قفل مک خود را از راه دور با SSH و FileVault باز کنید

by


آیا تا به حال برایتان پیش آمده که پس از یک راه‌اندازی مجدد از راه دور، به دلیل فعال بودن رمزگذاری FileVault، نتوانید به مک خود دسترسی پیدا کنید؟ این یک چالش رایج برای مدیران سیستم و افرادی است که از راه دور کار می‌کنند. وقتی یک مک با FileVault ری‌استارت می‌شود، دیسک اصلی تا زمانی که یک کاربر به صورت فیزیکی رمز عبور خود را وارد نکند، رمزگذاری شده و غیرقابل دسترس باقی می‌ماند. این بدان معناست که سرویس‌هایی مانند سرویس استاندارد SSH (sshd) نمی‌توانند اجرا شوند و دستگاه از طریق شبکه غیرقابل دسترس می‌شود. 🔐

با این حال، اپل یک راه‌حل هوشمندانه در خود macOS تعبیه کرده است که دقیقاً به همین مشکل رسیدگی می‌کند. سیستم قبل از بارگذاری کامل سیستم‌عامل اصلی، وارد یک محیط حداقلی پیش از بوت (pre-boot) می‌شود. این محیط سبک به اندازه‌ای توانایی دارد که یک نسخه ویژه و محدود از سرویس SSH را اجرا کند.

چگونه کار می‌کند؟

وقتی شما تلاش می‌کنید به یک مک که در صفحه ورود FileVault قرار دارد SSH بزنید، در واقع به سرویس sshd معمولی macOS متصل نمی‌شوید. بلکه به این سرویس ویژه SSH پیش از بوت متصل می‌شوید. این سرویس به طور خاص برای یک وظیفه حیاتی طراحی شده است: احراز هویت برای باز کردن قفل دیسک.

برای اینکه این فرآیند کار کند، حساب کاربری که استفاده می‌کنید باید یک توکن امن (Secure Token) داشته باشد. توکن امن یک اعتبارنامه است که به یک حساب کاربری، اختیار باز کردن قفل یک ولوم رمزگذاری شده با FileVault را می‌دهد. وقتی شما با استفاده از رمز عبور خود در سرور SSH پیش از بوت احراز هویت می‌کنید، آن رمز عبور برای رمزگشایی دیسک استفاده می‌شود. نکته مهم این است که برای این فرآیند خاص باز کردن قفل، احراز هویت با کلید عمومی پشتیبانی نمی‌شود؛ شما حتماً باید از رمز عبور حساب کاربری خود استفاده کنید.

پس از احراز هویت موفق و باز شدن قفل دیسک، یک انتقال جالب رخ می‌دهد. سیستم به دنباله بوت عادی خود ادامه می‌دهد و macOS کامل را بارگذاری می‌کند. سرویس استاندارد SSH اجرا می‌شود و جلسه SSH پیش از بوت شما به طور یکپارچه به این سرویس جدید و کامل منتقل می‌شود. شما بدون هیچ وقفه‌ای متصل باقی می‌مانید و اکنون دسترسی کامل به سیستم بوت شده دارید.

این ویژگی برای مدیریت مک‌های از راه دور یک نجات‌بخش است و به شما امکان می‌دهد یک دستگاه را پس از راه‌اندازی مجدد، بدون نیاز به دسترسی فیزیکی، بازیابی کنید. این قابلیت به شکلی زیبا امنیت قوی را با مدیریت عملی از راه دور ترکیب می‌کند.

شما می‌توانید بررسی کنید که کدام کاربران توکن امن دارند و بنابراین قادر به انجام این بازگشایی از راه دور هستند، با اجرای دستور زیر در ترمینال: sysadminctl -secureTokenStatus <username>

برای درک عمیق‌تر مکانیک پشت این ویژگی قدرتمند، به مستندات رسمی مراجعه کنید.

منبع: صفحه راهنمای SSH و FileVault اپل

Leave a Comment