Я использую загрузочную флешку с OSX Yosemite, одну учетную запись администратора и несколько учетных записей пользователей (в целях тестирования я перенесусь на MacBook, когда я получу эту работу). Я пытаюсь найти способ гарантировать конфиденциальность / безопасность для каждой отдельной учетной записи друг от друга и извне. Я включил filevault2, поэтому есть пароль для монтирования диска.
Оказывается, любой, кто может смонтировать диск (с разблокировкой filevault), может перенести флешку на другой компьютер с правами администратора и отключить разрешения. Поскольку для меня не практично иметь только одну учетную запись, способную разблокировать диск, мне нужно было найти способ защитить каждую учетную запись друг от друга. (в том числе от админа, не-root, аккаунт)
Читая руководства, я нашел способ поместить домашний каталог каждого пользователя в отдельный раздел. Я думал, что смогу использовать это для создания дополнительных точек контроля доступа с использованием зашифрованных разделов.
Например: http://lnx2mac.blogspot.com/2010/09/moving-os-x-users-to-separate-partition.html
Однако шифрование этих разделов оставило у меня некоторые нежелательные побочные эффекты. Я настроил его, используя приведенное выше руководство, чтобы отредактировать /etc /fstab, чтобы установить домашний каталог пользователей на отдельном зашифрованном разделе на флэш-диске. К сожалению, существует небольшая проблема при входе в эти учетные записи. Поскольку диск не расшифровывается и не монтируется до появления запроса после загрузки графического интерфейса рабочего стола, соответствующий рабочий стол не загружается (отображается содержимое папки /Applications) до тех пор, пока я не разблокирую, не подключу, не выйду из системы и снова не войду в систему.
Есть ли способ исправить это, чтобы мне нигде не приходилось жестко кодировать пароль? Я читал о попытке использовать launchd для выполнения "похожих" задач, но я не уверен, как использовать пароль для входа со всеми учетными записями в отдельных разделах. Я довольно новичок в использовании демонов запуска, поэтому, если это является частью решения, предоставьте как можно больше подробностей. (Я попытался проверить опцию "сохранить пароль в цепочке для ключей", но она не сработала, возможно, потому, что домашняя страница зашифрована на подключаемом разделе.)
Предостережения: я пытаюсь достичь этого без использования неродных инструментов или программного обеспечения, если это возможно. До сих пор все шифрование выполнялось с помощью filevault и diskutil.
Вкратце: разблокируйте и смонтируйте зашифрованный раздел, содержащий домашний каталог отдельных пользователей, предоставляя представление о рабочем столе без необходимости выхода и повторного входа. Кроме того, безопасно ли использовать цепочку для ключей, если вы не можете предположить, что учетная запись администратора (не root) не будет пытаться использовать ее для получения доступа?