Habilité File Vault en Lion en una computadora compartida con varias cuentas de usuario. ¿Es posible cifrar el directorio de inicio de cada usuario de modo que otros usuarios no puedan acceder a sus datos? Tal como está, puedo ir a la terminal y (usando sudo
) acceder a todos los archivos en todas las cuentas. Me gustaría poder prevenir esto.
Es más fácil que cada usuario almacene su información privada en imágenes de disco encriptadas , ya que el antiguo método Filevault (1) de encriptar toda la carpeta de inicio no es algo que pueda configurar en Lion con herramientas sencillas.
Lion todavía lo admite, por lo que podría migrar en un sistema de shell que tenía las cuentas necesarias configuradas para usar la bóveda de archivos, luego encriptar la unidad y finalmente mover los archivos desde una unidad externa de respaldo y presumiblemente tener el esquema de almacenamiento de bóveda de archivos heredado así como el nuevo esquema en el que todo el disco no está disponible hasta que se ingresa la contraseña de la unidad.
Tenga en cuenta que root (y cualquier usuario administrador que sepa sudo) tiene el control total del sistema y puede eliminar cualquier protección establecida por root. El uso de la encriptación con una contraseña distinta es el único método para evitar que la raíz entienda realmente los archivos a los que puede acceder fácilmente.
Como sabe, el usuario raíz puede deshacer cualquier cosa que haga otro administrador/raíz, pero dado que todas las llamadas se sudo
registran, puede usar eso para disuadir y detectar el acceso. Si solo necesita desalentar la copia/navegación inactiva, el siguiente comando restringirá el acceso a todos menos al usuario raíz y al propietario del directorio.
sudo chmod go-rx /Users/username
A menos que vaya a restringir físicamente la mac (para evitar el acceso al interior) y use una contraseña de firmware para evitar el arranque desde un sistema operativo alternativo donde el "mal actor" puede eludir todas las restricciones y permisos de la cuenta, deberá considerar instalar Truecrypt u otra herramienta de cifrado real. Tiene una gran cantidad de opciones para cifrar archivos, carpetas, discos duros completos, etc.
Además, para otros consejos de endurecimiento, consulte este documento de la NSA:
http://www.nsa.gov/ia/_files/factsheets/macosx_hardening_tips.pdf
La ventaja de esto sobre el Filevault heredado es que es más probable que sea compatible en el futuro y que todos sus huevos de cifrado no se almacenen en la cesta de Apple usando solo Filevault.
sudo chmod go-rx /Users/username
luego sudo -s
y su - username
puedo ver todos los archivos en la cuenta de ese usuario.
mateo
root
ver las casas de los usuarios? ¿O desea evitar que otros usuarios obtengan derechos de root?Olly
root
, a menos que supieran la contraseña para descifrar. ¿Supongo que esto no es posible?mateo