Déverrouillage automatique OSX et montage du compte d'utilisateur chiffré sur une partition distincte

0

J'utilise un lecteur flash amorçable avec OSX Yosemite, un seul compte administrateur et plusieurs comptes d'utilisateur (à des fins de test, migrera vers MacBook lorsque j'aurai le logiciel en place). J'essaie de trouver un moyen de garantir la confidentialité / la sécurité de chaque compte individuel entre eux et de l'extérieur. J'ai activé filevault2 donc il y a un mot de passe pour monter le lecteur.

En fin de compte, toute personne capable de monter le lecteur (avec le déverrouillage de filevault) est en mesure de prendre le lecteur flash sur un autre ordinateur avec un accès administrateur et de désactiver les autorisations. Comme il n’est pas pratique pour moi de ne disposer que d’un seul compte capable de déverrouiller le lecteur, il me fallait trouver un moyen de sécuriser chaque compte l’un de l’autre. (y compris à partir du compte admin, non root,)

En parcourant les guides, j'ai trouvé un moyen de mettre le répertoire de base de chaque utilisateur sur une partition séparée. Je pensais pouvoir l'utiliser pour créer des points de contrôle d'accès supplémentaires à l'aide de partitions chiffrées.

Par exemple: http://lnx2mac.blogspot.com/2010/09/moving-os-x-users-to-separate-partition.html

Cependant, le cryptage de ces partitions m'a laissé des effets secondaires indésirables. Je l'ai configuré à l'aide du guide ci-dessus pour modifier le fichier / etc / fstab afin de définir le répertoire de base d'un utilisateur sur une partition chiffrée distincte du lecteur flash. Malheureusement, il existe un problème mineur lors de la connexion à ces comptes. Le lecteur n'étant ni déchiffré ni monté tant que le GUI du poste de travail n'a pas été chargé, le poste de travail approprié n'est pas chargé (le contenu du dossier / Applications apparaît) tant que je n'ai pas déverrouillé, monté, déconnecté, puis reconnecté.

Y at-il un moyen de résoudre ce problème afin que je n'ai pas besoin de coder en dur un mot de passe n'importe où? J'étais en train de lire sur le fait d'essayer d'utiliser launchd pour accomplir des tâches "similaires" mais je ne sais pas comment utiliser le mot de passe de connexion avec tous mes comptes sur des partitions séparées. Je suis assez nouveau pour utiliser les démons de lancement, donc si cela fait partie de la solution, veuillez fournir autant de détails que possible. (J'ai essayé de cocher l'option "enregistrer le mot de passe dans le trousseau" mais cela n'a pas fonctionné, probablement parce que la maison est chiffrée sur la partition à monter.)

Mises en garde: J'essaie d'accomplir cela sans outils ni logiciels non natifs, si possible. Jusqu'à présent, tout le cryptage a été fait avec filevault et diskutil.

En bref: Déverrouillez et montez une partition chiffrée contenant le répertoire de base d'un utilisateur individuel, permettant d'afficher le bureau approprié sans avoir besoin de vous déconnecter et de vous reconnecter. De plus, l'utilisation d'un trousseau est sans danger si vous ne pouvez pas assumer un administrateur (non root). compte ne va pas essayer de l'exploiter pour avoir accès?

macos  partitioning  encryption  mount 
Dan
source
J'ai fait quelques recherches supplémentaires et ai découvert que Launch Daemons pourrait être la solution. J'essaie encore de comprendre comment les utiliser. Je posterai tout ce que je trouverai au cas où quelqu'un se retrouverait dans cette situation à l'avenir.
Dan

Réponses:

0

Vous pouvez peut-être accomplir ce que vous voulez avec Legacy FileVault (aka FileVault 1). Cela reposait sur le stockage du dossier de départ d'un utilisateur dans une image disque chiffrée (chiffrée avec le mot de passe de l'utilisateur) et son montage automatique lors de la connexion. Chaque utilisateur configuré dans ce mode obtient son propre conteneur crypté, avec son propre mot de passe.

Mais comme son nom l'indique, il n'est plus entièrement pris en charge. Depuis que FileVault 2 a fait ses débuts dans OS X v10.7, les comptes chiffrés avec FV1 peuvent toujours être utilisés, mais la configuration de nouveaux comptes FV1 n'est pas prise en charge. Mais vous pourrez peut-être faire semblant. J'ai trouvé un ensemble d'instructions sur lab.maiux.com décrivant comment simuler manuellement le cryptage FV1 pour un compte. Ils ont été écrits pour OS X Lion (10.7), mais d'après les commentaires, ils fonctionnent pour la plupart dans les versions ultérieures. Je ne les ai pas testés, donc je ne peux faire aucune promesse du tout. Je peux cependant vous donner quelques avertissements:

  • Sauvegardez tout ce qui est important en premier! Et continuez à sauvegarder après avoir configuré FV1 (et assurez-vous de sauvegarder ce dont vous avez besoin). Il est tout à fait possible que cela fonctionne parfaitement lorsque vous le testez sur votre clé USB, puis échoue de façon catastrophique lorsque vous l’essayez réellement. Les images de disque cryptées sont également sujettes à la corruption en raison de pannes du système, etc. Une image corrompue pourrait rendre votre dossier de départ entier irrécupérable.

  • Comme je l’ai dit, cela n’est pas vraiment pris en charge à ce stade, et Apple pourrait décider de ne plus autoriser la connexion aux comptes FV1 à un moment donné. Je n'ai pas entendu (ou testé) s'il est toujours pris en charge dans les bêtas 10.11.

Gordon Davisson
source
C’est dans la bonne direction mais ce n’est pas tout à fait ce que je recherche car FileVault 1 n’est plus natif d’OSX. C'est pourquoi j'essaie d'utiliser le chiffrement fourni par Utilitaire de disque.
Dan
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.