FileVault solo per le cartelle / Users / [user], ala Snow Leopard

Naviga le tue risposte
1

So che ci sono molte domande come questa su AskDifferent, ma non ne ho trovato nessuno che risolva in modo specifico l'omissione evidente nelle più moderne versioni di Mac OS per la crittografia della cartella home per utente tramite FileFault.

Non so quando Apple l'abbia cambiato, ma le versioni precedenti di OS X FileVault consentono di crittografare le intere cartelle utente / utente / [utente]. Non solo era "possibile", aveva un'interfaccia estremamente semplice che sembrava incoraggiare gli utenti a scoprire la funzionalità, e farlo.

Ad esempio, ho un Macbook Pro 6,2 2010 che esegue Snow Leopard, con cartelle crittografate / Utenti / [utente]. È una funzionalità eccezionale e molto necessaria per molti casi d'uso. (Ad esempio, la maggior parte degli scenari in cui più utenti usano lo stesso macbook, a casa o al lavoro.) Non aggiornerò mai il sistema operativo, in modo da non perdere questa funzionalità!

Uso anche un Macbook Pro 11,3 del 2014 che esegue El Capitan. FileVault non ha questa opzione per crittografare / Utenti / [utente]. Questo sembra un enorme passo indietro. La crittografia dell'intero disco, sebbene sia importante se si perde il laptop mentre è completamente spento, non farà nulla per risolvere il caso di uso comune sopra menzionato. (Inoltre, alcuni esperti considerano di avere cartelle home cifrate - più un account "ospite" senza password [più un servizio di recupero in esecuzione] - un buon modo per migliorare le probabilità di recuperare la macchina. Non perfetto e nessuna corrispondenza per ladri professionisti che solo puliscilo comunque, ma meglio di niente.)

Quindi questa domanda è in realtà divisa in due parti: 1) Esiste una soluzione, idealmente nativa, per la crittografia per utente / utenti / [utente]; e 2) Perché Apple ha rimosso una funzionalità così essenziale da FileVault? Forse solo Apple lo sa. Ma spesso il "perché" delle decisioni controverse è pubblicamente noto o almeno conosciuto. Per esempio. spiegati nei blog degli sviluppatori, note di rilascio, video di conferenze di utenti / sviluppatori pubblici, discorsi di convegni, interviste di sviluppatori di blog tecnologici, ecc.

Sono pienamente consapevole che è banalmente facile creare un file di loopback crittografato che posso montare dopo l'accesso e persino automatizzare il montaggio di, per archiviare documenti sensibili. Ma come sappiamo, c'è un bel po 'di potenziale sensibile le informazioni che vengono memorizzate automaticamente in / User / [home], in base alla progettazione e come previsto da Apple, incluse le impostazioni di cui potremmo non essere a conoscenza, che rendono imperativa la crittografia per utente dell'intero / utenti / [utente]. (E inoltre, invece di usare un file di loopback crittografato, userò semplicemente una cartella eCryptFS condivisa via SMB su una VM con Linux, che è la mia soluzione standard su Windows e Mac quando non eseguo Linux in modo nativo.)

BTW - Non uso TimeMachine.

Aggiornamento : il motivo fondamentale per la crittografia per utente della cartella / utente / [utente], con chiavi di crittografia univoche, è per proteggere i dati degli utenti da altri utenti della stessa sistema . Mentre uno potrebbe non essere d'accordo nel dare a più utenti gli stessi diritti sudo del sistema, ci sono molti casi legittimi di utilizzo per farlo. FileVault2 si limita a "proteggere" gli utenti gli uni dagli altri, tramite autorizzazioni file unix. Ma l'accesso ai dati degli altri è solo un "sudo chmod -R". Questa non è una soluzione reale , al fine di proteggere i dati degli utenti l'uno dall'altro. Una soluzione reale prevede chiavi di crittografia univoche delle intere cartelle domestiche dell'utente (/ home / [utente] o / utenti / [utente]). Molte distribuzioni Linux rendono questo banalmente facile, così come le versioni precedenti di Mac OS X / FileVault.

Aggiornamento 2 : le cartelle di sistema come Library e var "potrebbero" contenere dati utente sensibili, memorizzate apposta da app negligentemente progettate o trapelate accidentalmente, ma 1) quasi mai nel mondo reale di i sistemi unix e unix-like, 2) per convenzione per applicazioni ben educate non dovrebbero, e 3) soprattutto - non sono nemmeno fisicamente in grado di aumentare l'età della sandbox - es. Mac OS non consente alle app in esecuzione in modalità utente di scrivere in posizioni sensibili come quella. Inoltre, solo perché applicazioni mal comportate e / o dannose potrebbero perdere dati utente sensibili in una cartella di sistema, non è un argomento razionale contro un utente o un requisito organizzativo per proteggere gli utenti sudo gli uni contro gli altri sullo stesso sistema. Ma piuttosto che aggiungere un dibattito inutile a questa domanda, aggiorniamo semplicemente il requisito:

"Proteggere i dati degli utenti l'uno con l'altro con le proprie chiavi di crittografia univoche applicate all'intera cartella Utente / Utente / [utente], indipendentemente dal fatto che tutti gli utenti abbiano o meno diritti sudo, al fine di proteggere tutti i loro normali dati in modalità utente, ad eccezione del caso intrinsecamente difficile da coprire dei dati sensibili degli utenti trasmessi alle cartelle di sistema globali che, naturalmente, si suppone siano impossibili a livello di sistema operativo quando le app in modalità sandbox vengono eseguite dall'utente normale modalità ".

    
posta bubbles 11.08.2016 - 19:22
fonte

2 risposte

2

Consiglio vivamente di utilizzare la crittografia completa FileVault 2 invece di utilizzare l'aspirante FileVault 1 qui sotto!

Puoi imitare il comportamento di FileVault 1 con un'immagine sparsa di bundle o un secondo volume crittografato con FileVault 2. Tuttavia, sono necessari due utenti e non è una soluzione elegante.

Un backup corretto del tuo volume di sistema OS X prima di eseguire una delle due istruzioni qui sotto è strongmente consigliato!

Esempio di come fare con un'immagine sparsa di un gruppo:

usera : utente amministratore - usere : utente con cartella utente che deve essere crittografato

  • come usere crea un'immagine di bundle sparsa criptata - abbastanza grande da contenere tutti i contenuti usere attuali e futuri

  • monta l'immagine e crea una cartella con il nome usere e modificala con chmod 744 ...

  • disconnettersi come usere e accedere come usera
  • disabilita "Ignora proprietà su questo volume" dell'immagine immagine sparsa montata

  • Apri il terminale e inserisci 

    su usere

  • Ora - come utente usere - copia il contenuto della cartella home di usere in / Volumes / name_of_sparsebundle_volume / usere: 

    rsync -aAvX /Users/usere/ /Volumes/name_of_sparsebundle_volume/usere

  • rinomina la vecchia cartella home di usere: 

    mv /Users/usere /Users/userebackup
  • esci usere - ora sei usera di nuovo

  • link / Volumes / name_of_sparsebundle_volume / usere to / Users: 

    sudo ln -s /Volumes/name_of_sparsebundle_volume/usere /Users/usere

    Potrebbe essere necessario modificare le autorizzazioni del collegamento software con sudo chown usere:staff /Users/usere e sudo chmod 744 /Users/usere .

  • Ora disconnetti come usera e accedi come usere
  • Verifica se tutto funziona

  • Se tutto è a posto, rimuovi la cartella / Users / userebackup: 

    rm -Rd /Users/userebackup

Esempio di procedure con FileVault 2:

Il metodo è lo stesso, ad eccezione del fatto che devi crittografare un volume vuoto (volume del clic con il pulsante destro del mouse - > volume di crittografia) invece di creare un'immagine di bundle sparsa.

Non è possibile accedere direttamente a usere perché né l'immagine del pacchetto sparse crittografata né il volume FileVault 2 vengono montati all'avvio del sistema. Devi accedere come usera , montare l'immagine / volume, disconnettersi come usera & accedi come usere oppure puoi accedere in modalità console, montare e sbloccare l'immagine / volume e accedere come usere . Quest'ultimo non è stato verificato perché non è riuscito a farlo funzionare nella mia VM.

Secondo le fonti Internet, le immagini di pacchetti sparse crittografate sono soggette a corruzione dell'intestazione (crittografia). Tale danneggiamento dell'intestazione potrebbe rendere l'immagine non sbloccabile!

    
risposta data 12.08.2016 - 00:34
fonte
0

Puoi utilizzare la crittografia della cartella home precedente di FileVault 1 insieme alla crittografia del disco completo di FileVault 2 se stai eseguendo macOS Sierra 10.12 o precedente.

Tuttavia, High Sierra abbandona il supporto per FileVault legacy e non verrà installato fino a quando non si disabilita la crittografia della cartella home, quindi sii avvertito.

Detto questo, ci sono istruzioni per impostazione FileVault 1 su un nuovo sistema macOS .

Questo è un cambiamento piuttosto grave, quindi molto attento e più backup del tuo sistema e cartelle utente pronti per il ripristino se qualcosa va storto.

Sostituisci jason nell'esempio con il tuo nome utente come configurato per il tuo sistema e Jason Bourne con il tuo vero nome. 

dscl . -create /Users/jason
dscl . -create /Users/jason UserShell /bin/bash
dscl . -create /Users/jason RealName "Jason Bourne"
dscl . -create /Users/jason UniqueID 503
dscl . -create /Users/jason PrimaryGroupID 20
dscl . -create /Users/jason HomeDirectory "<home_dir><url>file://localhost/Users/jason/jason.sparsebundle</url></home_dir>"
dscl . -create /Users/jason NFSHomeDirectory /Users/jason
dscl . -passwd /Users/jason "apple"
mkdir /Users/jason
hdiutil create -quiet -encryption AES-256 -volname jason -certificate /Library/Keychains/FileVaultMaster.cer -fs JHFS+ /Users/jason/jason.sparsebundle -passphrase "apple"
chown -R jason:staff /Users/jason
chmod -R 500 /Users/jason
mv /Users/jason /Users/.jason
hdiutil attach -quiet -owners on /Users/.jason/jason.sparsebundle -mountroot /Users/ -nobrowse -passphrase "apple"
ditto "/System/Library/User Template/English.lproj/" /Users/jason
defaults write /Users/jason/Library/Preferences/.GlobalPreferences SuppressLegacyFVAlert 1
chown -R jason:staff /Users/jason
hdiutil detach -quiet /Users/jason
mv /Users/.jason /Users/jason

Se hai già una cartella crittografata, puoi mantenerla per un utente quando aggiorni il tuo sistema operativo usando un altro utente per aggiornare macOS in modo che FileVault legacy non possa essere rimosso automaticamente se non ricordo male.

In teoria, l'ultimo file system APFS di Apple, che divenne standard per SSDd in macOS High Sierra, supporta la crittografia multi-chiave nel senso che è possibile utilizzare chiavi diverse per utenti diversi, sebbene ciò non si rifletta nell'interfaccia utente di FileVault con APFS.

    
risposta data 06.06.2018 - 08:26
fonte

Leggi altre domande sui tag

Ottenere la schermata di gnu da eseguire su OS X El Capitan Disabilita la possibilità dell'utente di cambiare la chiave di recupero di FileVault