FileVault solo para las carpetas / Users / [user], ala Snow Leopard

1

Sé que hay muchas preguntas como esta en AskDifferent, pero no he encontrado ninguna que aborde específicamente la omisión bastante evidente en las versiones más modernas de Mac OS del cifrado de carpetas domésticas por usuario a través de FileFault.

No sé cuándo lo cambió Apple, pero las versiones anteriores de OS X FileVault le permiten cifrar las carpetas / Usuarios / [usuarios] individuales de usuarios individuales. No solo era "posible", sino que tenía una interfaz súper fácil que parecía alentar a los usuarios a descubrir la funcionalidad y hacerlo.

Por ejemplo, tengo una Macbook Pro 6,2 2010 que ejecuta Snow Leopard, con carpetas / Usuarios / [usuarios] encriptadas individualmente. Es una característica excelente y muy necesaria para muchos casos de uso. (Por ejemplo, la mayoría de los escenarios donde varios usuarios usan el mismo macbook, ya sea en casa o en el trabajo). ¡Nunca actualizaré el sistema operativo, por lo que no perderé esa funcionalidad!

También estoy usando un Macbook Pro 11,3 2014 con El Capitán. FileVault no tiene tal opción para cifrar / Usuarios / [usuario]. Esto parece un gran paso hacia atrás. Cifrar todo el disco duro, aunque es genial si pierde el portátil mientras está completamente apagado, no hará nada para solucionar el caso de uso común mencionado anteriormente. (Además, algunos expertos consideran tener carpetas domésticas cifradas, además de una cuenta "invitada" sin contraseña [más un servicio de recuperación en ejecución] - una buena manera de mejorar sus probabilidades de recuperar la máquina. No es perfecta y no es compatible con ladrones profesionales que simplemente límpielo de todos modos, pero mejor que nada.)

Entonces, esta pregunta es realmente en dos partes: 1) ¿Existe una solución, idealmente nativa, para el cifrado por usuario / Usuarios / [usuario]; y 2) ¿Por qué Apple eliminó una característica tan esencial de FileVault? Tal vez solo Apple lo sepa. Pero muchas veces el "por qué" detrás de las decisiones controvertidas son públicamente conocidos o al menos conocidos. P.ej. explicado en blogs de desarrolladores, notas de lanzamiento, videos de conferencias de usuarios / desarrolladores públicos, discursos de convenciones, entrevistas con desarrolladores de blogs de tecnología, etc.

Soy plenamente consciente de que es trivialmente fácil crear un archivo de bucle invertido cifrado que puedo montar después de iniciar sesión e incluso automatizar el montaje para almacenar documentos confidenciales. Pero como sabemos, existe un poco de información potencialmente sensible. la información que se almacena automáticamente en / User / [home], por diseño y según lo previsto por Apple, incluida la configuración que quizás ni siquiera conozcamos, que hace imprescindible el cifrado por usuario de toda la carpeta / Users / [user]. (Y además, en lugar de usar un archivo de bucle invertido cifrado, solo usaré una carpeta eCryptFS compartida a través de SMB para una VM que ejecuta Linux, que es mi solución estándar en Windows y Mac cuando no se ejecuta Linux de forma nativa).

BTW - No uso TimeMachine.

Actualización : la razón fundamental para el cifrado por usuario de su carpeta / Usuario / [usuario], con claves de cifrado únicas, es para mantener seguros los datos del usuario de otros usuarios del mismo sistema . Si bien uno puede estar en desacuerdo con otorgarle a varios usuarios el mismo sistema de derechos de sudo, existen muchos casos de uso legítimos para hacerlo. FileVault2 solo "protege" a los usuarios entre sí, a través de los permisos de archivos unix. Pero el acceso a los datos de otros está a solo un 'sudo chmod -R' de distancia. Esa no es una solución real , al requisito de proteger los datos de los usuarios entre sí. Una solución real implica claves de cifrado únicas de las carpetas domésticas completas de los usuarios (/ home / [user] o / Users / [user]). Muchas distribuciones de Linux hacen esto trivialmente fácil, al igual que las versiones anteriores de Mac OS X / FileVault.

Actualización 2 : las carpetas del sistema como Library y var "podrían" contener datos confidenciales del usuario, ya sea almacenados a propósito por aplicaciones de diseño negligente o filtradas accidentalmente, pero 1) casi nunca lo hacen en el mundo real de Unix y sistemas similares a Unix, 2) por convención para aplicaciones de buen comportamiento no se supone que deban, y 3) lo más importante: ni siquiera son físicamente capaces en una era en que aumenta la capacidad de uso de la caja de arena, por ejemplo Mac OS no permite que las aplicaciones que se ejecutan en modo de usuario escriban en ubicaciones sensibles como esa. Además, solo porque las aplicaciones mal hechas o malintencionadas puedan filtrar datos confidenciales del usuario a una carpeta del sistema, no es un argumento racional contra un usuario u requisito organizativo para proteger a los usuarios de sudo entre sí en el mismo sistema. Pero en lugar de agregar un debate innecesario a esta pregunta, actualicemos el requisito de ser:

"Asegure los datos de los usuarios entre sí con sus propias claves de cifrado únicas aplicadas a la carpeta completa / Usuario / [usuario] de cada usuario, independientemente de si alguno / todos los usuarios tienen derechos de sudo, para poder asegure todos sus datos del modo de usuario regular, excepto el caso intrínsecamente difícil de cubrir de datos confidenciales de usuario filtrados a carpetas globales del sistema que, por supuesto, se supone que son imposibles a nivel del sistema operativo cuando las aplicaciones de espacio aislado se ejecutan en usuarios regulares modo. "

    
pregunta bubbles 11.08.2016 - 19:22

2 respuestas

2

Recomiendo encarecidamente utilizar el cifrado completo de FileVault 2 en lugar de utilizar el siguiente aspirante de FileVault 1

Puede imitar el comportamiento de FileVault 1 con una imagen de paquete dispersa encriptada o con un segundo volumen encriptado con FileVault 2. Sin embargo, se necesitan dos usuarios y no es una solución elegante.

Se recomienda una copia de seguridad adecuada del volumen de su sistema OS X antes de realizar uno de los dos procedimientos a continuación:

Ejemplo de cómo hacerlo con una imagen de paquete disperso:

usera : usuario administrador - usere : usuario con carpeta de usuario que debe estar cifrada

  • como usere crea una imagen encriptada dispersa, lo suficientemente grande como para contener todo el contenido actual y futuro de usere

  • monte la imagen y cree una carpeta con el nombre de usuario y modifíquela con chmod 744 ...

  • cerrar sesión como usere e iniciar sesión como usera
  • inhabilite "Ignorar la propiedad en este volumen" de la imagen del paquete disperso montado
  • Abre la Terminal y entra

    su usere
    
  • Ahora, como usuario usere , copie el contenido de la carpeta de inicio de usere a / Volumes / name_of_sparsebundle_volume / usere:

    rsync -aAvX /Users/usere/ /Volumes/name_of_sparsebundle_volume/usere
    
  • renombra la antigua carpeta de inicio de usere:

    mv /Users/usere /Users/userebackup
    
  • salir de usere - ahora eres usera de nuevo
  • link / Volumes / name_of_sparsebundle_volume / usere to / Users:

    sudo ln -s /Volumes/name_of_sparsebundle_volume/usere /Users/usere
    

    Es posible que tenga que modificar los permisos del enlace flexible con sudo chown usere:staff /Users/usere y sudo chmod 744 /Users/usere .

  • Ahora cierre la sesión como usera e inicie sesión como usere
  • Comprueba si todo funciona
  • Si todo está bien, elimine la carpeta / Users / userebackup:

    rm -Rd /Users/userebackup
    

Ejemplo de cómo hacerlo con FileVault 2:

El método es el mismo, excepto que tiene que cifrar un volumen vacío (haga clic con el botón derecho del mouse - > cifrar volumen) en lugar de crear una imagen de paquete disperso.

No puede iniciar sesión en usere directamente porque ni la imagen del paquete escasa cifrada ni el volumen de FileVault 2 están montados mientras el sistema se inicia. También debe iniciar sesión como usera , montar la imagen / volumen, cerrar sesión como usera & inicie sesión como usere o puede iniciar sesión en modo consola, montar y desbloquear la imagen / volumen e iniciar sesión como usere . Este último no se ha probado porque no conseguí que funcionara en mi máquina virtual.

Según las fuentes de Internet, las imágenes de paquetes dispersos encriptados son propensas a la corrupción del encabezado (cifrado). ¡Tal corrupción de encabezado puede hacer que la imagen se pueda desbloquear!

    
respondido por el klanomath 12.08.2016 - 00:34
0

Puede usar el cifrado de la carpeta doméstica heredada de FileVault 1 junto con el cifrado completo del disco de FileVault 2 si está ejecutando macOS Sierra 10.12 o anterior.

Sin embargo, High Sierra descarta la compatibilidad con FileVault heredado y no se instalará hasta que deshabilites el cifrado de la carpeta de inicio, por lo que debes avisarte.

Dicho esto, hay instrucciones para configurando FileVault 1 en un nuevo sistema macOS .

Este es un cambio bastante grave, por lo que debe ser muy cuidadoso y tener múltiples copias de seguridad de su sistema y carpetas de usuario listas para restaurar si algo sale mal.

Reemplace jason en el ejemplo con su nombre de usuario configurado para su sistema y Jason Bourne con su nombre real.

dscl . -create /Users/jason
dscl . -create /Users/jason UserShell /bin/bash
dscl . -create /Users/jason RealName "Jason Bourne"
dscl . -create /Users/jason UniqueID 503
dscl . -create /Users/jason PrimaryGroupID 20
dscl . -create /Users/jason HomeDirectory "<home_dir><url>file://localhost/Users/jason/jason.sparsebundle</url></home_dir>"
dscl . -create /Users/jason NFSHomeDirectory /Users/jason
dscl . -passwd /Users/jason "apple"
mkdir /Users/jason
hdiutil create -quiet -encryption AES-256 -volname jason -certificate /Library/Keychains/FileVaultMaster.cer -fs JHFS+ /Users/jason/jason.sparsebundle -passphrase "apple"
chown -R jason:staff /Users/jason
chmod -R 500 /Users/jason
mv /Users/jason /Users/.jason
hdiutil attach -quiet -owners on /Users/.jason/jason.sparsebundle -mountroot /Users/ -nobrowse -passphrase "apple"
ditto "/System/Library/User Template/English.lproj/" /Users/jason
defaults write /Users/jason/Library/Preferences/.GlobalPreferences SuppressLegacyFVAlert 1
chown -R jason:staff /Users/jason
hdiutil detach -quiet /Users/jason
mv /Users/.jason /Users/jason

Si ya tiene una carpeta encriptada, puede conservarla para un usuario al actualizar su sistema operativo mediante la utilización de un usuario diferente para actualizar macOS, de modo que no se pueda eliminar automáticamente el FileVault heredado si no recuerdo mal.

En teoría, el último sistema de archivos APFS de Apple, que se convirtió en estándar para SSDd en macOS High Sierra, admite el cifrado de múltiples claves en el sentido de que podría usar diferentes claves para diferentes usuarios, aunque esto no se refleja en la interfaz de usuario de FileVault con APFS.

    
respondido por el Archimedix 06.06.2018 - 08:26

Lea otras preguntas en las etiquetas