Eu quero configurar um servidor Mac Mini com uma unidade externa criptografada. No Finder, posso usar a opção de criptografia de disco completo. No entanto, para vários usuários, isso pode se tornar complicado.
O que eu quero fazer é criptografar o volume externo e, em seguida, configurar as coisas para que, quando a máquina inicializar, o disco seja desbloqueado para que todos os usuários possam acessá-lo. É claro que as permissões precisam ser mantidas, mas isso é desnecessário.
O que estou pensando em fazer é configurar um script launchd de nível raiz que é executado uma vez na inicialização e desbloqueia o disco. As chaves de criptografia provavelmente seriam armazenadas no keychain do root.
Então, aqui está minha lista de preocupações:
/private/var/db/SystemKey
poderá ser usado para desbloquear as chaves se um invasor já tiver obtido acesso físico ao servidor. isso é ruim. Supondo que todos os trabalhos acima, eu encontrei diskutil coreStorage unlockVolume
, que parece ser o comando apropriado, mas os detalhes de onde armazenar a chave de criptografia é o maior problema. Se o chaveiro do sistema não é seguro o suficiente, e chaveiros do usuário exigem uma senha, qual é a melhor opção?