0 votos

A E avatar

¿Hay alguna forma de desactivar un disco o un controlador de disco antes de que OSX arranque?

Preguntado el 3 de Noviembre, 2016
Cuando se hizo la pregunta
182 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Contexto:

Utilizo un mac para operaciones forenses de recuperación de datos, y para cumplir con los requisitos de mis usuarios, necesito garantizar que no se realicen escrituras en un disco duro físico conectado a un mac hasta que un usuario habilite el disco.

Pregunta:

¿Es posible desactivar todo el acceso a un disco, puerto SATA o controlador de disco completamente fuera del SO, antes de que el sistema arranque ?

Desactivar sólo el acceso de lectura es aceptable, pero tiende a ser más difícil de verificar en comparación con "hacer que el ordenador actúe como si el propio disco no estuviera conectado".

Cuando hacíamos la recuperación de datos con una torre casera de Linux, íbamos a la BIOS y desactivábamos el puerto SATA con los discos sensibles en él.

Está bien desactivar todo el controlador de disco como parte de una solución; estos sistemas se inician externamente desde dispositivos USB, y los discos duros internos no se utilizarán hasta que se vuelvan a activar.

El puerto físico al que están conectados los discos en cuestión no cambiará.

Lo que he probado:

He visto las soluciones a esta pregunta . Todas esas soluciones desactivan los discos justo después del arranque Lo cual no es suficiente: desactivar el automontaje del disco u ocultarlo de la gestión de discos de OSX no satisface los requisitos de auditoría de los usuarios (ciertamente tontos).

Otras ideas:

¿Es posible hacer esto desde un shell EFI? Estoy feliz de instalar rEFInd o similar en los USBs de arranque.

¿Hay alguna configuración de la nvram que se pueda cambiar para lograr esto?

¿Existen parámetros de arranque del kernel que indiquen a OSX que no inicialice o utilice un dispositivo PCI, un árbol o un disco?

¿Hay módulos del kernel que pueda instalar para conseguirlo? Si es así, probablemente tendrían que ser de código abierto para que los usuarios pudieran auditarlos y asegurarse de que se cargan con la suficiente antelación para no dejar pasar ninguna escritura.

Dado que el SO de recuperación es USB, ¿hay kexts que pueda desinstalar ¿para desactivar el acceso a todos los discos/dispositivos SATA?

Preguntado el 3 de Noviembre, 2016 por A E

0 votos

Avatar de user3439894

¿Qué sistema operativo hay en el USB que quieres arrancar desde un Mac?

Comentado el 3 de Noviembre, 2016 por user3439894

0 votos

Avatar de A E

OSX; es sólo una versión de recuperación desde la que ejecutamos nuestra herramienta forense.

Comentado el 3 de Noviembre, 2016 por A E

Respuesta

¿Demasiados anuncios?

1voto

Douglas avatar
Douglas Puntos 10417

Una solución sencilla, ya que estás arrancando desde un disco USB/Recovery, es podría montar la unidad en "sólo lectura" a través de diskutil:

diskutil mountDisk readOnly /dev/diskX

Ahora bien, si su disco USB/Recovery ya lo ha montado cuando se carga, tendrá que desmontarlo primero:

diskutil unmountDisk /dev/diskX

diskX es el identificador de la unidad de disco que está intentando (des)montar. Puede encontrarlo emitiendo el comando diskutil list y encontrar la unidad que le interesa.

De la página de manual:

Montar un solo volumen. Si se especifica ReadOnly, el sistema de archivos se monta de sólo lectura, incluso si el sistema de archivos subyacente del volumen y/o el dispositivo y/o el medio soportan la escritura; incluso el superusuario puede no puede escribir en él; esto es lo mismo que la opción rdonly de mount (8). Si se especifica un -mountPoint, entonces esa ruta, en lugar de la ruta estándar de /Volumes/VolumeName, se utilizará como la vista en el contenido del archivo del volumen; debe existir un directorio en esa ruta.

Respondido el 7 de Noviembre, 2016 por Douglas (10417 Puntos )

0 votos

Avatar de A E

Eso sí funcionaría para hacer un volumen de sólo lectura después de que el sistema de recuperación se iniciara. Sin embargo, los volúmenes son montados automáticamente (y sondeados, y pueden tener los bits de montaje de sus sistemas de archivos comprobados/obtener fscked/tener otras cosas que hablan con ellos) antes de que yo llegue a la zona de usuario donde puedo desmontar y luego volver a montar como sólo lectura el disco. El /etc/fstab mount-blocker está un poco más cerca de "no tocar nunca este disco, ni siquiera durante el arranque", pero se lo propusimos al cliente y todavía se consideró insuficiente la prevención de escritura. Quieren todo menos un bloqueador de escritura por hardware, básicamente.

Comentado el 7 de Noviembre, 2016 por A E

0 votos

Avatar de Douglas

Es posible que tenga que hacer una imagen clonada montándola como de sólo lectura desde una conexión USB (utilice dd ) y luego trabajar con esa imagen en su máquina local. Para validar si el clon y el original, puede comparar el hash o las sumas de comprobación - hay herramientas disponibles para que usted pueda hacer esto.

Comentado el 7 de Noviembre, 2016 por Douglas

1 votos

Avatar de user3439894

@Zac B, dijiste " Quieren todo menos un bloqueador de escritura por hardware, básicamente. ", así que ¿qué es lo que quieren exactamente? Esto sería mucho más fácil si el HDD/SSD de destino pudiera colocarse en una caja externa y conectarse a un sistema ya en funcionamiento y utilizar Árbitro de disco para asegurar que se monte como de sólo lectura. De lo contrario, arranque el sistema desde un Live USB de Linux que no monte automáticamente y el volumen HFS+ y haga un dd imagen.

Comentado el 7 de Noviembre, 2016 por user3439894
Mostrar 2 comentarios más

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X