Proteggi ogni account utente in Lion?

4

Ho abilitato File Vault in Lion su un computer condiviso con diversi account utente. È possibile crittografare ciascuna directory home dell'utente in modo tale che altri utenti non possano accedere ai propri dati? Così com'è, posso andare sul terminale e (usando sudo ) accedere a tutti i file in tutti gli account. Mi piacerebbe essere in grado di impedirlo.

    
posta Olly 16.09.2011 - 15:03
fonte

2 risposte

1

È più semplice che ogni utente memorizzi le proprie informazioni private in immagini disco crittografate dal vecchio metodo di Filevault (1) la crittografia dell'intera cartella home non è qualcosa che puoi configurare su Lion con strumenti semplici.

Lion continua a supportarlo, quindi è possibile eseguire la migrazione in un sistema shell che ha configurato gli account necessari per utilizzare il vault, quindi crittografare l'unità e infine spostarsi nei file da un'unità esterna di backup e presumibilmente avere sia l'eredità schema di archiviazione di filevault e il nuovo schema in cui l'intero disco non è disponibile fino all'inserimento della password dell'unità.

Tieni presente che root (e qualsiasi utente amministratore che conosca sudo) ha il controllo totale del sistema e può eliminare, rimuovere qualsiasi protezione impostata da root. L'uso della crittografia con una password distinta è l'unico metodo per impedire a root di dare un senso ai file che può facilmente accedere.

    
risposta data 16.09.2011 - 17:29
fonte
1

Come sai, l'utente root può annullare tutto ciò che fa un altro amministratore / root, ma poiché tutte le chiamate a sudo vengono registrate, così puoi utilizzarlo per scoraggiare e rilevare l'accesso. Se hai solo bisogno di scoraggiare la copia / navigazione inattiva, il comando seguente limiterà l'accesso a tutti tranne l'utente root e il proprietario della directory.

sudo chmod go-rx /Users/username

A meno che non si voglia frenare fisicamente il Mac (per impedire l'accesso agli interni) e utilizzare una password del firmware per impedire l'avvio da un sistema operativo alternativo in cui il "cattivo attore" può ignorare tutte le restrizioni e permessi dell'account, è necessario considerare l'installazione di TrueCrypt o un altro strumento di crittografia reale. Ha una miriade di opzioni per crittografare file, cartelle, interi dischi rigidi, ecc.

Inoltre, per altri suggerimenti per il rafforzamento, fare riferimento a questo documento NSA:

link

Il vantaggio di questo sull'eredità di Filevault è che è più probabile che venga supportato in futuro e tutte le tue uova di crittografia non vengano archiviate nel paniere di Apple usando solo Filevault.

    
risposta data 16.09.2011 - 15:35
fonte

Leggi altre domande sui tag