发布于 

个人电脑作为办公设备时,我们该如何保护隐私?

公司一般都会强制安装安防软件,这些软件要求开机自启动,要求有屏幕录制权限、完全的磁盘访问权限包括相册图库。因此如果使用自己的 MacBook 作为办公设备,必须要把生活区和工作区完全独立开,安装在两个磁盘分区,并且对磁盘分区加密。

分区加密

对 Mac 电脑进行磁盘分区和安装多系统非常简单,打开「磁盘工具」点击标题栏的「分区」按钮进行分区即可,分区的格式一定要选择加密的,这里推荐「APFS(加密)」格式。密码要记下来防止遗忘。这里选择加密分区主要可以防止意外挂载:在启动了工作区的系统之后,由于需要密码才能挂载生活区的数据宗卷,可以有效避免不小心点了挂载或者设置了自动挂载,导致拥有完整的磁盘访问权限的安防软件自动扫描了生活区的文件资料。同样的道理,工作分区加密也可以防止生活区的某些软件扫描到了工作资料导致数据泄露。

分区完成之后,安装系统,目标宗卷选择刚刚新建的工作分区,剩下的系统安装步骤不需要赘述了。

工作专用账号

系统安装完成之后,最好登录工作专用的账号,不要使用同一个 AppleID 进行登录,否则仍然存在数据泄露的风险。同样的,浏览器账号也需要使用工作专用。AppleID 和浏览器账号基本上可以满足大部分需要记住账号密码的需求。

而对于工作日志,我推荐给程序员的做法是创建本地 git 仓库,用 Typora 编辑器 markdown 格式书写。它的缺点十分有限,就是新增文件稍微麻烦一点,要在左侧目录树上点击右键,然后选择「新建文件」,然后输入文件名,除此之外几乎没有缺点。对于支持 md 的其它笔记软件来说,它对于 md 的支持比较完整,方便更换和修改主题,导出格式丰富并且样式也比较完整。

Typora 操作界面
Typora 操作界面

用户目录权限

Mac 自带的一些用户文件目录例如「文稿」「桌面」等默认权限是 700 也就是仅当前用户可以读写和执行,但是自己新建的文件夹默认权限是 755 即全局用户都可以读取和执行。所以如果自己在原生的文件目录之外新建了文件夹,记得更改文件夹的权限:

把权限由 755 修改为 700
把权限由 755 修改为 700

我切换了另一个用户进入这个用户目录时就提示无权限访问了,理论上这个用户上的应用程序也没有权限访问吧。(不太肯定)

一个小坑

经测试发现,在两个独立的宗卷中如果存在用户名和密码相同的两个用户,那么即使设置了 700 权限,但实际上在另一个宗卷中登录同名同密码的用户,对这个用户的文件夹一样拥有权限,不知道这是苹果有意为之还是设计漏洞。

一个不便之处

流程是进入系统后自动请求挂载另一个宗卷,由于开启了文件保险箱,所以弹出了密码输入框,不输入密码点击取消,则没有权限访问另一卷的磁盘内容。但是每次开机都会有这个弹窗,挺烦人的。

网上搜索了设置开机不自动挂载的方法,都是修改 fstab 文件的方法:

/etc/fstab
1
UUID=427478BB-E267-4455-869A-4AAB54F792A1 none auto noauto 0 0

实测无效,每次登录用户还是会自动尝试挂载,可能这种方式在 APFS 分区中不再支持了。不知道在 2020 年,如何让 APFS 加密分区不自动挂载?


本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。

本站由 @xaoxuu 创建,使用 Stellar 作为主题,您可以在 GitHub 找到本站源码。