在过去的几天里,我花了很多时间来尝试如何结合使用Lion之下的FileVault 2加密计算机的明显数据安全优势以及Undercover,Prey或LoJack等程序的盗窃潜力。普遍的共识是,这基本上是一个权衡取舍,因为对您的系统进行加密将防止小偷进入系统,从而阻止小偷甚至运行跟踪软件。在旧的FileVault下,您本可以使蜜罐访客帐户保持未加密状态,但这会带来一些严重的数据安全缺陷,因为它打开了通往聪明小偷的路线,从而在单用户模式下规避了您的加密。新的FileVault显然没有提供该选项,尽管您可能会在iCloud上找到“查找我的Mac”,
是否有比被迫在数据安全性和跟踪工具之间进行选择更好的解决方案?
Answers:
经过一番混乱之后,事实证明,有一个更好的折衷方案,似乎没有明显记载在任何明显的地方,因此我想在这里分享。我不相信这是重复的,但是如果我错过了什么,我很高兴看到这个问题已经解决。
该解决方案的成本(某些人可能无法接受)是,您需要牺牲大约14G的驱动器到蜜罐分区。我采取的步骤是:
使用“磁盘工具”调整引导分区的大小,以在驱动器的末尾创建至少14.3G的可用空间。如果您已经启用FileVault,我相信这意味着您将不得不关闭它并等待它首先完成解密。
在驱动器末端创建一个空的Mac OS扩展日记记录分区,以填充可用空间。
为了使事情看起来更具说服力,请给您的新分区一个比Macintosh HD(2)更合理的名称-我用主机名命名我的名字。
重新启动计算机,并在系统启动时按住Cmd-R进入恢复模式。
从恢复菜单中选择重新安装操作系统,然后进行安装。您将获得选择在何处安装操作系统的选项。显然,您希望将其放在新分区上。它应该只是大足以让你安装狮子。如果不是,您将不得不退回到主恢复菜单,启动磁盘工具并再次调整分区大小。这有点麻烦,因为您最终没有得到的可用空间不如分区的指定大小那么多,但最终会到达那里。
完成新版Lion的安装。您要将其设置为蜜罐,因此:
<shudder>。防止coresured在启动时尝试挂载加密分区,从而使您大失所望:
sudo mkdir -p /System/Library/LaunchDaemons.Disabled
sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
(有点hack,但这只是一个蜜罐。在这里向贡献者提供小费)
因此,现在,如果您关闭Mac的电源并从冷启动,它将直接进入蜜罐分区,甚至不需要输入密码。对于一个老练的小偷,看起来他们只要重新启动计算机就可以访问您的计算机。在小偷意识到某件事不太正确之前,您的跟踪软件就有机会提交报告。
重新启动计算机时,必须记住按住alt / option键才能进入正确的系统,这时将提示您输入密码以对其进行解密。假设您已启用适当的锁定设置以实现合理的安全性,则您的计算机可以安全地防止他人持有敏感的私有数据。
如果您的Mac最近具有适当的固件保护,则窃贼将很难使用蜜罐分区以外的任何东西,并且即使没有这样做,他也将很难做任何特别有用的事情,因为他没有管理权限。运气好的话,等到他对它感到沮丧时,警察已经敲了敲他的门:-)
此功能不适用于您提到的第三方跟踪实用程序,但是如果您设置FileVault 2以及iCloud的“查找我的Mac”服务,则它将在FV2预启动身份验证屏幕上启用“来宾”选项。如果使用此选项,它将引导至仅Safari模式(从Recovery分区运行,无法访问加密的启动卷)。这里的想法是,如果有人偷了您的Mac,它会试图诱使他们将其连接到互联网,以便您可以跟踪/擦除/等Mac。有关更多信息,请参阅此MacWorld文章。