FileVault solo para carpetas / Usuarios / , ala Snow Leopard

Sé que hay muchas preguntas como esta en AskDifferent, pero no encontré ninguna que aborde específicamente la omisión bastante obvia en las comstackciones más modernas de Mac OS de encryption de carpetas de inicio por usuario a través de FileFault.

No sé cuándo lo cambió Apple, pero las versiones anteriores de OS X FileVault le permiten encriptar las carpetas / Usuarios / [usuario] completos de cada usuario. No solo era "posible", tenía una interfaz súper fácil que parecía alentar a los usuarios a descubrir la funcionalidad y hacerlo.

  • Eliminar "Otro ..." de la pantalla de inicio de session
  • No se pudo inicializar un instalador - Mac
  • OS X El Capitan: Cambia la dirección del text
  • El Capitan incompatible con Mad Catz Editor
  • ¿Cómo puedo PXE arrancar MacOSX 10.11 en caja virtual
  • El Capitan: nombres de carpetas extraños en Synology NAS
  • Por ejemplo, tengo un Macbook Pro 6,2 2010 con Snow Leopard, con carpetas individualmente encriptadas / Usuarios / [usuario]. Es una característica excelente y muy necesaria para muchos casos de uso. (Por ejemplo, la mayoría de los escenarios en los que varios usuarios usan el mismo macbook, ya sea en el hogar o en el trabajo.) ¡Nunca actualizaré el sistema operativo para no perder esa funcionalidad!

    También estoy usando Macbook Pro 11,3 2014 con El Capitán. FileVault no tiene esa opción para encriptar / Users / [user]. Esto parece un gran paso atrás. Encriptar todo el disco, aunque es genial si pierde la computadora portátil mientras está completamente apagado, no hará nada para abordar el caso de uso común mencionado anteriormente. (Además, algunos expertos consideran tener carpetas de inicio encriptadas, más una count de invitado sin contraseña [más un service de recuperación en ejecución]), una buena forma de mejorar las probabilidades de recuperar la máquina. No es perfecto ni rival para los ladrones profesionales que solo límpialo de todos modos, pero mejor que nada).

    Entonces, esta pregunta se divide en dos partes: 1) ¿Existe una solución, idealmente nativa, para el encryption por usuario / Usuarios / [usuario]? y 2) ¿Por qué Apple eliminó una característica tan esencial de FileVault? Quizás solo Apple lo sepa. Pero muchas veces el "por qué" detrás de las decisiones controvertidas es públicamente conocido o al less conocido. Por ejemplo, se explica en blogs de desarrolladores, notas de la versión, videos de conferencias de usuarios / desarrolladores públicos, discursos de convenciones, entrevistas de desarrollo por blogs de tecnología, etc.

    Soy plenamente consciente de que es trivialmente fácil crear un file de bucle invertido encriptado que puedo montar después de iniciar session e incluso automatizar el assembly de, para almacenar documentos confidenciales. Pero como sabemos, hay bastante información potencialmente confidencial que almacenado automágicamente en / User / [home], por layout y según lo previsto por Apple, incluso configuraciones que ni siquiera conocemos, que hace que el encryption por usuario de la carpeta completa / Users / [user] sea imperativo. (Y además, en lugar de usar un file loopback encriptado, usaré una carpeta eCryptFS compartida a través de SMB a una VM que ejecuta Linux, que es mi solución estándar en Windows y Mac cuando no ejecuto Linux de forma nativa).

    Por cierto, no uso TimeMachine.

    Actualización : la razón fundamental para el encryption por usuario de su carpeta / Usuario / [usuario], con keys de encryption exclusivas, es mantener los datos del usuario seguros de otros usuarios del mismo sistema . Aunque uno puede estar en desacuerdo con otorgar a múltiples usuarios los mismos derechos de sudo de sistema, hay muchos casos de uso legítimos para hacerlo. FileVault2 solo "protege" a los usuarios entre sí, a través de los permissions de files de Unix. Pero el acceso a los datos de los demás es solo un 'sudo chmod -R'. Esa no es una solución real , al requisito de proteger los datos de los usuarios entre sí. Una solución real implica keys de encryption únicas para las carpetas principales de los usuarios (/ home / [usuario] o / Users / [usuario]). Muchas distribuciones de Linux lo hacen trivialmente fácil, al igual que las versiones anteriores de Mac OS X / FileVault.

    Actualización 2 : las carpetas del sistema como Library y var "might" contienen datos confidenciales del usuario, almacenados a propósito por aplicaciones diseñadas por negligencia o filtrados accidentalmente, pero 1) casi nunca lo hacen en el mundo real de Unix y sistemas unix, 2) por se supone que la convención para las aplicaciones de buen comportamiento, y 3) lo más importante, ni siquiera son físicamente capaces en una era de creciente aislamiento: por ejemplo, mac OS no permite que las aplicaciones que se ejecutan en modo de usuario escriban en lugares sensibles como ese. Además, el hecho de que las aplicaciones maliciosas y / o maliciosas puedan filtrar datos sensibles del usuario a una carpeta del sistema no es un argumento racional contra un usuario o un requisito de la organización para asegurar a los usuarios de sudo uno contra el otro en el mismo sistema. Pero en lugar de agregar un debate innecesario a esta pregunta, simplemente actualice el requisito de ser:

    "Proteja los datos de los usuarios entre sí con sus propias keys de encryption únicas aplicadas a la carpeta completa / Usuario / [usuario] de cada usuario, independientemente de si todos los usuarios tienen derechos sudo o no, con el fin de proteger a todos sus usuarios habituales -modo de datos, excepto por el caso de borde intrínsecamente difícil de datos de usuario sensibles filtrados a las carpetas del sistema global que, por supuesto, se supone que es imposible en el nivel del sistema operativo cuando las aplicaciones de espacio aislado se ejecutan en modo de usuario normal ".

  • Use Autocorrección de TextEdit en todas partes (especialmente en Google Chrome)
  • ¿Cómo puedo get homebrew build un package (clisp) con el set de indicadores de debugging
  • ¿Cómo me aseguro de que la computadora permanece activa para Back to My Mac?
  • Busque palabras key múltiples en Safari (en iOS o OS X)
  • ¿Todavía es posible comprar una licencia para Mac OS X 10.6 Snow Leopard Server de Apple?
  • Terminal OS X - Abrir pestaña en el directory actual, problemas con diéresis
  • One Solution collect form web for “FileVault solo para carpetas / Usuarios / , ala Snow Leopard”

    ¡Recomiendo encarecidamente utilizar el encryption completo FileVault 2 en lugar de utilizar Filenaut 1 wannabe a continuación!

    Puede imitar el comportamiento de FileVault 1 con una image empaquetada dispersa dispersa o un segundo volumen encryption con FileVault 2. Sin embargo, se necesitan dos usuarios y no es una solución elegante.

    ¡Se recomienda encarecidamente realizar una copy de security adecuada del volumen de su sistema OS X antes de realizar uno de los dos pasos a continuación!

    Ejemplo de cómo hacerlo con una image de package disperso:

    usera : usuario administrador – usere : usuario con carpeta de usuario que debe ser encriptada

    • como usuario, cree una image de package disperso encriptado – lo suficientemente grande como para contener todo el contenido de uso actual y futuro

    • monte la image y cree una carpeta con el nombre usere y modifíquela con chmod 744 ...

    • cierre la session como usuario e inicie session como usera
    • deshabilitar "Omitir propiedad en este volumen" de la image del package disperso disperso
    • Abrir Terminal e ingresar

       su usere 
    • Ahora, como usuario usere , copie el contenido de la carpeta de inicio de usere a / Volumes / name_of_sparsebundle_volume / usere:

       rsync -aAvX /Users/usere/ /Volumes/name_of_sparsebundle_volume/usere 
    • renombrar la vieja carpeta de inicio de usere:

       mv /Users/usere /Users/userebackup 
    • exit usere – ahora eres usera otra vez
    • link / Volumes / name_of_sparsebundle_volume / usere to / Users:

       sudo ln -s /Volumes/name_of_sparsebundle_volume/usere /Users/usere 

      Puede que tenga que modificar los permissions del enlace suave con sudo chown usere:staff /Users/usere y sudo chmod 744 /Users/usere .

    • Ahora cierre la session como usera e inicie session como usere
    • Comtesting si todo funciona
    • Si todo está bien, elimine la carpeta / Users / userebackup:

       rm -Rd /Users/userebackup 

    Ejemplo de cómo hacerlo con FileVault 2:

    El método es el mismo excepto que tiene que encriptar un volumen vacío (haga clic con el button derecho en el volumen -> encriptar el volumen) en lugar de crear una image de package disperso.


    No puede iniciar session para usar directamente porque ni la image del package disperso encriptado ni el volumen de FileVault 2 se montan mientras se inicia el sistema. Debe iniciar session como usuario , montar la image / volumen, cerrar la session como usuario e iniciar session como usuario o puede iniciar session en modo console, montar y desbloquear la image / volumen e iniciar session como usuario. . Este último no se ha probado porque no lo pude hacer funcionar en mi máquina virtual.


    De acuerdo con las fonts de Internet, las imágenes en package dispersas y encriptadas son propensas a la corrupción del encabezado (encryption). Tal corrupción de encabezado puede hacer que la image sea desbloqueable.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).