Mini "Server", Filevault2 & VNC/Screensharing - Login Probleme

[404]

hallo.

Ich habe einen Mini als "Server" (kein OSX Server, nur normales 10.9), der als Cloud für meine privaten Daten usw. dient. Es sind kein Bildschirm und keine Tastatur angeschlossen. Automatischer Login als Benutzer XY ist aktiviert. Wenn ich auf dem Mini etwas updaten muss o.ä., nutze ich das normale OS Screensharing/VNC. Funktioniert sehr gut.

Da ich die Kontaktdaten, Passwörter für Email etc. nun doch mehr absichern möchte, habe ich versucht, Filevault2 auf dem Mini zu aktivieren. Kein Problem, DOCH
da der Autologin mit Filevault2 deaktiviert wird, landet man beim Hochfahren des Minis auf dem Anmeldebildschirm - wenn man einen Bildschirm angeschlossen hat. Denn VNC/Screensharing zeigt dieses Anmeldefenster nicht, es findet den verschlüsselten Mini nicht mehr.
Erst nachdem ich mich am Mini selbst als Benutzer angemeldet habe, funktioniert VNC/Screensharing wieder.

Wird der VNC/Screensharing Service erst später gestartet auf einem FV2 verschlüsseltem Mac?

Gibt es keine Möglichkeit, VNC/Screensharing bereits am FV2 Anmeldefenster zu nutzen? Sonst müste ich ja immer nach einem Stromausfall oder einer längeren Auszeit (Kaltstart), einen Bildschirm + Tastatur am Mini anschliessen, um VNC zu ermöglichen.
Oder gibt es zumindest einen komfortablen workaround für die Anmeldung nach einem Kaltstart? (Bei reboot gibts ja einen Befehl)

Danke.

 

[ProjectBuilder]

Wird der VNC/Screensharing Service erst später gestartet auf einem FV2 verschlüsseltem Mac?

Ja. Der wird erst relativ spät gestartet.

Gibt es keine Möglichkeit, VNC/Screensharing bereits am FV2 Anmeldefenster zu nutzen? Sonst müste ich ja immer nach einem Stromausfall oder einer längeren Auszeit (Kaltstart), einen Bildschirm + Tastatur am Mini anschliessen, um VNC zu ermöglichen.

Nicht direkt. Es gibt sogenannte IP-KVM Boxen. Also so ein kleines Gerät, welches du an den Bildschirm-Anschluss ansteckst und das selbst einen kleinen VNC-Server beinhaltet. Evtl. wäre das was?

Oder gibt es zumindest einen komfortablen workaround für die Anmeldung nach einem Kaltstart?

Das würde das Prinzip von FileVault ad absurdum führen. Das könnte ein Dieb dann ja auch machen.

 

[404]

Es gibt sogenannte IP-KVM Boxen. Also so ein kleines Gerät, welches du an den Bildschirm-Anschluss ansteckst und das selbst einen kleinen VNC-Server beinhaltet. Evtl. wäre das was?

Interessante Idee. Muss ich mich mal weiter reingraben. Die ersten Suchmaschinentreffer (Blackbox) zeigen aber Preise, die ich mir schlicht nicht leisten kann. Zudem müsste ich noch schauen, wieviel Strom sie verbrauchen und ob sie evt. den Ruhezustand des Mini unterbrechen.
Schade, dass der VNC Service so spät gestartet wird.

 

[Olivetti]

Zumindest beim Warmstart gibt es

sudo fdesetup authrestart

 

[ChrizCross]

Habe das gleiche Setup - Mini und FileVault 2 - nur läuft er bei mir 24/7.

Wenn er neustarten muss, warte ich 1min und kann normal per Screenshare und AdminPW zugreifen.

 

[404]

Wenn er neustarten muss, warte ich 1min und kann normal per Screenshare und AdminPW zugreifen.

Und das funktioniert nach einem Kaltstart, also wenn der Mini vorher komplett ausgeschaltet war?
Das wäre super, funktioniert aber bei mir anscheinend nicht und widerspricht dem, was ProjectBuilder gesagt hat. Darum bin ich so überrascht. Und das mit Apples "eingebautem" OSX Screensharing?

 

[ChrizCross]

Der Mini läuft bei mir 24/7. Daher weiss ich nicht, wie es sich bei einem Kaltstart verhält. Da bei einem Neustart aber auch von Null an hochgefahren wird, wüsste ich nicht, warum es sich da anders verhalten sollte.

Natürlich über das OSX Screenshare. Wenn kein Benutzer geladen ist, könnte er ja auch kein anderes VNC Programm starten.

 

[Olivetti]

Und du hast sicher die Verschlüsselung aktiv?
So wie bei dir, bringt das Ganze dann ja nichts oder da müsste dann ein VNCd aus der EFI geladen werden.

sudo fdesetup status

Welches OS hast du? Evtl. 10.10 und FV ist nur noch Snakeoil...

 

[ChrizCross]

Direkt bei der Installation so eingestellt. Aber ich kann gerne heute Abend mal einen Kaltstart versuchen.

 

[404]

10.10 und FV ist nur noch Snakeoil...

Whaaaaaaat?!? Bedeutet was? Ist FV2 jetzt nicht mehr sicher? Oder meinst du nur sein Setup?

@ChrizCross: Bin ja mal gespannt, wie es nach einem Kaltstart bei dir aussieht.

 

[Steppenwolfli]

Ich habe ähnliche Schwierigkeiten bei der Einrichtung meines Minis als Serversystem mit normalem OS X 10.9.5 gehabt. Meine Lösung: TeamViewer als Remote-Zugriffslösung, dazu muss die Monitorauflösung mit SwitchResX (o. ä.) festgesetzt werden, da der doofe OS X-Grafikkartentreiber bei einem Kaltstart des Systems ohne angeschlossenen Monitor die Auflöung verwirft. Der TeamViewer-Dienst läuft bereits vor der Benutzeranmeldung, auch bei aktiviertem FileVault und auch, wenn das System aus dem Ruhezustand geweckt wird.

 

[Olivetti]

Ihr müsst aber doch erstmal an dem Preboot Login vorbei, vorher ist die Platte noch gesperrt.
Ausser ihr habt eben keine Vollverschlüsselung.

 

[Steppenwolfli]

Das ist korrekt, bei Kalt- und Neustarts muss man das Kennwort eingeben, ich mache das über eine BT-Tastatur, die nicht stört. Allerdings geht eben leider mit Boardmitteln noch kein VNC-Zugriff nachdem man das allgemeine Festplattenkennwort eingegeben hat und noch kein Benutzer angemeldet ist.

 

[Olivetti]

Dann bist du ja schonmal wegen völligen Ignorierens von Post #1, letzter Absatz, raus, Hoëcker.

Mir ausserdem unverständlich ist dein letzter Satz, weil der Entsperr-User doch automatisch angemeldet wird.

Evtl. kann @404 nur mit einer Tastatur blind die Daten eingeben (Navi. mit Cursor-runter usw.), das erspart zumindest den Monitor anzuschliessen.

 

[404]

Danke für die vielen Tipps. Ich werde es vorläufig wirklich so machen, wie von Olivetti vermutet: Bei Bedarf USB-Tastatur anschliessen und PW blind eingeben.
Auf jeden Fall hab ich mit FV2 mehr Zeit (zum Ändern der Passwörter) und weniger Panik, wenn Macs etc. nach dem Einbruch verschwunden sind.
Jetzt muss ich nur noch die Festplatten bzw. das NAS sichern, das an den Server angeschlossen ist (separater Post).

 

[xentric]

Anscheinend nutzt hier keiner selbst Filevault außer der TS, aber das Terminal bietet genau das, was du willst. Ich war selbst etwas erstaunt, als ich damals darauf gestoßen bin, das Apple sowas implementiert...

Du brauchst:

sudo fdesetup authrestart

Mehr dazu:
http://support.apple.com/en-us/HT202918
und
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man8/fdesetup.8.html

On supported Macs with OS X Mountain Lion v10.8.2 and later, you can use the fdesetup command to perform an authenticated restart (authrestart). This allows you to restart a FileVault-enabled system without requiring an unlock during the next startup. Note: Macs running OS X Mavericks should update to v10.9.1 or later to perform an authenticated restart.

- This command works with drives encrypted using FileVault.
- Authenticated restart only works for the next startup after using these commands. You must use the commands again if you want to restart a second time without unlocking.

 

[ProjectBuilder]

Du hast den Thread nicht wirklich gelesen, stimmt's?

 

[xentric]

Du hast den Thread nicht wirklich gelesen, stimmt's?

Nope, den 1. Post, und die hinteren, aber den #4 hab ich wohl uebersehen .

Aberk eine Reaktion vom OP? Weil neustarten nach Updates kann er doch so, oder nicht?

Edit: Ah, nach dem Kaltstart. Gut, aber wer startet schon n server kalt . Reicht ja auch ne Tastatur, oder? Bei meinem Linux muss ich nur das Password für dmcrypt eingeben beim booten, also ohne Screen, nur USB Tastatur, nur dass Password ohne User auszuwählen. Und die kostet ja wirklich nur 2 EUR und liegt dann halt darum.
Evlt geht das bei OS X auch? Wenn man sich die Reihenfolge merkt, müsste das doch ohne Probleme gehen, oder? z.B. "rechts, enter für 2ten user: password".
Kanns nicht probieren, aber wüsste nicht, wieso das nicht gehen sollte.

Geht halt nicht remote, aber so oft kommt das bei mir auch nicht vor zuhause. Und richtige server haben ja auch ne Console für sowas..