Ich hatte die FileVault 2-Verschlüsselung eingerichtet, während ich ein langes und starkes Benutzerkennwort verwendete, und später das Benutzerkennwort in ein kürzeres geändert. Zuerst schien alles so zu funktionieren, wie ich es erwartet hatte: OS X fragt beim Einschalten nach einem langen Passwort (weil dieses Passwort verwendet wurde, um alles zu verschlüsseln), und später kann ich meine Ausrüstung mit einem kürzeren Passwort entsperren.
Aber heute ist mir aufgefallen, dass ich das kurze Passwort auch nach dem Herunterfahren des Systems verwenden kann. Das erscheint sehr verdächtig! Warum ist das passiert und wie kann ich sicherstellen, dass das System im ausgeschalteten Zustand durch das lange Passwort geschützt ist?
Ich verwende OS X Mavericks 10.9.4.
FileVault sollte das aktuelle Passwort für Ihr Konto verwenden. Wenn Sie das Passwort Ihres Benutzerkontos ändern, wird FileVault mit dem neuen Passwort aktualisiert.
Wir können bekommen, was Sie wollen – ein langes FileVault-Passwort und ein kurzes Benutzerkonto-Passwort – indem wir zwei Benutzerkonten erstellen.
Wenn Sie FileVault zum ersten Mal aktivieren, wird nur das Benutzerkonto, das Sie zum Starten von FileVault verwenden, zum Entsperren von FileVault eingerichtet. Sie können die FileVault-Systemeinstellungen verwenden, um andere Konten zum Entsperren von FileVault hinzuzufügen, indem Sie den Benutzer auswählen und sein Passwort eingeben.
Nachdem FileVault aktiviert wurde, können alle neu erstellten Benutzer FileVault automatisch entsperren.
Um Ihr Ziel zu erreichen, ein sehr sicheres FileVault-Passwort und ein einfacher zu verwendendes Benutzerpasswort zu haben, müssen wir einen Benutzer mit einem starken Passwort erstellen, um FileVault zu entsperren und alle anderen Benutzer aus FileVault zu entfernen.
Angenommen, Sie haben FileVault aktiviert. Ihr aktuelles Konto ist frank
, und Sie haben frank
das Benutzerkennwort von leicht einzugeben.
Erstellen Sie nun ein neues Benutzerkonto betty
mit einem starken Passwort. betty
wird automatisch hinzugefügt, um FileVault zu entsperren, und der einzige Zweck dieses Kontos ist das Entsperren von FileVault, wir müssen das Konto nicht wirklich für etwas anderes verwenden.
Über die Befehlszeile können wir die Benutzer auflisten, die zum Entsperren von FileVault eingerichtet sind:
$ sudo fdesetup list
betty,########-####-####-####-############
frank,########-####-####-####-############
Hier sind die # die UUID
Mit den FileVault-Systemeinstellungen können Sie Konten zum Entsperren hinzufügen, aber Sie müssen die Befehlszeile verwenden, um Benutzer aus dieser Liste zu entfernen. Entfernen wir frank
:
$ sudo fdesetup remove -user frank
Und vergewissern Sie sich, dass es funktioniert hat:
$ sudo fdesetup list
betty,########-####-####-####-############
Jetzt betty
kann nur noch FileVault entsperrt werden. (Nun, natürlich gibt es auch den Wiederherstellungsschlüssel.)
Wenn Sie jemals ein weiteres neues Benutzerkonto hinzufügen, müssen Sie daran denken, es aus FileVault zu entfernen.
Wenn Sie sicherstellen möchten, dass dies betty
nur zum Entsperren der Festplatte verwendet wird (Anmeldung verhindern), können Sie die Anmeldefunktion deaktivieren, indem Sie die Anmelde-Shell wie in /usr/bin/false
dieser Antwort beschrieben ändern .
Bearbeiten zum Hinzufügen:
Sehen Sie sich Using fdesetup with Mountain Lion's FileVault 2 an , das viele Details über den fdesetup
Befehl enthält.
betty
ist dieser Benutzer auch angemeldet, sein Desktop wird angezeigt usw. Gibt es eine Möglichkeit, dies zu verhindern?betty
, sodass sich nach dem Entsperren der Festplatte ein anderer Benutzer anmelden muss.Dateitresor 2 verwendet ein Master-Passwort (wahrscheinlich Ihr langes/starkes Passwort), aber es ermöglicht auch jedem aktivierten Benutzer, das Systemlaufwerk zu entsperren, starkes Passwort oder nicht. Die einzigen Benutzer, denen Sie das Entsperren des Laufwerks nicht ermöglichen können, sind Benutzer ohne Kennwort.
Ich erinnere mich, dass ich vor einiger Zeit eine Schwachstelle in einem Dateitresor gelesen habe, bei der ein Angreifer ein Apple-ID-Konto kompromittiert und eine Kennwortzurücksetzung für ein Benutzerkonto erzwungen hat, das ein durch Dateitresor 2 geschütztes System entsperren konnte. Der Angreifer würde sich dann beim System anmelden und das geschützte Laufwerk mit dem zuvor erstellten neuen Passwort entsperren.
Brian Herzog
Anzeigename
Anzeigename