Я знаю, що на AskDifferent є багато таких запитань, але я не знайшов жодного, що конкретно стосувався б досить кричучого упущення в більш сучасних Mac OS побудови шифрування домашніх папок користувача за допомогою FileFault.
Я не знаю, коли Apple змінила його, але старі версії OS X FileVault дозволяють шифрувати всі папки користувачів / користувачів / користувачів. Мало того, що це було "можливо", у нього був надзвичайно простий інтерфейс, який здавався заохочувати користувачам відкривати функціональність і робити це.
Наприклад, у мене є 2010 Macbook Pro 6,2 працює Snow Leopard, з індивідуально зашифрованими / Користувачі / [користувача] папки. Це велика і дуже необхідна функція для багатьох випадків використання. (Наприклад, більшість сценаріїв, коли декілька користувачів використовують один і той же MacBook, або вдома, або на роботі).
Я також використовую 2014 Macbook Pro 11,3 працює El Capitan. У FileVault немає такої можливості для шифрування / Користувачі / [користувача]. Це здається величезним кроком назад. Шифрування всього диска - хоча і великого, якщо ви просто втратите ноутбук, поки повністю вимкнений - не зробить нічого для вирішення загального випадку використання, згаданого вище. (Крім того, деякі експерти вважають зашифровані домашні папки - плюс "гостьовий" обліковий запис без пароля [плюс деякий запуск служби відновлення] - хороший спосіб поліпшити свої шанси на відновлення машини. все одно витерти, але краще, ніж нічого.)
Отже, це питання дійсно в двох частинах: 1) Чи є рішення, ідеально рідне, для шифрування для кожного користувача / Користувачів / [користувача]; та 2) Чому Apple видалила таку важливу функцію з FileVault? Може, тільки Apple знає. Але часто «чому» за суперечливими рішеннями публічно добре відомі або принаймні відомі. Напр. пояснюється в блогах розробників, примітках до випусків, відео з конференцій громадських користувачів / розробників, промовах конвенцій, інтерв'ю з розробниками технологічних блогів тощо
Я цілком усвідомлюю, що тривіально легко створити зашифрований файл loopback, який я можу встановити після входу в систему і навіть автоматизувати встановлення, для зберігання конфіденційних документів. Але, як відомо, існує чимало потенційно конфіденційної інформації, зберігаються в автоматичному режимі в / User / [home], за розробкою і за призначенням компанії Apple, включаючи налаштування, які ми навіть не знаємо, що робить кодування кожного користувача / папки користувача / [користувача] імперативним. (Крім того, замість того, щоб використовувати зашифрований файл loopback, я буду використовувати папку eCryptFS, яка використовується спільно через SMB, до VM під керуванням Linux, що є моїм стандартним рішенням на Windows і Mac, коли не запущено Linux.
BTW - я не використовую Time Machine.
Оновлення : Основною причиною шифрування користувача / папки користувача / користувача з унікальними ключами шифрування є захищати дані користувачів від інших користувачів однієї системи . Незважаючи на те, що можна не погодитися з тим, що багато користувачів користуються тими ж правами системи sudo, існує безліч законних випадків використання для цього. FileVault2 тільки "захищає" користувачів один від одного, через дозволи файлів Unix. Але доступ до даних інших людей - це лише "sudo chmod -R". Це не є реальний рішення, до вимоги забезпечення даних користувачів один від одного. Реальне рішення передбачає унікальні ключі шифрування всіх домашніх папок користувачів (/ home / [user] або / Users / [user]). Багато дистрибутивів Linux роблять це тривіально легким, як і старі версії Mac OS X / FileVault.
Оновлення 2 : Системні папки, такі як бібліотека та var "можуть" містити конфіденційні дані користувача - або зберігаються за призначенням недбало розроблених додатків або випадково витікають - але 1) практично ніколи не роблять у реальному світі unix та unix-подібних систем, 2) за умовами не треба робити, і 3) найважливіше - навіть не фізично здатні в епоху збільшення пісочниці - наприклад, mac OS не дозволяє програмам, що працюють в режимі користувача, писати на такі чутливі місця. Крім того, тільки тому, що неправильно пошкоджені та / або шкідливі програми можуть просочити конфіденційні дані користувача в системну папку, це не раціональний аргумент проти вимог користувача чи організації, щоб захистити користувачів sudo один від одного на одній системі. Але замість того, щоб додавати непотрібних дебатів до цього питання, давайте просто оновимо вимогу:
"Захищайте дані користувачів один від одного за допомогою власних унікальних ключів шифрування, які застосовуються до папки кожного користувача / користувача / [користувача], незалежно від того, чи мають будь-які / всі користувачі права sudo, щоб захистити всіх своїх постійних користувачів -модульні дані, за винятком невід'ємно важкого для покриття крайового випадку чутливих даних користувача, які просочилися до глобальних системних папок, що, звичайно, неможливе на рівні ОС, коли програми з пробками в режимі звичайного користувача.