OS X Filevault không tháo gỡ khi đăng nhập từ xa (ví dụ: ssh) kết thúc, khóa đăng nhập bảng điều khiển

1

Tôi có một máy Mac Mini được chia sẻ giữa nhiều người dùng tại nhà của tôi, bao gồm máy chủ phương tiện của chúng tôi và máy chủ tệp để làm nóng máy tính xách tay của chúng tôi (thông qua rsync / ssh) là sự pha trộn của Mac / Linux / Windows. Để bảo mật trên chiếc máy rất di động này (tiện lợi cho kẻ trộm, ngay bên cạnh TV), tôi sử dụng Filevault để bảo vệ tài khoản tại nhà.

OK, đây là vấn đề của tôi: đăng nhập từ xa (bao gồm ssh và rsync) sẽ gắn chính xác thư mục nhà được mã hóa Filevault của tôi, nhưng nó không bao giờ gỡ bỏ, ngay cả khi phiên từ xa kết thúc. Vì vậy, nếu sau đó tôi cố gắng đăng nhập vào bảng điều khiển của máy Mac, nó sẽ rung lên và nói với tôi "Không thể đăng nhập vào Filevault vào lúc này" và sẽ không cho phép tôi đăng nhập. Có lẽ đó là vì nó đã được gắn kết và nghĩ rằng một lỗi Filevault đã xảy ra thay vì chỉ tiếp tục.

Bất cứ ai có thể cung cấp lời khuyên về bất kỳ hoặc tất cả những điều sau đây:

Tôi có thể đăng nhập bảng điều khiển để chỉ cho phép tôi đăng nhập và không lo lắng về Filevault nếu nó đã được gắn chính xác, thay vì ngu ngốc từ chối cho phép đăng nhập?
Tôi có thể làm cho nó để các phiên từ xa (ví dụ: ssh) tự động tháo dỡ Filevault khi chúng được thực hiện? Lý tưởng nhất, chỉ có Cuối cùng đăng nhập trực tiếp hoặc ssh nên hủy bỏ, vì những người khác đồng thời phải có thể tiếp tục truy cập các tệp trong thư mục nhà của tôi.

Cảm ơn!

(Lưu ý: được chỉnh sửa cho rõ ràng và cô đọng.)

macos ssh filevault

— Larry Gritz
nguồn

AFP có thể sẽ thân thiện với máy Mac hơn. Ý tưởng khác là nó đang bận lấy lại không gian sau khi bạn đăng xuất. Bạn đợi bao lâu giữa việc ngắt kết nối mạng và cố gắng đăng nhập vật lý?

— Jeremy L

Chúng tôi có sự kết hợp giữa Mac, Linux và Windows trong nhà (và cho đến gần đây, máy chủ dùng chung là Linux), vì vậy rsync có vẻ đa nền tảng độc đáo và đã hoạt động được một thời gian. Gợi ý tốt về việc chờ đợi, nhưng điều đó không có ích - đăng nhập từ xa (như ssh) gắn kết chính xác Filevault, nhưng đơn giản là không tháo gỡ khi hoàn thành. Có vẻ như đó không phải là vấn đề chờ đợi.

— Larry Gritz

1

Bạn có thể tạo chia sẻ AFP hoặc SMB (trong thư mục nhà đã bị hỏng) trên Mac Mini, sau đó sử dụng Cloner sao chép carbon (nếu các máy khác của bạn là máy Mac; các giải pháp sao lưu khác có sẵn cho PC) để đẩy các bản sao lưu lên chia sẻ.

Có một số lý do cụ thể mà bạn cần SSH, hoặc bạn chỉ hoang tưởng về bảo mật trên mạng gia đình của mình? Nếu bạn quyết định rằng bạn thực sự cần sử dụng SSH, có lẽ bạn có thể xem xét MacFuse để gắn cổ phiếu SSHFS (?).

— jrc03c
nguồn

Ssh chỉ để bảo mật qua mạng không dây và để đảm bảo rằng không có kết nối không an toàn nào được máy chủ chấp nhận để làm cho nó ít bị hack hơn. Nhưng ssh per se một cá trích đỏ - vấn đề là tôi muốn thư mục nhà của mình được giải mã chỉ trong những khoảnh khắc khi tôi cố tình đăng nhập hoặc sao lưu vào máy này và mã hóa an toàn thời gian còn lại. Đặt phân vùng lên để gắn "vĩnh viễn" sẽ đánh bại một phần mục đích. Nhưng có lẽ tôi chỉ nên quan tâm rằng nếu máy bị ngắt kết nối và bị đánh cắp thì nó ở trạng thái được mã hóa.

— Larry Gritz

Bạn có thể cho tôi thêm một vài chi tiết? Chẳng hạn, khi bạn SSH vào Mac Mini, bạn đang kết nối với thư mục gốc của ổ đĩa (chẳng hạn như ssh username@ip.ad.dre.ss ) và điều hướng đến thư mục nhà được mã hóa hoặc bạn đang kết nối trực tiếp với thư mục được mã hóa (chẳng hạn như ssh username@ip.ad.dre.ss/users/username )? Ngoài ra --- và tôi chỉ hỏi điều này vì tôi không biết nhiều về Filevault --- thư mục có thực sự phải được "gắn kết" hay đơn giản là nó hoạt động như một thư mục bình thường? Nếu trước đây, bạn có phải ban hành một số lệnh để buộc thư mục gắn kết hay SSH tự động thực hiện không?

— jrc03c

Cuối cùng, bạn có đang ban hành lệnh để thoát phiên SSH (chẳng hạn như exit ), hoặc bạn chỉ đơn giản là đóng giao diện điều khiển?

— jrc03c

1

OK, tôi phải đưa ra một số giả định ở đây, nhưng tôi tin rằng tôi có câu trả lời cho câu hỏi của bạn. Tôi đã viết điều này để bất kỳ người mới nào có cùng vấn đề đều có thể theo dõi một cách hợp lý.

Thiết bị đầu cuối mở

Tại dấu nhắc, gõ:

diskutil list

Một danh sách của tất cả các khối lượng địa phương hiện đang gắn kết nên được liệt kê. Tìm Mã định danh của người dùng FileVault mà bạn không thể đăng nhập (nên được gắn nhãn giống như đĩaX trong đó X là một số). Đây là một ví dụ:

    /dev/disk0
    #:                       TYPE NAME                SIZE       IDENTIFIER
    0:      GUID_partition_scheme                    *160.0 GB   disk0
    1:                        EFI                     209.7 MB   disk0s1
    2:                  Apple_HFS Macintosh HD        159.7 GB   disk0s2
    /dev/disk1
    #:                       TYPE NAME                SIZE       IDENTIFIER
    0:      GUID_partition_scheme                    *1.0 TB     disk1
    1:                        EFI                     209.7 MB   disk1s1
    2:                  Apple_HFS Time Machine        376.5 GB   disk1s2
    3:                  Apple_HFS Media Disk HD       623.2 GB   disk1s3
    /dev/disk2
    #:                       TYPE NAME                SIZE       IDENTIFIER
    0:     Apple_partition_scheme                    *319.4 GB   disk2
    1:        Apple_partition_map                     32.3 KB    disk2s1
    2:                  Apple_HFS main                319.4 GB   disk2s2

Trong ví dụ trên, nó nói ở đâu Apple_HFS chính , chính là tài khoản người dùng FileVault mà chúng tôi đang nhắm mục tiêu. Vì vậy, định danh chúng tôi muốn là đĩa2 .

Tại dấu nhắc, gõ:
```
diskutil unmountDisk diskX
```
Đảm bảo bạn nhập số thích hợp thay cho "X" cho tình huống của bạn. Có thể mất vài phút, nhưng Terminal sẽ trả về một thông báo, cho biết:
```
Unmount of all volumes on diskX was successful
```
Bây giờ bạn có thể sử dụng lại FUS vào tài khoản đó.

Nếu điều đó không hiệu quả, có hai cách thay thế tôi có thể nghĩ đến: hoặc khởi động lại máy tính của bạn (không phải là giải pháp lý tưởng nhất); hoặc giết quá trình giữ cho thưa thớt của bạn mở (có thể dẫn đến tham nhũng dữ liệu):

Tại dấu nhắc Terminal, gõ:

sudo lsof | grep sparsebundle

Hệ thống sẽ trả về danh sách các tệp đang mở đang được truy cập bởi quá trình giữ hình ảnh FileVault của bạn mở. Trên Snow Leopard, nó sẽ là đĩa. Lưu ý id quá trình bên cạnh tên. Dưới đây là những gì tôi trông giống như:

  diskimage 68420           root    4u      REG       14,2    8388608 5858242 /Users/main/main.sparsebundle/bands/241
  diskimage 68420           root    5u      REG       14,2     122880 5856490 /Users/main/main.sparsebundle/token
  diskimage 68420           root    6r      DIR       14,2        204 5856486 /Users/main/main.sparsebundle
  diskimage 68420           root    7r      DIR       14,2      56780 5856489 /Users/main/main.sparsebundle/bands
  diskimage 68420           root    8u      REG       14,2    8388608 5856497 /Users/main/main.sparsebundle/bands/0

Tại dấu nhắc, gõ:
```
sudo kill [process id of diskimages]
```

(Trong ví dụ trên, PID của tôi sẽ là 68240.) Bạn có thể phải lặp lại bước 3 ở trên, nhưng điều đó sẽ cho phép bạn FUS vào tài khoản của mình. Tuy nhiên, vì bạn đã giết quá trình đĩa, có thể hình ảnh đĩa của bạn có thể bị hỏng. (Lưu ý rằng tôi chưa thử nghiệm điều này). Tôi đã sử dụng FileVault trên Tiger từ tháng 5 năm 2006 và đôi khi phải gỡ tài khoản người dùng của tôi. Nhưng tôi chưa gặp vấn đề tham nhũng nào với FileVault. Nhưng tôi không có nhiều kinh nghiệm về phiên bản FileVault của Snow Leopard.

Tôi cũng đã thử xem liệu tôi có thể ngắt kết nối trước khi đăng xuất hay không nhưng có lẽ vì các tệp đã bị mở do tôi đăng nhập. Tôi không nghi ngờ rằng bạn có thể viết một tập lệnh và hệ thống chạy nó trên người dùng từ xa bị ảnh hưởng cuối cùng bị đăng xuất, nhưng thật không may, điều đó vượt quá chuyên môn của tôi.

Một điều bạn có thể làm là đăng nhập từ xa với tư cách người dùng khác và thực hiện bước 3 sau khi bạn kết thúc phiên của mình cho đến khi bạn có thể tự động hóa nó. Nếu bạn có thể tìm cách tự động hóa nó, xin vui lòng đăng nó vì tôi rất thích học cách làm điều đó.

— Mr. Smith
nguồn