OS X: FileVault 2용 복구 키를 만들고 배포하는 방법

OS X: FileVault 2용 복구 키를 만들고 배포하는 방법

이 고급 문서에서는 사용자 암호를 잊어버린 경우, 암호화된 데이터를 복구하기 위해 FileVault 2에서 사용할 복구 키를 만들고 배포하는 방법을 알아봅니다.

사용자 암호를 잊어버린 경우, 아래 단계에 따라 마스터 암호를 만들고 개인 키를 삭제하며 업데이트한 FileVaultMaster.keychain을 클라이언트에 배포하여 암호화된 데이터를 복구합니다. 

마스터 암호 생성

1. 시스템 환경설정을 열고 사용자 및 그룹 환경설정 패널을 선택합니다.
2. 이 패널이 잠겨 있는 경우 잠금 아이콘을 클릭하여 인증합니다.
3. 서비스 단추를 클릭하고 팝업 메뉴에서 '마스터 암호 설정…'을 선택합니다.
4. 표시되는 시트에서 마스터 암호를 만듭니다. 암호 지원을 사용하면 강력한 암호를 만드는 데 도움이 됩니다. 암호를 설정하면 다음 파일이 생성됩니다.
   
   /라이브러리/Keychains/FileVaultMaster.cer
   /라이브러리/Keychains/FileVaultMaster.keychain
    
5. 외장 드라이브 또는 다른 실제 디스크에 있는 암호화된 디스크 이미지와 같이 안전하게 저장할 수 있는 위치에 /라이브러리/Keychains/FileVaultMaster.keychain 파일을 복사합니다. 이 파일에는 암호화된 디스크를 잠금 해제하는 데 필요한 개인 키가 포함되어 있습니다. /라이브러리/Keychains/FileVaultMaster.cer 파일을 안전하게 삭제할 수 있습니다.

개인 키 삭제

1. 키체인 접근을 사용하여 키체인을 열려면 Finder에서 /라이브러리/Keychains/FileVaultMaster.keychain을 이중 클릭합니다.
2. 키체인 접근에서 왼쪽에 있는 키체인 목록에서 FileVaultMaster를 선택합니다.
3. 'FileVault 마스터 암호 키'를 강조 표시한 다음 키보드의 delete 키를 눌러 삭제합니다. 나타나는 대화상자에서 삭제를 클릭합니다.
4. 키체인 접근을 종료합니다.
5. 업데이트한 /라이브러리/Keychains/FileVaultMaster.keychain 파일을 다른 위치에 복사합니다. FileVault에서 이 파일을 사용하도록 클라이언트에 배포할 수 있습니다.

FileVaultMaster.keychain 배포

선호하는 배포 방법으로 FileVaultMaster.keychain 파일을 클라이언트 컴퓨터의 /라이브러리/Keychains/에 복사한 후 설치합니다. 소유권 및 권한이 올바른지 확인합니다. 다음은 예입니다.

-rw-r--r--  1 root  wheel  23540 Dec  7 13:55 /라이브러리/Keychains/FileVaultMaster.keychain

필요한 경우 다음 명령을 통해 올바른 소유권 및 권한을 각각 구성합니다.

sudo chown root:wheel /라이브러리/Keychains/FileVaultMaster.keychain
sudo chmod 644 /라이브러리/Keychains/FileVaultMaster.keychain
 

FileVault 2 활성화

시스템 환경설정에서 FileVault 2를 활성화하면 복구 키가 사용자의 회사, 학교 또는 학원에서 설정되었다는 경고 메시지가 표시됩니다.

복구

사용자가 암호를 잊어버리고 FileVault 2가 활성화되기 전에 복구 키가 설치되었으면 다음 단계를 수행하여 암호화된 디스크를 잠금 해제할 수 있습니다. 참고: 이 절차는 OS X 복구에서 컴퓨터를 시동한 경우에만 적용됩니다.

1. command와 R 키를 누른 상태에서 클라이언트를 재시동합니다.
2. FileVaultMaster.keychain 파일이 있는 외장 드라이브와 개인 키를 연결합니다.
3. 유틸리티 메뉴에서 터미널을 선택합니다.
4. 개인 키가 있는 키체인이 암호화된 디스크 이미지에 저장되어 있으면 다음 명령으로 마운트합니다.
   
   hdiutil attach /path/to/diskImage
   
   
5. 다음 명령으로 FileVaultMaster.keychain 파일을 잠금 해제합니다. 올바른 경로를 키체인 파일에 삽입합니다.
   
   security unlock-keychain <path to Keychain File>
   
   예를 들어 ThumbDrive 볼륨에서
   security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain
   
   
6. 키체인을 잠금 해제하려면 마스터 암호를 입력합니다. 암호가 승인되면 명령 프롬프트가 나타납니다.
7. 다음 명령을 사용하여 드라이브와 CoreStorage 볼륨을 나열합니다.
   
   diskutil cs list
    
8. 논리적 볼륨의 UUID를 검색합니다. 일반적으로 목록의 맨 마지막에 있습니다. 다음 명령 단계에 사용할 UUID를 선택하여 복사합니다.
9. 다음 명령을 사용하여 암호화된 디스크를 잠금 해제합니다. 이전 단계의 UUID와 올바른 경로를 키체인 파일에 삽입합니다.
   
   diskutil cs unlockVolume <UUID> -recoveryKeychain <path to Keychain File>
   
   예를 들어 ThumbDrive 볼륨에 2F227AED-1398-42F8-804D-882199ABA66B라는 UUID가 있으면 다음 명령을 사용합니다.
   diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
    
10. 키체인을 잠금 해제하려면 마스터 암호를 입력합니다. 볼륨을 마운트합니다. 이제 디스크 유틸리티를 사용하여 또는 ditto와 같은 명령어 라인 도구를 사용하여 데이터를 백업할 수 있습니다.