Ho abilitato File Vault in Lion su un computer condiviso con diversi account utente. È possibile crittografare ciascuna directory home dell'utente in modo tale che altri utenti non possano accedere ai propri dati? Così com'è, posso andare sul terminale e (usando sudo ) accedere a tutti i file in tutti gli account. Mi piacerebbe essere in grado di impedirlo.
È più semplice che ogni utente memorizzi le proprie informazioni private in immagini disco crittografate dal vecchio metodo di Filevault (1) la crittografia dell'intera cartella home non è qualcosa che puoi configurare su Lion con strumenti semplici.
Lion continua a supportarlo, quindi è possibile eseguire la migrazione in un sistema shell che ha configurato gli account necessari per utilizzare il vault, quindi crittografare l'unità e infine spostarsi nei file da un'unità esterna di backup e presumibilmente avere sia l'eredità schema di archiviazione di filevault e il nuovo schema in cui l'intero disco non è disponibile fino all'inserimento della password dell'unità.
Tieni presente che root (e qualsiasi utente amministratore che conosca sudo) ha il controllo totale del sistema e può eliminare, rimuovere qualsiasi protezione impostata da root. L'uso della crittografia con una password distinta è l'unico metodo per impedire a root di dare un senso ai file che può facilmente accedere.
Come sai, l'utente root può annullare tutto ciò che fa un altro amministratore / root, ma poiché tutte le chiamate a sudo vengono registrate, così puoi utilizzarlo per scoraggiare e rilevare l'accesso. Se hai solo bisogno di scoraggiare la copia / navigazione inattiva, il comando seguente limiterà l'accesso a tutti tranne l'utente root e il proprietario della directory.
sudo chmod go-rx /Users/username
A meno che non si voglia frenare fisicamente il Mac (per impedire l'accesso agli interni) e utilizzare una password del firmware per impedire l'avvio da un sistema operativo alternativo in cui il "cattivo attore" può ignorare tutte le restrizioni e permessi dell'account, è necessario considerare l'installazione di TrueCrypt o un altro strumento di crittografia reale. Ha una miriade di opzioni per crittografare file, cartelle, interi dischi rigidi, ecc.
Inoltre, per altri suggerimenti per il rafforzamento, fare riferimento a questo documento NSA:
Il vantaggio di questo sull'eredità di Filevault è che è più probabile che venga supportato in futuro e tutte le tue uova di crittografia non vengano archiviate nel paniere di Apple usando solo Filevault.