macOSのfileVaultで暗号化しているとき、再起動が変わる。

macOSでFileVault（ディスクの暗号化）を設定しているとき、ログイン画面が変わる。

ログイン画面が変わるのは、「ログイン前に暗号化の解除」が入るため。

FileVaultが有効になっている例

暗号化の解除が入るのだがこれが問題。

暗号化の解除が入るので、従来のログイン処理に前処理が挟まる。

このログインの前処理が、FileVaultなしの従来の機能と整合性が取れないために問題が発生する

問題点１：再起動できない（reboot不可）

sudo reboot 

これで再起動できないんですよ。メニュから再起動をしなくてはいけない。

また、sudo reboot をしても暗号化の解除ができないので「電源オフになる」

リモートSSH経由の再起動で詰む

つまり、「常時起動のmacbookをSSHでリモートから管理」していたり、mac mini をサーバー（VNCサーバー）として使ってると停電時に、二度とログインできなくなるぞ

解決策 reboot コマンドの代用品を使う。

reboot でシステムを再起動せず

sudo fdesetup authrestart

reboot コマンドの代わりに、再起動前に情報を保存する、ログイン認証を済ませた上で再起動する

FileVault を有効にしたら reboot を 次のようにalias かけておく必要がありそうだ。

alias reboot='fdesetup authrestart'

fdesetup はFileVault関連のユーティリティと設定コマンドである。コマンドじゃなくて設定パネルで使わせてよ。

問題点２　ログイン画面のユーザー一覧を消せない

FileVault有効時にログインの問題

ログイン画面ではユーザー一覧を非表示にすることが出来るが、「暗号化の解除に表示されるユーザーは、ID/PWにできない」んですよ。

設定では、ID/PWでログインを設定しても→無駄

ログイン画面は「絶対にユーザアイコン選択画面」

FileVaultを利用すると暗号化の解除が入るのだけど、ユーザーでログインする必要がある。そのログイン画面が、「ユーザーアイコン」を選ぶ画面しか無い。

macOSの「設定」の「ユーザー」の「ログインオプション」はあっさり無視される。

問題点　予備ユーザーやアカウントを複数作ってると邪魔で仕方ない。

メインのユーザとサブユーザーで、用途別にユーザを切り替えて使えっているときは不便で仕方がない。いちいち選択するのすらわずわらしい。

解決策

ログイン画面からユーザーを隠す

https://www.maketecheasier.com/hide-user-accounts-from-macos-login-screen/

FileVaultといいCatallinaといい・・・

ログイン画面のユーザーアイコン強制とかダサいんでやめてほしいんですよね。

再起動時にSSHでリモートアンロックできないのもやめてほしいですよね。

Appleはベースになるところの管理はちゃんとしてると思ってたけど、どうなってんですかねぇ。

利用者に何も情報を出してくれないのは流石にないわ。

ID/PWじゃなくてユーザーアイコンが出るので設定を１０回くらい確認したわ。

FileVaultって本当に必要？

FileVaultを未処理の場合でも、SSDを取り外しされてデータが盗まれることはない。macはSSD換装困難でムカつくけど、安全だ。

MacにUSBドライブで別のOSで起動されてもユーザーの領域はある程度保護される。TouchBar後のmacは別OSで起動時にユーザログインが必要(T2機能）*1

SSHの秘密鍵はKeychains内蔵のssh-agent機能で保護される。

パスワード類はキーチェーンや1password/bitwarden のようなソフトウェアで保護される。

メール類はもはやGmailだろう。

となると、FileVaultオフでデータが流出するとしたらどこからだ。

Evernoteのようなローカルに個人ファイルを持ってるものだろう。

となると、ローカルにデータがなければ安全である。iCloudドライブやFUSEを使ってしまえば、もはやFileVaultすら必要ない。

そう考えると、AppleがFileVaultよりiCloudドライブを一押ししてるのも頷ける。

ここまで考えて気づくのだが、いまのMacbookにFileVaultって本当に必要なんでしょうか。