Connexion
Comment créer et utiliser des liens symboliques (Symlinks) sur un Mac
Les liens symboliques permettent de pointer un fichier ou dossier vers un autre emplacement du système de fichiers de votre Mac, sans dupliquer les données. ...
Bon, on va pouvoir l’avouer maintenant, tous ceux qui se la racontent parce qu’ils peuvent prendre le contrôle à distance de leur joli Mac, ont la même galère depuis que FileVault existe… En effet, après une coupure de courant ou une mise à jour du système, votre super serveur Mac redevient une boite à chaussure jusqu’à ce que quelqu’un déplace son gros cul d’admin sys pour taper le mot de passe sur un clavier tout ça.
Et là, on a Jeff Geerling qui nous annonce l’air de rien qu’Apple vient enfin de “légaliser” la bidouille qu’on utilisait tous en douce à savoir déverrouiller FileVault à distance via SSH dans macOS Tahoe.
Ce qui était donc avant une astuce d’admin système un peu à la one again (script d’autologin / désactiver le chiffrement…etc) devient maintenant une fonctionnalité officielle. Sous macOS 26 Tahoe, si vous activez la “Session à distance” dans les réglages de partage, vous pouvez maintenant vous connecter en SSH avant même que l’utilisateur se soit authentifié. Un admin tape son mot de passe à distance et hop, le Mac démarre complètement. La documentation officielle explique même que le SSH se déconnecte brièvement pendant le montage du volume, puis revient. C’est la classe !
Par contre, petit détail qui tue, c’est censé fonctionner en WiFi mais Jeff Geerling qui a testé l’astuce n’a réussi à se connecter qu’en Ethernet. Il pense qu’en Wifi, ça ne passe pas parce que les clés réseau sont dans le Keychain, qui est lui-même chiffré sur le volume verrouillé. C’est le serpent qui se mord la queue (oui, vous le savez d’expérience, ça fait mal de se mordre la queue)… Du coup, tous ceux qui ont des Mac mini planqués derrière leur télé en mode serveur Plex, vont devoir tirer un petit câble RJ mais bon, vrai bonhomme fait vrai réseau en Ethernet, le Wifi c’est pour les faibles, ouga-ouga !
Cette nouvelle fonction arrive pile poil au moment où Apple change aussi la façon dont FileVault stocke les Recovery Keys. Selon TidBITS , fini le stockage basique dans iCloud, maintenant c’est dans l’iCloud Keychain avec chiffrement de bout en bout.
Quoiqu’il en soit, cette fonction très pratique pour les admins autorise quand même potentiellement de nouvelles attaques pre-auth sur les Mac, car avant, un Mac avec FileVault activé était une forteresse imprenable au démarrage. Mais maintenant, si vous avez activé le SSH distant, il y a une nouvelle surface d’attaque avec laquelle s’amuser. Alors oui, faut toujours le mot de passe admin mais bon, c’est moins sympa qu’une vraie sécurité physique…
En tout cas, tous les vieux de la vieille qui gèrent des fermes de Mac mini pour du CI/CD ou du rendu sont aux anges ! Plus besoin de supplier le stagiaire d’aller dans la salle serveur après chaque reboot, par contre, les puristes de la sécurité font un peu la grimace car cette connexion SSH, c’est du password-only pour l’instant. Apple a encore fait les choses à moitié, comme d’hab.
