¿Hay alguna forma de deshabilitar un disco o una controladora de disco antes de que se inicie OSX?

Navega tus respuestas
0

Context:

Utilizo un mac para operaciones forenses de recuperación de datos, y para cumplir con los requisitos de mis usuarios, debo garantizar que no se realicen escrituras en un disco duro físico conectado a un mac hasta que un usuario habilite el disco.

Pregunta :

¿Es posible desactivar todos los accesos a un disco, puerto SATA o controlador de disco completamente fuera del sistema operativo, antes de que el sistema se inicie ?

Desactivar solo el acceso de lectura es aceptable, pero tiende a ser más difícil de verificar en comparación con "hacer que la computadora actúe como si el disco no estuviera conectado".

Cuando estábamos haciendo la recuperación de datos con una torre casera de Linux, entramos en el BIOS y deshabilitamos el puerto SATA con los discos sensibles en él.

Está bien deshabilitar todo el controlador de disco como parte de una solución; estos sistemas se inician externamente desde dispositivos USB y los discos duros internos no se utilizarán hasta que se vuelvan a habilitar.

El puerto físico al que están conectados los discos en cuestión no cambiará.

Lo que he probado:

He visto las soluciones para esta pregunta . Todas esas soluciones deshabilitan los discos justo después de arrancar , lo cual no es suficiente: deshabilitar el montaje automático del disco u ocultarlo de la administración del disco de OSX no cumple los requisitos de auditoría de los usuarios (sin duda tonta).

Otras ideas:

¿Es posible hacer esto desde un shell EFI? Estoy feliz de instalar rEFInd o similar en los dispositivos USB de arranque.

¿Hay configuraciones de nvram que se pueden cambiar para lograr esto?

¿Hay parámetros de arranque del kernel que ordenan a OSX no inicializar o usar un dispositivo, árbol o disco PCI?

¿Hay módulos del kernel que podría instalar que lograrían esto? Si es así, es probable que necesiten ser de código abierto para que los usuarios puedan auditarlos y asegurarse de que estén cargados con la suficiente antelación para no dejar que se escriban.

Dado que el sistema operativo de recuperación es USB, ¿hay kexts que podría desinstalar para deshabilitar el acceso a todos los discos / dispositivos SATA?

    
pregunta Zac B 03.11.2016 - 17:00

1 respuesta

1

Una solución simple, ya que está arrancando un disco de recuperación / USB, podría montar la unidad en "solo lectura" a través de diskutil: 

diskutil mountDisk readOnly /dev/diskX

Ahora, si su disco de recuperación / USB ya lo ha montado cuando se carga, primero deberá desmontarlo: 

diskutil unmountDisk /dev/diskX

diskX es el identificador de la unidad del disco que está intentando (des) montar. Puede encontrarlo emitiendo el comando diskutil list y encontrando la unidad en la que está interesado.

Desde la página del manual:

  

Montar un solo volumen. Si se especifica readOnly, entonces el sistema de archivos   se monta solo para lectura, incluso si el sistema de archivos subyacente del volumen   y / o dispositivo y / o soporte de medios de comunicación; incluso el superusuario puede   No le escribas; esto es lo mismo que la opción rdonly para montar (8).   Si se especifica un -mountPoint, entonces esa ruta, en lugar de la   La ruta estándar de / Volumes / VolumeName, se utilizará como la vista en   el contenido del archivo de volumen; un directorio en esa ruta ya debe existir.

    
respondido por el Allan 07.11.2016 - 13:53

Lea otras preguntas en las etiquetas

¿Cómo puedo aumentar mi velocidad de desplazamiento con un mouse de terceros? Outlook Spell Checker en MAC