OSX Desbloqueio Automático e Montar Conta de Usuário Criptografada em Partição Separada

Navegue suas respostas
0

Estou usando uma unidade flash inicializável com o OSX Yosemite, uma única conta de administrador e várias contas de usuário (para fins de teste, migrarei para o MacBook quando eu fizer isso funcionar). Eu estou tentando encontrar uma maneira de garantir privacidade / segurança para cada conta individual do outro e do exterior. Eu ativei o filevault2, então há uma senha para montar a unidade.

Como se constata, qualquer pessoa capaz de montar a unidade (com o desbloqueio de filevault) é capaz de levar a unidade flash para outro computador com acesso de administrador e desativar as permissões. Como não é prático para mim ter apenas uma única conta capaz de desbloquear a unidade, eu precisava encontrar uma maneira de proteger todas as contas umas das outras. (incluindo da conta admin, não raiz,)

Lendo sobre guias, descobri uma maneira de colocar o diretório inicial de cada usuário em uma partição separada. Pensei que poderia usar isso para criar pontos de controle de acesso adicionais usando partições criptografadas.

Por exemplo: link

No entanto, a criptografia dessas partições me deixou com alguns efeitos colaterais indesejados. Configurei-o usando o guia acima para editar o / etc / fstab para definir um diretório inicial de usuários em uma partição criptografada separada na unidade flash. Infelizmente, há um pequeno problema ao fazer login nessas contas. Como a unidade não é descriptografada e montada até ser solicitada depois que a GUI da área de trabalho é carregada, a área de trabalho adequada não é carregada (o conteúdo da pasta Aplicativos aparece) até que eu desbloqueie, monte, efetue logout e login novamente.

Existe uma maneira de corrigir isso para que eu não precise codificar uma senha em nenhum lugar? Eu estava lendo sobre a tentativa de usar o launchd para realizar tarefas "semelhantes", mas não tenho certeza de como usar a senha de login com todas as minhas contas em partições separadas. Eu sou muito novo em usar daemons de lançamento, então se isso é parte da solução, forneça o máximo de detalhes possível. (Eu tentei verificar a opção "salvar senha para chaveiro", mas não funcionou, provavelmente porque a casa está criptografada na partição a ser montada).

Advertências: Estou tentando realizar isso sem ferramentas ou softwares não-nativos, se possível. Toda a criptografia até agora foi feita com o filevault e o diskutil.

Resumindo: Desbloqueie e monte uma partição criptografada contendo um diretório pessoal de usuários individuais, concedendo uma visão da área de trabalho adequada sem precisar sair e voltar. Além disso, é seguro usar um chaveiro se você não puder assumir um administrador (não -root) não tentará explorá-lo para obter acesso?

    
por Dan 08.07.2015 / 17:39

1 resposta

0

Você pode conseguir o que deseja com o Legacy FileVault (também conhecido como FileVault 1). Isso se baseou no armazenamento da pasta base de um usuário em uma imagem de disco criptografada (criptografada com a senha de login do usuário) e na montagem automática no login. Cada usuário configurado nesse modo obtém seu próprio contêiner criptografado, com sua própria senha.

Mas, como o nome sugere, não é mais totalmente suportado; desde que o FileVault 2 estreou no OS X v10.7, contas criptografadas com FV1 ainda podem ser usadas, mas a configuração de novas contas FV1 não é suportada. Mas você pode ser capaz de fingir. Eu encontrei um conjunto de instruções em lab.maiux.com descrevendo como falsificar manualmente a criptografia do FV1 para uma conta. Eles foram escritos para o OS X Lion (10.7), mas a partir dos comentários eles, pelo menos, trabalham em versões posteriores também. Eu não os testei, então não posso fazer nenhuma promessa. Eu posso lhe dar alguns avisos, no entanto:

  • Faça backup de qualquer coisa importante primeiro! E continue fazendo o backup depois de configurar o FV1 (e verifique se você está realmente fazendo backup do que precisa). É perfeitamente possível que isso funcione perfeitamente quando você testá-lo no seu pen drive, e depois falhar catastroficamente quando você tentar de verdade. As imagens de disco criptografadas também estão sujeitas a corrupção devido a falhas do sistema, etc; uma imagem corrompida pode tornar a sua pasta pessoal inteira irrecuperável.

  • Como eu disse, isso não é suportado neste momento, e a Apple pode decidir parar mesmo permitindo login em contas FV1 em algum momento. Eu não ouvi (ou testei) se ainda é suportado nos 10.11 betas.

por 10.07.2015 / 02:15

Tags

Debian 8: Servidor faz com que os roteadores dhcp travem Como esconder GUI de qualquer programa do Windows?