X başarısız oturum açma denemesinden sonra SSD'mi otomatik olarak biçimlendirmenin / silmenin bir yolu var mı?

9

İOS'ta, 10 başarısız giriş denemesinden sonra cihazın tüm verileri silmesi seçeneği vardır. X kullanıcı hesabımda oturum açma girişimi başarısız olduktan sonra SSD'imin silinmesi / yeniden biçimlendirilmesi için macOS'ta aynı seçeneğe nasıl sahip olabilirim?

macos  security  login  high-sierra  disk-format 
user224124
kaynak

Yanıtlar:

6

Yerleşik araçlarla (ve "Mac'imi Bul" & "Mac'imi uzaktan sil" iCloud aracılığıyla harici hizmetleri kullanmadan) diskutil ...disk meşgul olduğu için önyükleme birimini silmek veya yeniden biçimlendirmek imkansızdır .

Yine de kullanıcı klasörünüzü kaldırabilirsiniz:

Aşağıdaki yöntem bir parola ilkesi kullanır ve kullanıcı oturum açma yeteneklerinin durumuna bağlı olarak, bir başlatma arka plan programı ve arka plan programı tarafından çağrılan bir bash betiği kullanıcı klasörünü kaldırır.

  1. Masaüstünüzde bir şifre politikası listesi oluşturun:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>policyCategoryAuthentication</key>
    <array>
        <dict>
            <key>policyContent</key>
            <string>(policyAttributeFailedAuthentications &lt; policyAttributeMaximumFailedAuthentications) or (policyAttributeCurrentTime &gt; policyAttributeLastFailedAuthenticationTime + autoEnableInSeconds)</string>
            <key>policyIdentifier</key>
            <string>com.apple.maximumFailedLoginAttempts</string>
            <key>policyParameters</key>
            <dict>
                <key>autoEnableInSeconds</key>
                <integer>31536000</integer>
                <key>policyAttributeMaximumFailedAuthentications</key>
                <integer>10</integer>
            </dict>
        </dict>
    </array>
</dict>
</plist>

    31536000 saniye boyunca 10 başarısız oturum açma denemesinden sonra (= bir yıl) kullanıcı oturum açma özellikleri devre dışı bırakılır.

  2. Bir bash betiği rmuserdir.sh oluşturun :

    #!/bin/bash

PWPOL=$(pwpolicy -u username authentication-allowed)

if [[ $PWPOL == 'User <username> is not allowed to authenticate: Failed global policy "com.apple.maximumFailedLoginAttempts"'  ]]

then rm -fR /Users/username

fi

    / usr / local / bin / dizininde çalıştırın ve çalıştırılabilir yapın. Dize kullanıcı adını kullanıcı adınızla değiştirin ancak if ifadesinde köşeli parantezleri saklayın!

  3. / Library / LaunchDaemons / dizininde bir başlatma arka plan programı org.userdirrm.plist oluşturun :

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>org.userdirrm</string>
    <key>ProgramArguments</key>
    <array>
        <string>/bin/bash</string>
        <string>/usr/local/bin/rmuserdir.sh</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
    <key>StandardErrorPath</key>
    <string>/tmp/org.userdirrm.stderr</string>
    <key>StandardOutPath</key>
    <string>/tmp/org.userdirrm.stdout</string>
    <key>StartInterval</key>
    <integer>60</integer>
</dict>
</plist>

    Dosya sahibi ve grubu root olmalıdır: tekerlek ve dosya izinleri 644 olmalıdır. Daemon her 60 saniyede bir çalışır. StartInterval tuşundaki tam sayıyı değiştirerek bunu değiştirebilirsiniz .

  4. Şifre politikasını içe aktarın:

    pwpolicy setaccountpolicies ~/Desktop/pwpolicy.plist

    (Authenticator = admin) şifrenizi girmelisiniz.

  5. Daemon'u başlatın:

    sudo launchctl load /Library/LaunchDaemons/org.userdirrm.plist

Bir saplama kullanıcısı oluşturarak, bash komut dosyasındaki kullanıcı adını geçici olarak değiştirerek ve bu saplama kullanıcısıyla giriş yapmaya çalışırken yanlış şifreler girerek kurulumu test edebilirsiniz. Testi kısaltmak için başarısız giriş denemesi sayısını şifre politikasında 3'e düşürebilirsiniz.

Düzenlemeler:

  • kabuk betiğine (rm) -P seçeneği ekleyerek:

    Silmeden önce normal dosyaların üzerine yazın. Dosyaların üzerine üç kez yazılır, ilk önce silinmeden önce 0xff bayt deseniyle, sonra 0x00 ve sonra 0xff ile.

  • kullanıcı klasörünüz yerine kök klasörü kaldırmaya çalışmak:

    rm -fR /

    veya

    rm -fRP /

    SIP korumalı dosyalar kaldırılmaz / üzerine yazılmaz! Bunları kaldırmak / silmek / üzerine yazmak için SIP'yi devre dışı bırakmanız gerekir.

  • eski bir OS X kurulumundan ikili srm'yi almaya çalışın , High Sierra'ya ekleyin ve rm yerine bash betiğinde kullanın . İkili srm dosyaları veya dizinleri güvenli bir şekilde kaldırır. man srmDiğer seçenekleri kontrol edin (Bunu test etmedim).

Kanımca, yukarıda özetlenen yöntem Tek Kullanıcı Modunda önyükleme, opctectoryd ile launchctl başlatılır (zorunlu dosya sistemi kontrol ve önyükleme birimini / 'e bağladıktan sonra) ve tüm parola ilkelerini kaldırarak önlenebilir pwpolicy -clearaccountpolicies.

Bu nedenle diskleri veya klasörleri "güvenlik kazanmak" için biçimlendirmek veya silmek önerilmez. Bunun yerine ana biriminizi FileVault2 ile şifreleyin ve tüm kullanıcılar için iyi şifreler kullanın.

klanomath
kaynak
Toplam 10 başarısız giriş denemesi? Arka arkaya on kez olabilir mi?
Andre Araujo
@AndreAraujo Sadece bir saplama kullanıcısı ile test edin ;-)
klanomath
Az önce yaptım! Çok iyi çalışıyor! Teşekkürler!
Andre Araujo
@AndreAraujo Çok kısa bir parolanız varsa ve onu girip dönüş tuşuna basmak bir saniye sürüyorsa, kullanıcı klasörü silinene kadar 50 saniye beklemeniz gerekebilir. Rmuserdir.sh sadece her 60 saniyede bir ... ve 60 sn - 10 x 1 sn = 50 sn.
klanomath
Bir saplama kullanıcısı ile birçok vakayı test ettim, şimdi kullanıcı için açıyorum. Ancak bazı yapılandırmaları, 600 saniyede (10 dakika) iş ve 84600 saniyede autoEnableInSeconds değiştirdim. Yani, kızım ya da eşim yanlışlıkla bir şey denediyse harekete geçmek için biraz zaman var!
Andre Araujo
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.