Apple: SSH and FileVault

Когда на macOS включен FileVault, том с данными остается заблокированным до ввода пароля при загрузке, что делает SSH недоступным, так как его конфигурация хранится на этом томе. Однако если активирована опция Remote Login, можно аутентифицироваться по паролю через SSH даже в заблокированном состоянии, что позволяет удаленно разблокировать диск.

После успешной аутентификации система ненадолго разрывает SSH-соединение, пока монтирует том и запускает зависимые сервисы, после чего полноценный доступ возобновляется. Эта функция, появившаяся в macOS 26 Tahoe, полезна для администрирования устройств без физического присутствия.

Комментарии (166)

В macOS 26 Tahoe появилась возможность удалённой разблокировки зашифрованного тома (FileVault) по SSH до входа в систему, что решает давнюю проблему для удалённых серверов на Mac.
Пользователи подтверждают работоспособность функции: после перезагрузки можно подключиться по SSH, ввести учётные данные для разблокировки, после чего соединение разрывается, и система завершает загрузку.
Функция высоко оценена корпоративными пользователями и администраторами, так как позволяет использовать Mac mini в стойках и ЦОД без необходимости физического доступа для ввода пароля после сбоя питания.
Обсуждаются технические детали реализации: использование системного тома (read-only), перезагрузка пользовательского пространства после разблокировки для избежания race condition.
Некоторые пользователи выражают озабоченность по поводу потенциальных векторов атаки и необходимости использования аутентификации по паролю для SSH в этом сценарии.