einzustufen bist, der das hinbekäme (nicht böse gemeint), zum anderen erfordert es viel Disziplin, weil... ich nicht weiß, welche Fallstricke Du Dir selber hinbaust (sprich: mit dem A**** einreißen, was man mit den Händen aufgebaut hat). In jedem Fall muss man darauf achten, da Du es ja schon ansprichst, dass jedes TM-Backup einzeln zu verschlüsseln ist. Und ein verschlüsselter Datenträger darf niemals in einem anderen System gemountet werden und dabei der Schlüssel eingegeben und gespeichert werden.

Wäre ein Kiosk-System mit externem, jeweils eigenem USB-Stick für die privaten Daten etwas? Das lässt sich mit Login-Hook relativ einfach bauen. Dann könnte jeder seine Daten mitnehmen und für sich selber verwahren. Hätte zudem den Charme, die doch extrem schnelle (und daher preislich auch gerechtfertigte) SSD-Lösung für das System zu nutzen. Bei jedem Login wird dabei der Benutzer neu angelegt und alle bisherigen Daten auf der SSD gelöscht. Also relativ sicher. Erfordert auch nur Disziplin, seine Daten auch auf den USB-Stick zu speichern und nicht querbeet.

Oder eben einzelne Datenträger, einer pro System, eines pro Benutzer. Nachdem wir hier über "HDD" sprechen, reden wir über bescheidene Kosten.