Apple: SSH ve FileVault

 (keith.github.io)
1 puan yazan GN⁺ 2025-09-19 | 1 yorum | WhatsApp'ta paylaş
  • FileVault etkinleştirildiğinde macOS önyüklemesi sırasında veri birimi kilitli durumdadır
  • OpenSSH yapılandırma dosyaları veri biriminde saklandığı için, kilitli kaldığı süre boyunca mevcut kimlik doğrulama yöntemleri veya kabuk erişimi kullanılamaz
  • Remote Login (SSH) etkinse, parola kimlik doğrulamasıyla uzak ağ üzerinden veri biriminin kilidi açılabilir
  • Bu yöntem SSH oturumuna anında izin vermez; kilit açıldıktan sonra SSH bağlantısı geçici olarak kesilir
  • Veri birimi bağlanıp gerekli servisler başlatıldıktan sonra SSH erişimi mümkün hale gelir

Apple'ın SSH ve FileVault entegrasyonuna genel bakış

  • FileVault etkin olan macOS'ta veri birimi kilitlenir ve önyükleme sonrasında da bu birime erişilemeyen bir durum oluşur
  • OpenSSH'nin tüm sistem ve hesap bazlı yapılandırma dosyaları veri birimi içinde saklandığından, veri birimi kilitliyken normalde yapılandırılmış kimlik doğrulama yöntemleri veya kabuk erişimi devre dışı kalır

Remote Login (SSH) ile uzaktan kilit açma

  • Önyüklemeden sonra veri birimi kilitli olsa bile, Remote Login (SSH oturumu açma) etkinse ağ üzerinden parola kimlik doğrulaması denemelerine izin verilir
  • Kullanıcılar SSH kullanarak uzaktan parola kimlik doğrulaması ile FileVault tarafından kilitlenmiş birimin kilidini açabilir

Kilit açmanın sınırlamaları ve süreç

  • Bu işlev veri biriminin kilidini açsa da, SSH oturumu hemen bağlanmaz
  • Veri biriminin kilidi açılır açılmaz, macOS birimi bağlama ve buna bağlı destek servislerini başlatma işlemlerini tamamlarken SSH bağlantısı kısa süreliğine kesilir
  • Bu süreç tamamlandıktan sonra SSH ve etkin durumdaki diğer servisler normal şekilde kullanılabilir

macOS 26 Tahoe sürümünde sunulması

  • SSH üzerinden veri biriminin uzaktan kilidini açma özelliği ilk kez macOS 26 Tahoe sürümünde sunuldu

İlgili okumalar

1 yorum

 
GN⁺ 2025-09-19
Hacker News görüşleri

  • FileVault etkinleştirildiğinde veri biriminin kilitlendiğini ve hesap parolasıyla kimlik doğrulaması yapılana kadar önyükleme sırasında ya da sonrasında erişilemediğini deneyimledim; macOS için OpenSSH ise hem sistem hem de kullanıcıya özel yapılandırma dosyalarını veri biriminde saklıyor. Bu yüzden FileVault devredeyken normalde ayarlanmış kimlik doğrulama yöntemiyle veya kabuk erişimiyle giriş yapılamıyor. Ancak Remote Login etkinleştirilmişse, SSH üzerinden parola ile kimlik doğrulama bu durumda da mümkün oluyor. Böylece ağ üzerinden uzaktan veri biriminin kilidi açılabiliyor. Yalnız SSH oturumu hemen devam etmiyor; SSH ile birimin kilidi açıldıktan sonra macOS birimi bağlayıp servisleri yeniden başlatırken bağlantı kısa süre kesiliyor, sonrasında SSH (ve diğer servisler) normal şekilde kullanılabiliyor. Gerçekten çok sevindirici bir değişiklik

  • Bunun, elektrik kesintisinden sonra otomatik yeniden başlatmanın ardından fiziksel olarak klavye bağlamadan tamamen uzaktan yönetilen bir Mac mini sunucusu çalıştırmanın artık mümkün olduğu anlamına mı geldiğini merak ediyorum. Gerçekten harika bir değişiklik

    • Bizzat test ettim ve kusursuz çalıştığını doğruladım
      1. General > Sharing > Remote Management etkinleştir
      2. Yeniden başlatmadan sonra SSH ile bağlanınca şu mesaj görünüyor: "Bu sistem kilitli. Kilidi açmak için hesap adınızı ve parolanızı kullanın. Kilit açıldıktan sonra normal giriş mümkün olacak"
      3. SSH üzerinden başarıyla kimlik doğruladıktan sonra SSH bağlantısı kesiliyor ve "Sistemin kilidi açıldı. Artık SSH ile normal şekilde kimlik doğrulaması yapabilirsiniz" mesajı gösteriliyor
      4. SSH ile tekrar bağlanınca normal şekilde giriş yapılabiliyor
    • Şu komut da kullanılabiliyor 
      sudo fdesetup authrestart -delayminutes -1
      Bu yöntem yalnızca bir sonraki yeniden başlatmada seçilen hesapla otomatik oturum açılmasını sağlıyor. Parola girmeye gerek bırakmadığı için kullanışlı ama güvenlik açısından risk taşıyor. Duruma göre kabul edilebilir olabilir
    • Gerçekten merak ediyorum, neden sunucu işletim sistemi olarak macOS seçiyorsunuz? Ben de Mac mini donanımını çok cazip buluyorum ve bunu düşündüm. Ama macOS yerine Linux çalıştırmak konusunda tereddüt ediyorum
    • Eskiden bir iş arkadaşım CI makinesinde yanlışlıkla FileVault'u etkinleştirmişti; sunucuyu raftan çıkarmak, tozunu almak, monitör/klavye bağlamak, giriş yapıp kilidi açmak zorunda kalmıştım. Artık SSH ile kilit açılabildiğine göre, yine olursa bunu uzaktan hemen çözmek mümkün olacak
    • FileVault açık bir uzak Mac'i elektrik kesintisinden sonra yeniden çevrimiçi hale getirmek için fiziksel oturum açmanın şart olmasının ne kadar can sıkıcı olduğunu iyi biliyorum. Yeniden başlatmadan sonra GUI üzerinden de tamamen uzaktan erişimin mümkün olup olmadığını merak ediyorum. Ev laboratuvarı için bir Mac mini almayı düşünüyorum; gerekirse KVM gibi bir uzak erişim cihazı kullanmam gerekip gerekmediğini de hesaplıyorum

  • Bunun şirket gibi kişisel olmayan Mac ortamları için çok büyük bir değişiklik olduğunu belirtmek isterim. Mac Mini'nin fiyat/performansı ve kalitesi otomasyon amaçları için epey kullanışlı ve şirketimizde de bu sorun olmasa kademeli olarak daha fazla devreye alıyorduk. Önümüzdeki en büyük engellerden biri FileVault meselesiydi

    • Mac'i genel amaçlı sunucu olarak kullanmakla ilgileniyordum. Sunucu olarak daha kolay yönetmek için ek yaptığınız ayarlar veya yöntemler var mı merak ediyorum; Mac'e özgü iş yükleri mi çalıştırıyorsunuz, yoksa konteyner tabanlı Linux iş yükleri de var mı diye soruyorum

  • macOS 26 Tahoe'da SSH üzerinden veri birimi kilidini açma özelliğinin eklenmesine sevindim. Kısa süre önce Tahoe yükseltmesinden sonra SSH erişiminin beklenmedik şekilde çalışmasının sebebinin bu değişiklik olduğunu şimdi anlıyorum. Normalde Mac'imi kapatmam ama bazen uzaktan bağlanmam gerektiğinde bir önceki gün büyük bir güncelleme kurduğumu unutup panikliyordum. Bu değişiklikle endişem azaldı

  • Bu artık sistem birimine FileVault şifrelemesi uygulanmadığı anlamına mı geliyor diye tahmin ediyorum. Çünkü sistem birimi salt okunur, içeriği sabit ve tüm macOS kurulumlarında aynı. Ağ hizmetleri dahil her şeyin açılıp sonra veri biriminin parolasının istenmesi mantıklı geliyor. FileVault gerçekten sistem birimini şifrelemeyi atlıyorsa bu çok makul bir değişiklik olur. Ayrıca overlay teknolojisiyle sistem bölümüne yazıyormuş gibi görünse de çoğu durumda gerçekte veri birimine yazıldığını da belirtmek isterim

    • WiFi parolası gibi bilgiler de veri biriminde saklandığı için ağ her zaman çalışmayabilir

  • İlginç bir değişiklik, ama grafik oturumlarında görülen “race condition” türü sorunların, örneğin kabuğun veri biriminde olduğu durumlarda, SSH için de geçerli olup olmayacağını merak ediyorum. Örneğin yeniden başlatırken uygulamaları geri yüklemeyi seçtiğinizde, tüm birimler bağlanmadan uygulamalar önce açılırsa kabuk çalışmayabiliyordu; bunu gerçekten yaşadım. Özellikle Nix ile kabuk kurulduğunda oluyordu. SSH'de de aynı sorunun ortaya çıkması muhtemel görünüyor. Bunun sistem düzeyinde çözülüp çözülmediğini merak ediyorum

    • SSH ile kilit açma sürecinde bağlantı, veri biriminin kilidi açıldıktan hemen sonra sonlandırılıyor. Birim bağlama işlemi tamamlandıktan sonra yeniden bağlandığınızda kabuk çalıştığı için böyle bir sorun olmuyor. Nix store kullanırken bunu wait4path kullanan bir shim ile çözmüştüm. Shim'i önceden veri birimindeki bilinen bir yola kurup giriş kabuğu olarak atamak yeterli oluyor
    • Apple, aygıtın kilidi açıldıktan sonra tüm süreçleri sonlandırarak (“userspace reboot”) bu sorunu kökten engelliyor
    • Yeniden bağlanmak çoğu durumda yeterli olur diye düşünüyorum. Özellikle SSH tarafında ağ yeniden deneme mekanizmaları genelde bulunduğu için büyük bir sorun değil
    • Bu durumun, uzun süredir işletim sisteminde bulunan wait4path yardımcı aracıyla çözülebileceğini düşünüyorum

  • Gerçekten sevindirici bir değişiklik. Bu özellik olmadığı için FileVault'u kapalı tutuyordum

  • Omarchy'nin (yönü belirgin bir Arch yapılandırması) Full Disk Encryption özelliğini deneyip bunu ana VM'im olarak kullanıp kullanamayacağımı düşünüyordum. Fiziksel olarak makinenin başındayken GPU hızlandırmalı masaüstüne ve tüm uzun süreli işlem iş yüklerine erişebiliyorum. Ama birkaç hafta uzakta kaldığımda makine yeniden başlarsa, disk parolasını mutlaka fiziksel olarak girmek zorunda olmak beni denemekten bile alıkoyuyordu. Bunu ProxMox üzerinde çalıştırıyorum ama USB passthrough gibi ayarlar nedeniyle standart VNC görüntüleyiciyle erişilemiyor. Omarchy'nin de macOS gibi uzaktan kilit açmayı denemeyi düşünüp düşünmediğini merak ediyorum

    • Linux'ta çok uzun zamandır initramfs içine dropbear ekleyerek uzaktan kilit açma özelliği kurulabiliyordu

  • Kesin bir yerlerde buna yönelik bir açık saldırı yolu vardır diye düşünüyorum

    • Parola tabanlı SSH'nin genel güvenlik riskleri dışında ekstra bir risk aklıma gelmiyor. Endişeniz varsa Wireguard gibi bir güvenlik duvarının arkasına koymak yeterince iyileştirme sağlar diye düşünüyorum. Daha önce Mac sunucularda FileVault'u kapatmak zorunda kalıyorduk; onunla kıyaslayınca bu çok daha sevindirici bir değişiklik
    • Blastdoor gibi güvenlik sorunları yaşandığını gördüğüm için bu tür değişikliklere her zaman temkinli yaklaşıyorum

  • Bu özellik olmadığı için ev laboratuvarı için düşündüğüm bir Mac mini'den vazgeçmiştim ama şimdi her şey değişti gibi geliyor