6 votos

OlivierTheOlive avatar

¿Qué es el "usuario de disco" de APFS y cómo añadir varios usuarios criptográficos mediante diskutil?

Preguntado el 22 de Octubre, 2020
Cuando se hizo la pregunta
403 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Recientemente aprendí que es posible encriptar un volumen APFS dentro de un contenedor desde la CLI usando el diskutil comando así:

diskutil apfs encrypt -user disk disk3s1

donde disk3s1 es el único volumen en el contenedor APFS de mi disco externo.

El disk usuario se menciona en el diskutil página man, pero no entiendo lo que es. Además, si he entendido bien, cifrar el disco de inicio de MacOS utilizando el típico botón "Preferencias del Sistema" -> "Seguridad y Privacidad" -> "FileVault" -> "Activar FileVault" consigue esencialmente lo mismo. Por lo que veo, la diferencia entre los dos enfoques tiene que ver con los usuarios que pueden desencriptar el disco. Usando el enfoque de "Preferencias del Sistema", mi usuario ( BBBBBBBB-BBBB-BBBB-BBBB-BBBBBBBBBBBB abajo) tiene permiso para descifrar el disco al igual que la clave de recuperación (usuario CCCCCCCC-CCCC-CCCC-CCCC-CCCCCCCCCCCC abajo) que se generó cuando pulsé el botón "Activar FileVault". Las diferencias se pueden ver usando diskutil una vez más:

# Volume on the external drive:
diskutil apfs listkeys disk3s1
# Cryptographic user for disk3s1 (1 found)
# |
# +-- AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA
#     Type: Disk User

# Data volume on my MacBook's internal drive:
diskutil apfs listkeys disk1s2
# Cryptographic users for disk1s2 (2 found)
# |
# +-- BBBBBBBB-BBBB-BBBB-BBBB-BBBBBBBBBBBB
# |   Type: Local Open Directory User
# |
# +-- CCCCCCCC-CCCC-CCCC-CCCC-CCCCCCCCCCCC
#     Type: Personal Recovery User

He buscado un poco en internet pero no he podido encontrar respuestas satisfactorias a las siguientes preguntas; se agradece cualquier ayuda. Gracias de antemano.

  1. ¿Qué es el usuario "disco"? ¿Es especial? ¿Es universal entre todas las instalaciones de MacOS?
  2. ¿Puedo añadir usuarios criptográficos adicionales a disk3s1 a través de diskutil o algún otro comando CLI?
  3. ¿Puedo añadir un usuario/clave de recuperación personal a posteriori (por ejemplo, a disk3s1 como se muestra arriba) a través de diskutil u otro comando CLI?
  4. ¿Puedo eliminar a los usuarios de criptografía a posteriori?

Referencias

Aquí hay algunos artículos que leí antes de crear este post, listados sin ningún orden en particular, algunos más relevantes que otros.

Preguntado el 22 de Octubre, 2020 por OlivierTheOlive

Respuesta

¿Demasiados anuncios?

7voto

fiverules avatar
fiverules Puntos 232

La versión corta:

  1. El "usuario" del disco equivale a tener una sola contraseña para descifrar el disco.

  2. Puede añadir usuarios adicionales para el volumen de arranque utilizando la opción fdesetup add comando. (ver fdesetup help para más detalles)

  3. Puedes añadir o cambiar la clave de recuperación a posteriori mediante fdesetup changerecovery

  4. Puede eliminar usuarios más tarde utilizando fdesetup remove y también puede eliminar la clave de recuperación con fdesetup removerecovery

Todavía no sé cómo añadir o eliminar usuarios/claves a los discos apfs encriptados que no son el volumen de arranque.

Versión larga:

La convención de tener varios usuarios criptográficos en un disco se hizo principalmente para facilitar los discos de arranque de FileVault. Debido a esta convención, se creó el concepto de "usuario" de disco para permitir que los discos se cifren con una sola clave de cifrado para los discos que no son de arranque.

El "usuario" del disco es lo que se crearía si se encriptara un disco con un método distinto al de "Activar FileVault" que has descrito anteriormente. Esto es el equivalente a tener un disco encriptado por una sola contraseña, en lugar de tener múltiples usuarios capaces de desencriptar el disco con sus propias contraseñas.

Que varios usuarios puedan descifrar un disco es importante para un disco de inicio con FileVault, ya que les permite introducir su propio nombre de usuario y contraseña en el arranque para descifrar el disco e iniciar sesión. Sin ello, tendrían que conocer la contraseña de cifrado del disco (el "usuario" del disco) e introducirla en el arranque, y luego iniciar la sesión con sus propias credenciales de usuario en la pantalla de inicio de sesión una vez completado el arranque.

Esta es la razón por la que FileVault añade automáticamente claves de cifrado adicionales para los usuarios en su disco de arranque cuando lo habilita (en este caso, una para su usuario y otra para la clave de recuperación maestra de FileVault en caso de que un usuario olvide su contraseña y necesite restablecerla). Pero si estás cifrando un disco que no es de arranque, tener acceso para varios usuarios puede no ser útil o incluso deseable. Por eso, al cifrar el disco desde la CLI sólo se crea el "usuario" del disco. (Creo que este es también el caso cuando se encripta usando la aplicación Utilidad de Discos o desde el Finder).

Por supuesto, puede cifrar un disco de arranque con un solo "usuario" de disco y sin otros usuarios criptográficos o claves de recuperación. Se le presentará una solicitud de contraseña en el arranque y mostrará un icono de disco en lugar de un icono de usuario, y tendrá que introducir la contraseña de cifrado del disco en lugar de su contraseña de usuario. Cualquier usuario de la máquina que no conozca esta contraseña no podrá descifrar el disco e iniciar sesión en la máquina.

Editar: Sólo quiero añadir lo siguiente: Tenga en cuenta que el "usuario" del disco sólo se añadirá a la lista de usuarios criptográficos cuando cifre el disco por primera vez utilizando la función cli ( diskutil apfs ) o a través del Finder o la Utilidad de Discos. El usuario del disco no se añadirá si se habilita FileVault en las Preferencias del Sistema, y no se podrá añadir posteriormente a un disco que ya tenga usuarios criptográficos.

También hay que tener en cuenta que el usuario del disco siempre tendrá el UUID del propio disco.

Respondido el 20 de Diciembre, 2020 por fiverules (232 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X