osx 10.11 安全 隐私 便携迁移 不完全记录

2015-10-11 21:29:09 +08:00
 kittyoung
先从开机说起
开启固件密码

抹掉分区 设置密码
os x 扩展 (日志式, 加密)

安装完系统后
设置休眠模式
sudo pmset -a sms 0
sudo pmset -a hibernatemode 0
sudo pmset -a standby 0
sudo pmset -a autopoweroff 0
sudo pmset -a standbydelay 86400
sudo pmset -a autopoweroffdelay 86400
sudo rm /var/vm/sleepimage

开启 filevault
设置用户解锁权限 我的建议是 ( 删除所有用户 因为在其它 osx 系统可以使用 有权限用户[即使不是管理员用户]的密码 解锁此分区)
sudo fdesetup remove -user [username]
添加用户解锁权限
sudo fdesetup add -usertoadd [username]

只允许 mac app store 和被认可的开发者

关闭 定位服务 诊断与用量
关闭 自动设置日期与时间
关闭 icloud

然后我们要上网了
设置 mac address
重启 command+r 进入恢复模式
终端
csrutil disable

重启进入系统
sudo chmod +s /sbin/ifconfig

重启 command+r 进入恢复模式
csrutil enable

上网之前设置下 mac address, 以 wifi en0
ifconfig en0 ether 02:01:02:03:04:05

输入法方面
建议 清歌 鼠须管

在此之前 先建立几个加密映像
磁盘工具 新建映像 空白映像
加密 128 位 AES
映像格式 稀疏捆绑磁盘映像

静默开机声音
sudo nvram SystemAudioVolume="%00"

详细模式启动 cool
sudo nvram boot-args="-v"

上网之前 我们需要保存 密码
keychain
钥匙串访问
文件 新建钥匙串 保存到之前的加密映像里面 之间会让你自定 钥匙串的密码
右击它 将钥匙串"**"作为默认
右击 更改钥匙串的设置 去掉两个勾选

当然也可以用 icloud 钥匙串同步

一般我们会用 safari chrome firefox 来上网
它们的 webrtc 功能会泄漏 网卡 ip

火狐地址栏打开 about:config ,搜索 media.peerconnection.enabled ,找到该项双击它,让它的值显示为 false 即禁用了 WebRTC 。
测试 ip :

以下几个网站可测试 WebRTC
http://whoer.net/extended
http://ipleak.net/
https://diafygi.github.io/webrtc-ips/

chrome 网络上说 可以 禁止 udp port 3478 3479
具体没测试

safari 没有问题?!

user-agent 也会泄露 系统版本与浏览器信息

~/Library/Saved Application State/
这个文件夹会保存程序状态,比如 在 safari 打开 v2ex.com , command+q 再打开
它还会显示 v2ex.com
可以把它移动到加密映像 , 假设映像路径为 /Volumes/test/
可以打开 终端 , 在实用工具里面
先 touch ~/.bash_sessions_disable
10.11 的这个功能感觉不实用 禁用掉好了

在终端输入执行会产生 .bash_history
定义下 .bash_profile
export HISTTIMEFORMAT="%Y/%m/%d %T "
export HISTCONTROL=ignoreboth:erasedups
HISTFILE=/Volumes/test/.bash_history
HISTSIZE=4500000
HISTFILESIZE=4500000

HISTFILESIZE 定义了在 .bash_history 中保存命令的记录总数.
HISTSIZE 定义了 history 命令输出的记录数.
使用 vim 时,定义下 .vimrc
set viminfo=
set nu
set dir=/Volumes/test/vimswap/

viminfo 解释 http://www.yunweipai.com/archives/570.html

继续 ~/Library/Saved Application State/
可以这样移动
mv ~/Library/Saved\ Application\ State/ /Volumes/test/
再建立一个软链接
ln -s /Volumes/test/Saved\ Application\ State/ ~/Library/Saved\ Application\ State/

使用 safari 时可以 软链接这些目录, 也为了 便携迁移
~/Library/Caches/Metadata/Safari/
~/Library/Caches/com.apple.Safari/
~/Library/Safari/
~/Library/Cookies/
~/Library/WebKit/

这两个目录不怎么重要?!
~/Library/Caches/com.apple.commerce.safari
~/Library/Caches/com.apple.Safari.SearchHelper

google chrome:
~/Library/Google/
~/Library/Application\ Support/Google/
~/Library/Caches/Google/
~/Library/Caches/com.google.Keystone.Agent/

firefox:
~/Library/Application\ Support/Firefox/
~/Library/Application\ Support/Mozilla/
~/Library/Caches/Firefox/
~/Library/Caches/Mozilla/


再加两个
sublime text3:
~/Library/Application\ Support/Sublime\ Text\ 3/
~/Library/Caches/com.sublimetext.3

virtualbox:
~/Library/VirtualBox/

这些目录 放在 映像里面后, 以后重装或换系统, 只需链接上, 原来的数据很快就回来了.
另外系统会产生 log 等等 等分析
欢迎补充 : )
2005 次点击
所在节点    macOS
6 条回复
holong2000
2015-10-11 22:02:35 +08:00
os x 扩展 (日志式)和 os x 扩展 (日志式, 加密) 这两种格式有什么不同?
kittyoung
2015-10-11 22:09:58 +08:00
@holong2000 加密 会给 分区设置一个密码, 启动时 需要输入, 访问它时 也需要, 更安全一些
qinc
2015-10-12 00:06:05 +08:00
楼主好给力,早点看到帖子就不会丢钥匙串数据了。现在有之前的 time machine 还能恢复吗
kittyoung
2015-10-12 08:04:34 +08:00
@qinc 找找看吧 我没用过 tm ...
lwd2136
2015-10-12 08:18:45 +08:00
看完我觉得好累
有脚本么
带参数一步到位
forwind
2016-09-22 21:42:42 +08:00
@lwd2136 没有

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/227218

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX