He habilitado File Vault en Lion en una computadora compartida con varias cuentas de usuario. ¿Es posible cifrar el directorio de inicio de cada usuario para que otros usuarios no puedan acceder a sus datos? Tal como está, puedo ir al terminal y (usando sudo ) acceder a todos los archivos en todas las cuentas. Me gustaría poder evitar esto.
Es más fácil que cada usuario almacene su información privada en imágenes de disco cifradas desde el antiguo método de Filevault (1) cifrar toda la carpeta de inicio no es algo que pueda configurar en Lion con herramientas sencillas.
Lion aún lo admite, por lo que podría migrar en un sistema de shell que tenía las cuentas necesarias configuradas para usar el almacén de archivos, luego cifrar la unidad y finalmente mover los archivos desde una unidad de respaldo externa y presumiblemente tener el legado el esquema de almacenamiento de archivos, así como el nuevo esquema donde el disco completo no estará disponible hasta que se ingrese la contraseña de la unidad.
Tenga en cuenta que la raíz (y cualquier usuario administrador que sepa sudo) tiene el control total del sistema y puede eliminar, eliminar cualquier protección establecida por la raíz. El uso del cifrado con una contraseña distinta es el único método para evitar que la raíz realmente tenga sentido de los archivos a los que puede acceder fácilmente.
Como ya sabe, el usuario root puede deshacer cualquier cosa que haga otro administrador / root, pero como todas las llamadas a sudo están registradas, puede usarlo para impedir y detectar el acceso. Si solo necesita desalentar la copia / navegación inactiva, el siguiente comando restringirá el acceso a todos menos al usuario root y al propietario del directorio.
sudo chmod go-rx /Users/username
A menos que vaya a restringir físicamente el mac (para evitar el acceso al interior) y use una contraseña de firmware para evitar el arranque desde un sistema operativo alternativo donde el "actor malo" puede pasar por alto todas las restricciones y permisos de la cuenta, necesitará para considerar la instalación de Truecrypt u otra herramienta de cifrado real. Tiene una gran cantidad de opciones para cifrar archivos, carpetas, discos duros completos, etc.
También, para otras sugerencias de fortalecimiento, consulte este documento de la NSA:
La ventaja de esto sobre el legado de Filevault es que es más probable que sea compatible en el futuro y todos sus huevos de cifrado no se almacenan en la canasta de Apple con solo Filevault.