filevault
MAC OS incorpora 2 medidas de seguridad a saber:
- Encriptación de la $HOME de un usuario
- Contraseña de recuperación (contraseña maestra) para cuentas que tienen encriptada la $HOME
encriptación de la $HOME de un usuario
- se puede (o no) encriptar la $HOME de un usuario
- al crear el usuario, se marca la casilla Activar protección FileVault
- a posteriori, debe hacerse desde Preferencias del sistema - Seguridad y lo hace el propio usuario
contraseña maestra
- se establece en Preferencias del sistema - Seguridad
- sirve para recuperar la contraseña de usuarios que tengan la $HOME encriptada
- en caso de pérdida/olvido, se puede resetear eliminando los ficheros:
/Library/Keychains/FileVaultMaster.*
¿que pasa si resulta que perdemos/olvidamos la contraseña maestra
- tendríamos que seguir el procedimiento indicado más arriba
- qué consecuencias tiene?
- de los usuarios que tengas dados de alta don $HOME encriptadas no podrás acceder (aunque te deja cambiar la contraseña de login, no te permite acceder a la partición encriptada)
- deduzco que tiene que ver con alguna historia de certificados y firmas. Al generar un nuevo par de ficheros, estos tienen una clave diferente.
- incluso después de cambiar la contraseña (pq sabes la contraseña original) cada vez que la quieras cambiar con FileVault te exigirá saber la anterior
- como evitarlo?
- hacer una copia de seguridad de los ficheros mencionados arriba (FileVaultMaster.*)
- que provecho podemos sacarle?
- podemos crear un usuario al que no podrán acceder aunque tengan permisos de administrador y sepan la (nueva) contraseña maestra (aunque sea la misma, lo que importa son los ficheros que hemos cambiado)