Я использую загрузочную флешку с OSX Yosemite, одну учетную запись администратора и несколько учетных записей пользователей (в целях тестирования я перенесусь на MacBook, когда я получу эту работу). Я пытаюсь найти способ гарантировать конфиденциальность / безопасность для каждой отдельной учетной записи друг от друга и извне. Я включил filevault2, поэтому есть пароль для монтирования диска.

Оказывается, любой, кто может смонтировать диск (с разблокировкой filevault), может перенести флешку на другой компьютер с правами администратора и отключить разрешения. Поскольку для меня не практично иметь только одну учетную запись, способную разблокировать диск, мне нужно было найти способ защитить каждую учетную запись друг от друга. (в том числе от админа, не-root, аккаунт)

Читая руководства, я нашел способ поместить домашний каталог каждого пользователя в отдельный раздел. Я думал, что смогу использовать это для создания дополнительных точек контроля доступа с использованием зашифрованных разделов.

Например: http://lnx2mac.blogspot.com/2010/09/moving-os-x-users-to-separate-partition.html

Однако шифрование этих разделов оставило у меня некоторые нежелательные побочные эффекты. Я настроил его, используя приведенное выше руководство, чтобы отредактировать /etc /fstab, чтобы установить домашний каталог пользователей на отдельном зашифрованном разделе на флэш-диске. К сожалению, существует небольшая проблема при входе в эти учетные записи. Поскольку диск не расшифровывается и не монтируется до появления запроса после загрузки графического интерфейса рабочего стола, соответствующий рабочий стол не загружается (отображается содержимое папки /Applications) до тех пор, пока я не разблокирую, не подключу, не выйду из системы и снова не войду в систему.


Есть ли способ исправить это, чтобы мне нигде не приходилось жестко кодировать пароль? Я читал о попытке использовать launchd для выполнения "похожих" задач, но я не уверен, как использовать пароль для входа со всеми учетными записями в отдельных разделах. Я довольно новичок в использовании демонов запуска, поэтому, если это является частью решения, предоставьте как можно больше подробностей. (Я попытался проверить опцию "сохранить пароль в цепочке для ключей", но она не сработала, возможно, потому, что домашняя страница зашифрована на подключаемом разделе.)

Предостережения: я пытаюсь достичь этого без использования неродных инструментов или программного обеспечения, если это возможно. До сих пор все шифрование выполнялось с помощью filevault и diskutil.

Вкратце: разблокируйте и смонтируйте зашифрованный раздел, содержащий домашний каталог отдельных пользователей, предоставляя представление о рабочем столе без необходимости выхода и повторного входа. Кроме того, безопасно ли использовать цепочку для ключей, если вы не можете предположить, что учетная запись администратора (не root) не будет пытаться использовать ее для получения доступа?

1 ответ1

0

Вы можете достичь желаемого с помощью Legacy FileVault (он же FileVault 1). Это было основано на хранении домашней папки пользователя в зашифрованном образе диска (зашифрованном с помощью пароля пользователя для входа в систему) и автоматическом монтировании ее при входе в систему. Каждый пользователь, настроенный в этом режиме, получает свой зашифрованный контейнер со своим паролем.

Но, как следует из названия, это больше не поддерживается полностью; поскольку FileVault 2 дебютировал в OS X v10.7, учетные записи, зашифрованные с помощью FV1, все еще можно использовать, но настройка новых учетных записей FV1 не поддерживается. Но вы можете подделать это. На сайте lab.maiux.com я нашел набор инструкций, описывающих, как вручную подделать шифрование FV1 для учетной записи. Они были написаны для OS X Lion (10.7), но по комментариям они, по крайней мере, в основном работают и в более поздних версиях. Я не проверял их, поэтому не могу давать никаких обещаний. Я могу дать вам пару предупреждений:

  • Сделайте резервную копию чего-нибудь важного в первую очередь! И продолжайте резервное копирование после настройки FV1 (и убедитесь, что вы на самом деле делаете резервные копии того, что вам нужно). Вполне возможно, что это будет отлично работать, когда вы тестируете его на флеш-накопителе, а затем катастрофически терпите неудачу, когда вы пробуете его по-настоящему. Зашифрованные образы дисков также подвержены повреждениям из-за сбоев системы и т. Д .; Поврежденное изображение может сделать вашу домашнюю папку невосстановимой.

  • Как я уже сказал, на данный момент это не поддерживается, и Apple может в какой-то момент решить прекратить даже вход в учетные записи FV1. Я не слышал (или проверял), поддерживается ли он в бета-версиях 10.11.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .