← man/security_and_auth
fdesetup — man fdesetup — 80×24
ugur@toprak:~/man/security_and_auth$man fdesetup
Bölüm 1 Güvenlik & Kimlik

fdesetup

FileVault yapılandırma aracı

Özet

     fdesetup verb [options]

Açıklama

fdesetup; FileVault'ı etkinleştirmek veya devre dışı bırakmak, etkinleştirilmiş FileVault kullanıcılarını listelemek, eklemek veya kaldırmak ve FileVault'ın mevcut durumu hakkında bilgi edinmek için kullanılır. Çoğu komut root erişimi gerektirir ve bir FileVault parolası, (etkinleştirilmişse) kişisel kurtarma anahtarı veya bazı durumlarda yüklü kurumsal kurtarma anahtarına ait özel anahtar ile kimlik doğrulaması yapılmasını zorunlu kılar. Durumla ilgili bazı komutlar root yetkisi olmayan bir oturumdan da çalıştırılabilir.

CoreStorage birimleri üzerindeki belirli komutlar, -key seçeneği ve ardından yüklü kurumsal kurtarma anahtarının özel anahtarını içeren bir anahtar zinciri (keychain) dosyasının yolu belirtilerek kimlik doğrulaması yapmanıza ve kilidi açmanıza olanak tanır. Bu anahtar zincirine sertifikayı dahil etmeyin.

Varsayılan olarak, FileVault etkinleştirilirken fdesetup yalnızca kişisel bir kurtarma anahtarı döndürür. Uygun sertifika bilgileri sağlandığında fdesetup, kurumsal bir kurtarma anahtarı yükleyebilir. Ayrıca, kurumsal bir kurtarma anahtarı da yüklemediğiniz sürece önerilmese de, -norecoverykey seçeneğini kullanarak kişisel bir kurtarma anahtarı oluşturmadan da kurulum yapabilirsiniz. APFS birimlerinde, daha önceki bir etkinleştirmeden oluşturulmuş bir kişisel kurtarma anahtarınız zaten varsa, mevcut anahtarı yeniden kullanmanıza olanak tanımak amacıyla bu anahtar kaldırılmaz veya yeni bir kişisel kurtarma anahtarı oluşturulmaz. Her iki anahtar türü de daha sonraki bir zamanda eklenebilir veya değiştirilebilir.

-keychain seçeneği ile, /Library/Keychains/FileVaultMaster.keychain dosyasına bir X.509 asimetrik açık anahtar sertifikası yerleştirilerek kurumsal bir kurtarma anahtarı kurulabilir. security create-filevaultmaster-keychain anahtar zincirini oluşturmak için kullanılabilir. Alternatif olarak, -certificate seçeneği kullanılıp DER kodlu sertifika dosyasının yolu girilerek bir sertifika aktarılabilir. Bu durumda FileVaultMaster.keychain dosyası sertifika kullanılarak oluşturulacaktır. Sahip olduğunuz .cer dosyası ile isteğe bağlı sertifika verileri base64 aracı kullanılarak elde edilebilir. Örneğin: 'base64 /yol/sertifikam.cer > /yeni_verim.txt', bu noktada metin dosyasında bulunan veri dizesini kopyalayıp özellik listesinin (property list) Certificate değer alanına yerleştirirsiniz. Sertifika kendinden imzalı (self-signed) olmalı ve ortak adı (common name) mutlaka "FileVault Recovery Key" olmalıdır.

Kullanıcı parolası hemen hazır olmayabileceğinden, FileVault etkinleştirmesini kullanıcının oturum açmasına veya kapatmasına kadar nasıl erteleyeceğiniz hakkında bilgi edinmek için aşağıdaki ERTELENMİŞ ETKİNLEŞTİRME bölümünü okuyun.

status komutu FileVault'ın Açık (On) veya Kapalı (Off) olup olmadığını gösterecektir. Eğer /Library/Keychains klasörüne bir FileVault ana anahtar zinciri (master keychain) yüklenmişse, bunu da rapor edecektir. Bunun tek başına FileVault'ın kurumsal bir kurtarma anahtarı ile kurulup kurulmadığını göstermediğini unutmayın. -extended seçeneği, şifreleme veya şifre çözme için kalan süre dahil olmak üzere genişletilmiş durum bilgilerini görüntüleyecektir. Bu kalan sürenin hesaplanması birkaç dakika sürebilir ve yalnızca yaklaşık bir değerdir.

list komutu, etkinleştirilmiş FileVault kullanıcılarının kısa adlarını ve UUID'lerini görüntüleyecektir. Mevcut kullanıcı türlerinin tam listesini bazı ek bilgilerle birlikte görüntülemek için -extended seçeneğini kullanabilirsiniz. Bu bilgilere, kurtarma anahtarının emanete alınıp alınmadığı (escrowed) bilgisi de dahil olacaktır; ancak bu bilgi sunucuya henüz başarıyla gönderilmemiş olsa bile "Yes" (Evet) olarak gösterileceğini unutmayın. Şu anda kilitli ve çevrimdışı olan CoreStorage FileVault birimlerinin bir listesini almak için -offline seçeneğini de kullanabilirsiniz. Bu bilgileri haspersonalrecoverykey veya hasinstitutionalrecoverykey komutlarının bir parçası olarak kullanabilirsiniz.

remove komutu, kullanıcı adı veya FileVault UUID'si verilen bir kullanıcıyı FileVault'tan kaldıracaktır.

sync komutu, Open Directory özniteliklerini (örneğin kullanıcı resimlerini) uygun FileVault kullanıcılarıyla senkronize eder ve Open Directory'den kaldırılmış olan FileVault kullanıcılarını temizler. Çoğu durumda bu değişiklikler FileVault içinde zaten güncellenmiş olacaktır. sync komutu FileVault'a kullanıcı eklemez.

FileVault'ın kurulmuş bir kişisel veya kurumsal kurtarma anahtarına sahip olup olmadığını görmek için haspersonalrecoverykey veya hasinstitutionalrecoverykey komutlarını kullanın. Eğer FileVault aktifse ve anahtar ayarlanmışsa, bu komutlar varsayılan olarak "true" veya "false" döndürür. Herhangi bir hata oluşursa veya FileVault henüz tamamen etkinleştirilmemişse de "false" döndürülebileceğini unutmayın. Bir bağlama yolu (örneğin /Volumes/hacim), bir bsd adı tanımlayıcısı (örneğin disk0) veya Mantıksal Birim (Logical Volume) ya da Mantıksal Birim Ailesi (Logical Volume Family) UUID'sini (list komutunu kullanarak veya diskutil(8) kullanarak elde edilir) belirtmek için device seçeneğini kullanabilirsiniz. Bir device parametresi belirtirseniz ve bu parametre kurumsal kurtarma anahtarını bulursa, "true" yerine açık anahtar karmasının (hash) onaltılık (hex) bir gösterimi döndürülecektir.

Bir kullanıcı şu anda kurtarma anahtarını kullanarak sistemin kilidini açmış durumdaysa, usingrecoverykey komutu "true" döndürecektir.

changerecovery komutu, kişisel veya kurumsal kurtarma anahtarını değiştirir ya da ekler. Her türden yalnızca bir adet kurtarma anahtarınız olabilir, bu nedenle ilişkili mevcut anahtar kaldırılacaktır. removerecovery komutu, belirtilen türdeki mevcut herhangi bir kurtarma anahtarını kaldıracaktır. FileVault parolanızı kaybetmeniz durumunda bilgilerinize erişemeyebileceğiniz için tüm kurtarma anahtarlarını kaldırmanız önerilmez. 10.14 veya daha yeni sürümleri kullanan APFS birimlerinde, kişisel kurtarma anahtarını değiştirmek veya kaldırmak amacıyla kimlik doğrulaması olarak mevcut kurtarma anahtarı kullanılabilir.

Desteklenen donanımlarda fdesetup, authrestart komutunu kullanarak, sonraki önyükleme (boot) sırasında kilit açmayı gerektirmeden FileVault etkinleştirilmiş bir sistemin yeniden başlatılmasına olanak tanır. UYARI: Kimlik doğrulamalı yeniden başlatmalar sırasında FileVault korumaları azalır. Özellikle fdesetup, kalıcı bir FDE (tam disk şifreleme) kilit açma anahtarının en az bir ek kopyasını hem sistem belleğinde hem de (desteklenen sistemlerde) Sistem Yönetim Denetleyicisi (System Management Controller - SMC) içinde bilerek saklar. fdesetup root olarak çalıştırılmalıdır ve FileVault kök biriminin kilidini açmak için kendisi bir parola ister. Anahtarın bekleme (standby) modlarında kaydedilmesini önlemek için pmset destroyfvkeyonstandby komutunu kullanın. authrestart kimlik doğrulaması tamamlandıktan sonra, shutdown(8) komutunu başlatır ve başarılı bir kilit açma işleminin ardından kilit açma anahtarı kaldırılır. Sistem bu özelliği destekliyorsa bunu enable komutuna bir seçenek olarak da kullanabilirsiniz. supportsauthrestart komutu, sistemin authrestart komut seçeneğini destekleyip desteklemediğini kontrol edecektir; ancak bu komut true döndürse bile, authrestart özelliğinin çalışması için FileVault'ın hala etkin durumda olması gerektiğini unutmamalısınız.

Eylemler

Her komut eylemi, açıklaması ve bağımsız argümanları ile birlikte listelenmiştir.

help Kısaltılmış yardımı gösterir

list [-extended] [-offline] [-verbose] Etkinleştirilmiş kullanıcıları veya kilitli birimleri listeler.

enable [[[-user username ...] [-usertoadd added_username ...]] | [-inputplist]] [-outputplist] [-prompt] [-forcerestart] [-authrestart] [-keychain | [-certificate path_to_cer_file]] [[-defer file_path] [-forceatlogin max_cancel_attempts] [-dontaskatlogout]] [-norecoverykey] [-verbose] FileVault'ı etkinleştirir. Diskinizde hiçbir kurtarma bölümü (recovery partition) bulunamazsa bu komut başarısız olacaktır. Ayrıca, tüm Secure Token kullanıcılarının geçerli parolalar içermesi gerekir.

disable [-verbose] FileVault'ı devre dışı bırakır.

status [-extended] [-verbose] FileVault hakkında mevcut durumu döndürür. APFS birimlerinde -extended seçeneği, şifreleme ve şifre çözme aşamalarında sürekli güncellemeler ve tahmini tamamlanma süreleri sağlayacaktır.

sync Open Directory'deki bilgileri FileVault ile senkronize eder.

add -usertoadd added_username ... | -inputplist [-verbose] Ek FileVault kullanıcıları ekler. Kimlik doğrulaması yapmak için bir FileVault kullanıcı parolası veya kurtarma anahtarı kullanılmalıdır.

remove -uuid user_uuid | -user username [-verbose] Etkinleştirilmiş kullanıcıyı FileVault'tan kaldırır. Eğer birimdeki son işletim sistemi (OS) kullanıcısıysa, kullanıcıyı kaldırmayacaktır.

changerecovery -personal | -institutional -user [[-keychain] | [-certificate path_to_cer_file]] [-key path_to_keychain_file] [-inputplist] [-verbose] Mevcut kurtarma anahtarını ekler veya günceller. Kişisel ve/veya kurumsal seçeneklerinden en az biri belirtilmelidir. Kişisel kurtarma anahtarı değiştirilirken, güncellenmiş kişisel kurtarma anahtarı otomatik olarak oluşturulacaktır. Herhangi bir anahtar değiştirildiğinde, eski değer kaldırılacak ve değiştirilecektir. CoreStorage birimlerinde FileVault kilidini açmak için -key seçeneği kullanılabilir. Bu konuda daha fazla bilgi bu belgenin diğer kısımlarında açıklanmaktadır.

removerecovery -personal -user | -institutional [[-key path_to_keychain_file] | [-inputplist]] [-verbose] Mevcut kurtarma anahtarını kaldırır. Kişisel ve/veya kurumsal seçeneklerinden en az biri belirtilmelidir. FileVault kilidini açmak için isteğe bağlı olarak -key seçeneği kullanılabilir. Bu konuda daha fazla bilgi bu belgenin diğer kısımlarında açıklanmaktadır.

authrestart [-inputplist] [-delayminutes number_of_minutes_to_delay] [-verbose] Mevcut birimde FileVault etkinleştirilmişse, başlangıçtaki kilit açma işlemini atlayarak sistemi yeniden başlatır. İsteğe bağlı -delayminutes seçeneği, yeniden başlatma komutunu belirlenen dakika kadar geciktirmek için kullanılabilir. 0 değeri 'hemen' anlamına gelir ve -1 değeri 'asla' anlamına gelir. Komut her sistemde çalışmayabilir.

isactive [-verbose] FileVault etkinse, "true" dizesi ile birlikte 0 durum kodunu döndürür. FileVault Kapalı (Off) ise "false" ile birlikte 1 durum kodunu döndürür.

haspersonalrecoverykey [-device] [-verbose] FileVault kişisel bir kurtarma anahtarı içeriyorsa "true" dizesini döndürür.

hasinstitutionalrecoverykey [-device] [-verbose] Varsayılan olarak, FileVault kurumsal bir kurtarma anahtarı içeriyorsa "true" dizesini döndürür. --device seçeneği kullanılarak belirtilen CoreStorage birimlerinde, "true" yerine açık anahtar karmasının (hash) onaltılık (hex) gösterimini döndürecektir. Karma (hash) seçeneği APFS birimleri için desteklenmez. Kurulu bir kurumsal kurtarma anahtarı yoksa "false" döndürür.

usingrecoverykey [-verbose] FileVault şu anda kişisel kurtarma anahtarı kullanılarak açılmışsa "true" dizesini döndürür.

supportsauthrestart Sistem kimlik doğrulamalı yeniden başlatma seçeneğini destekliyorsa "true" dizesini döndürür. True döndürülse bile, bu durum authrestart özelliğinin mutlaka çalışacağı anlamına gelmez; çünkü bunun için FileVault'ın etkinleştirilmiş olması gerekir.

validaterecovery [-inputplist] [-verbose] Kişisel kurtarma anahtarı doğrulanırsa "true" dizesini döndürür. Doğrulanan kurtarma anahtarı xxxx-xxxx-xxxx-xxxx-xxxx-xxxx biçiminde olmalıdır.

showdeferralinfo Erteleme (defer) modu ayarlanmışsa, geçerli ayarları gösterecektir.

version Mevcut araç sürümünü görüntüler.

Seçenekler

-defer file_path Kullanıcı parolası elde edilene kadar FileVault'ın etkinleştirilmesini erteler; kurtarma anahtarı ve sistem bilgileri belirtilen dosya yoluna yazılır.

-user user_shortname Kısa kullanıcı adı.

-uuid user_uuid Kurala uygun (canonical) biçimdeki kullanıcı UUID'si: 11111111-2222-3333-4444-555555555555.

-usertoadd added_user FileVault'a eklenecek ek kullanıcılar.

-inputplist FileVault'ı etkinleştirirken veya kullanıcı eklerken yapılandırma bilgilerini stdin'den alır.

-prompt Her zaman bilgi için istemde bulunur.

-forcerestart FileVault başarıyla yapılandırıldıktan sonra normal bir yeniden başlatmaya zorlar. Yalnızca CoreStorage birimleri için geçerlidir.

-authrestart Başarılı bir etkinleştirme gerçekleştikten sonra kimlik doğrulamalı bir yeniden başlatma yapar.

-outputplist Kurtarma anahtarını ve ek sistem bilgilerini stdout'a bir plist sözlüğü (dictionary) biçiminde çıktılar. Kurtarma anahtarı değişirse, sözlük ayrıca bir Change (Değişiklik) anahtarı içerecek ve EnableDate (Etkinleştirme Tarihi) anahtarı değişikliğin tarihini barındıracaktır. Mümkün olduğunca, ek güvenlik riski oluşturabileceğinden bu dosyayı kalıcı bir konuma yazmaktan kaçınmalı ve en azından dosyayı en kısa sürede güvenli bir şekilde silmelisiniz.

-keychain /Library/Keychains/FileVaultMaster.keychain konumunda saklanan kurumsal kurtarma anahtarını kullanır.

-certificate path_to_cer_file Belirtilen yolda bulunan sertifika verilerini kullanır. Mevcut herhangi bir /Library/Keychains/FileVaultMaster.keychain dosyası, konumu sistem günlüğüne (system log) kaydedilerek başka bir yere taşınacaktır. Sertifika verileriniz girdi plist bilgilerinde yer alıyorsa bu seçeneği ayarlamayın. Sertifikanın ortak adı (common name) mutlaka "FileVault Recovery Key" olmalıdır.

-key path_to_keychain_file FileVault'ın kilidini açmak ve kimliğini doğrulamak için, şu anda yüklü olan kurumsal kurtarma anahtarının özel anahtarını barındıran yoldaki anahtar zinciri (keychain) dosyasını kullanır.

-norecoverykey Kişisel bir kurtarma anahtarı döndürmez. APFS birimlerinde, daha önce oluşturulmuş mevcut bir kurtarma anahtarını yeniden kullanmak için bu seçeneği tercih edebilirsiniz.

-forceatlogin max_cancel_attempts -defer seçeneği kullanıldığında, belirlenen kullanıcıya FileVault'ı etkinleştirmesi için oturum açma sırasında istem gösterir. Kullanıcının, oturum açması gerekmeden önce FileVault etkinleştirmesini iptal edip geçmesi için en fazla max_cancel_attempts kadar hakkı vardır. Bu değer 0 ise, kullanıcının bir sonraki oturum açmasında hesaplarını kullanmalarına izin verilmeden önce FileVault'ı etkinleştirmesi gerekecektir. Diğer özel değerler arasında bu seçeneği yok saymak için -1 ve kullanıcının FileVault'ı etkinleştirmeye asla zorlanmaması gerektiği anlamına gelen 9999 bulunur (bunun yerine FileVault etkinleştirilene kadar kullanıcıya her oturum açma sırasında istem gösterilecektir).

-dontaskatlogout -defer seçeneği kullanıldığında, varsayılan eylem belirlenen kullanıcıya FileVault'ı etkinleştirmek üzere kullanıcı oturumu kapatırken parolasını sormaktır. Eğer bu seçenek kullanılırsa, oturum kapatma sırasındaki etkinleştirme penceresi gösterilmez. Buradaki varsayım, bunun yerine kullanıcı oturum açtığında FileVault'ı etkinleştirmek üzere istemde bulunmak için -forceatlogin seçeneğini kullanıyor olmanızdır.

-extended Belirli komutlar için genişletilmiş çıktı bilgisi döndürür. APFS birimlerinde FileVault'ı etkinleştirme veya devre dışı bırakma durumunu kontrol ederken bu kullanıldığında, kalan sürenin kaba bir tahmini görüntülenecektir. Bu değerin ilk başta hesaplanması birkaç dakika sürebilir. Durum gösterimini durdurmak için Ctrl-C tuşlarına basın.

-offline Mevcut çevrimdışı ve kilitli FileVault birimlerini görüntüler. Şu anda yalnızca list komutu için kullanılır.

-device bsd_name_or_mount_path_or_lvf_or_lv_UUID Komutun uygulanacağı aygıt konumu. Bu, "disk1", "/Volumes/MyVolume" şeklinde veya bir CoreStorage kurtarma kullanıcısı istenirken, bir birimin Mantıksal Birimi (Logical Volume) veya Mantıksal Birim Ailesi (Logical Volume Family) için bir UUID biçiminde olabilir. Tüm komutlar bu seçeneği kullanamaz.

-delayminutes number_of_minutes_to_delay Kimlik doğrulamalı yeniden başlatmanın geciktirileceği tam sayı dakika değeri. Bu seçenek ayarlanmazsa veya değer 0 ise, kimlik doğrulamalı yeniden başlatma hemen gerçekleşecektir. -1 değeri hiçbir zaman otomatik olarak yeniden başlatmaya çalışmaz; bunun yerine kimlik doğrulamalı yeniden başlatma işlemi kullanıcı bir sonraki sefer yeniden başlattığında gerçekleşir.

Ertelenmiş Etkinleştirme

-defer seçeneği, geçerli (veya sonraki) yerel kullanıcı oturum açana veya kapatana kadar FileVault'ın etkinleştirilmesini geciktirmek için enable komut seçeneği ile birlikte kullanılabilir; böylece araç çalıştırıldığında bir parola girme ihtiyacını ortadan kaldırır. Ayarlanan seçeneklere bağlı olarak, kullanıcıya ya oturumu kapatırken parola için istemde bulunulur ya da oturum açtığında FileVault'ı etkinleştirmesi istenir. Birim halihazırda bir CoreStorage birimi değilse, şifreleme işlemini başlatmak için sistemin yeniden başlatılması gerekebilir. Herhangi bir etkileşim olmazsa iletişim kutuları 60 saniye sonra otomatik olarak kapatılır ve iptal edilir.

-defer seçeneği, FileVault'a eklenecek tek bir kullanıcıyı yapılandırır. Belirtilmiş bir kullanıcı yoksa (örneğin -user seçeneği olmadan), o anda oturum açmış olan kullanıcı yapılandırmaya eklenir ve belirlenmiş kullanıcı olur. Belirtilmiş bir kullanıcı yoksa ve yapılandırma sırasında hiçbir kullanıcı oturum açmamışsa, oturum açan bir sonraki kullanıcı belirlenmiş kullanıcı olacaktır.

Kullanıcı parolası elde edilene kadar kurtarma anahtarı bilgileri oluşturulmadığından, -defer seçeneği bu bilgilerin yazılacağı bir yol gerektirir. Özellik listesi (property list) dosyası yalnızca root tarafından okunabilir bir dosya olarak oluşturulacaktır ve güvenli bir konuma yerleştirilmelidir. Geçerli erteleme yapılandırma bilgilerini görüntülemek için showdeferralinfo komutunu kullanabilirsiniz.

-defer seçeneği ile birlikte kullanılabilecek seçenekler şunlardır: -keychain, -certificate, -forcerestart, -forceatlogin, -dontaskatlogout, -user ve -norecoverykey.

Belirlenen kullanıcıya oturumu kapatırken FileVault'ı etkinleştirmesi için istem gösteriliyor ve kurulumu tamamlamıyorsa, FileVault etkinleştirilmeyecektir; ancak yapılandırma kalacak ve belirlenen kullanıcının bir sonraki oturum kapatmasında (veya -forceatlogin seçeneği etkinse oturum açmasında) tekrar kullanılacak, böylece kullanıcıya FileVault'ı etkinleştirmesi için sürekli hatırlatmada bulunulacaktır. -forceatlogin seçeneği kullanıldığında, kullanıcıya FileVault'ı etkinleştirmesi için belirli sayıda deneme hakkı verilir; bu denemelerde işlemi iptal edip sistemlerini FileVault olmadan kullanmaya devam edebilirler. İptal etme denemesi sınırına ulaşıldığında, FileVault etkinleştirilene kadar kullanıcı kendi hesabında oturum açamayacaktır. Kullanıcının kalan deneme haklarının mevcut değeri showdeferralinfo komutu kullanılarak görüntülenebilir. -forceatlogin seçeneği için özel değerler arasında; bir sonraki oturum açmada etkinleştirmeyi hemen zorunlu kılmak için '0' olarak ayarlanması, '-1' ile kontrolün tamamen devre dışı bırakılması yer alır ve '9999' özel değeri ise kullanıcının FileVault'ı etkinleştirmesinin asla zorunlu tutulmayacağı anlamına gelir, ancak FileVault etkinleştirilene kadar kullanıcıya sürekli olarak istem gösterilecektir. Kişisel bir kurtarma anahtarı kullanılıyorsa, kullanıcıya muhtemelen başarılı bir etkinleştirmenin ardından ekranda gösterilen FileVault kurtarma anahtarını not etmesi ve güvenli bir yerde saklaması gerektiği önceden uyarılmalıdır.

Belirlenen kullanıcı yerel bir kullanıcı (veya mobil hesap kullanıcısı) olmalıdır.

Aktif bir ertelenmiş etkinleştirme yapılandırmasını kaldırmak için, FileVault şu anda etkin olmasa bile disable komutunu kullanabilirsiniz.

macOS 10.15'ten başlayarak, oturum kapatma sırasında -defer seçeneği kullanıldığında, fdesetup etkinleştirme işlemini sistem oturum açma penceresine dönene kadar tamamlamayabilir. Kurtarma anahtarını kullanıcıya görüntülüyorsanız, etkinleştirme işlemi tamamlanana kadar bu anahtar görünmeyecektir.

Girdi Özellik Listesi

Username sally Password mypassword AdditionalUsers Username johnny Password johnnypassword Username henry Password henrypassword (vb.) Certificate 2v6tJdfabvtofALrDtXAu1w5cUOMCumz ... KeychainPath /privatekey.keychain

Username FileVault etkinleştirilirken kullanılan OD (Open Directory) kullanıcısının kısa adı.

Password Kullanıcının parolası ya da bazı durumlarda kişisel kurtarma anahtarı.

AdditionalUsers Etkinleştirme sırasında eklenecek her bir OD kullanıcısı için bir sözlükler (dictionaries) dizisi.

AdditionalUsers/Username FileVault kullanıcı listesine eklenecek bir kullanıcının OD kısa adı.

Certificate Kurumsal kurtarma anahtarı asimetrik sertifika verisi.

KeychainPath Belirli komutlar için kimlik doğrulaması yapıyorsanız, özel anahtar anahtar zinciri (keychain) dosyasının yolu.

Dosyalar içinde kullanılabilecek parolalara dikkat edilmelidir. Bu bilgileri kalıcı bir konuma yazmaktan kaçınmak için betiklerinizde plist verilerini doğrudan bir araçtan diğerine aktarmaya çalışacak önlemler alınmalıdır.

Ssh Aracılığıyla Uzaktan Kilit Açma

FileVault etkinleştirildiğinde, bir hesap parola kullanılarak doğrulanana kadar veri birimi önyükleme (booting) sırasında ve sonrasında kilitlidir ve kullanılamaz. OpenSSH'in macOS sürümü, hem sistem genelindeki hem de hesap başına olan tüm yapılandırma dosyalarını veri biriminde depolar. Bu nedenle, normalde yapılandırılmış olan kimlik doğrulama yöntemleri ve kabuk (shell) erişimi bu süre boyunca kullanılamaz. Ancak, Uzaktan Oturum Açma (Remote Login) etkinleştirildiğinde, bu durumda bile SSH kullanarak parola kimlik doğrulaması gerçekleştirmek mümkündür. Bu, veri biriminin kilidini ağ üzerinden uzaktan açmak için kullanılabilir. Bu işlem hemen bir SSH oturumuna izin vermez. Bunun yerine, veri biriminin kilidi bu yöntemle açıldıktan sonra macOS, veri biriminin bağlanmasını (mount) ve buna bağlı kalan hizmetlerin başlatılmasını tamamlarken SSH bağlantısını kısa bir süreliğine kesecektir. Bundan sonra, SSH (ve diğer etkinleştirilmiş hizmetler) tamamen kullanılabilir hale gelir.

Yetkilendirme Politikası

macOS 10.15'ten itibaren, aşağıdakilerden biri gerçekleşmediği sürece FileVault şifrelemesini etkinleştirmek için fdesetup kullanamanız:

  1. Sorumlu uygulama, Sistem Ayarları Gizlilik bölmesinde "Tam Disk Erişimi" (Full Disk Access) için yetkilendirilmiş olmalıdır.

  2. Sistem Bütünlüğü Koruması (System Integrity Protection - SIP) devre dışı bırakılmış olmalıdır.

  3. fdesetup, DEP kaydı yapılmış veya MDM kullanıcısı tarafından onaylanmış bir aygıt yapılandırma profili yüklemesi nedeniyle çalıştırılmış olmalıdır.

  4. Kullanıcı, bir onay iletişim kutusu aracılığıyla FileVault'ın etkinleştirilmesini açıkça yetkilendirmiş olmalıdır.

Mobil Cihaz Yönetimi (MDM) kullanan kuruluşlar, yönetilen cihazlarda FileVault davranışını kontrol etmek için birkaç yapılandırma seçeneğine sahiptir:

skip_setup_items Otomatik bir cihaz kayıt profili için bu listede "FileVault" dizesine yer verilmesi, Kurulum Yardımcısı'nın (Setup Assistant) FileVault etkinleştirme ile ilgili kararlar içeren ekranları sunmasını engeller.

FDEFileVault Enable FDEFileVault yükünde (payload) Enable özelliğinin "Off" olarak ayarlanması, macOS'in FileVault'ı otomatik olarak etkinleştirmesini engeller.

FDEFileVaultOptions dontAllowFDEEnable FDEFileVaultOptions yükünde dontAllowFDEEnable boolean özelliğinin true olarak ayarlanması, ilk kurulumdan sonra FileVault'ı Sistem Ayarları veya fdesetup komut satırı aracı üzerinden manuel olarak etkinleştirme yeteneğini kaldırır.

Örnekler

     fdesetup enable
	      Bir OpenDirectory kullanıcı adı ve parolası istedikten sonra FileVault'ı etkinleştirir ve
	      kişisel kurtarma anahtarını döndürür.

     fdesetup enable -keychain -norecoverykey
	      FileVaultMaster.keychain dosyasındaki bir kurumsal kurtarma anahtarını kullanarak
	      FileVault'ı etkinleştirir. Herhangi bir kişisel kurtarma anahtarı oluşturulmayacaktır.

     fdesetup enable -defer /MykeyAndInfo.plist
	      Geçerli kullanıcı oturumu kapattığında ve parolasını başarıyla girdiğinde FileVault'ı
	      etkinleştirir ve ardından kişisel kurtarma anahtarını ve diğer ilgili bilgileri
	      dosyaya yazar.

     fdesetup enable -defer /MykeyAndInfo.plist -showrecoverykey -forceatlogin 3 -dontaskatlogout
	      Kullanıcı oturum açtığında FileVault'ı etkinleştirmesi için istemde bulunur ve FileVault
	      etkinleştirilmesi zorunlu kılınmadan önce en fazla 3 başarısız etkinleştirme denemesine
	      izin verir. 3 denemeden sonra, FileVault etkinleştirilene veya erteleme bilgileri
	      kaldırılana kadar (fdesetup disable aracılığıyla) kullanıcı istemcide oturum açamaz.

     fdesetup enable -certificate /mycertfile.cer
	      DER kodlu dosyadaki sertifika verilerine dayanarak kurumsal bir kurtarma anahtarı ile
	      FileVault'ı etkinleştirir. Otomatik olarak bir FileVaultMaster.keychain dosyası oluşturulacaktır.

     fdesetup enable -inputplist < /someinfo.plist
	      stdin'den okunan özellik listesindeki (property list) bilgileri kullanarak FileVault'ı
	      etkinleştirir.

     fdesetup changerecovery -institutional -keychain
	      Mevcut FileVaultMaster.keychain dosyasından kurumsal kurtarma anahtarını ekler veya günceller.

     fdesetup status
	      FileVault'ın mevcut durumunu gösterir.

     fdesetup list -extended
	      Mevcut FileVault kullanıcılarını, kurtarma anahtarı kayıtları dahil olmak üzere, genişletilmiş
	      bir biçimde listeler.

     fdesetup remove -uuid A6C75639-1D98-4F19-ACD5-1892BAE27991
	      UUID'ye sahip kullanıcıyı FileVault kullanıcıları listesinden kaldırır.

     fdesetup isactive
	      FileVault etkin ve aktifse sıfır çıkış durumu (exit status) ve "true" döndürür.

     fdesetup add -usertoadd betty
	      betty kullanıcısını mevcut FileVault kurulumuna ekler.

     fdesetup changerecovery -personal -inputplist < /authinfo.plist
	      Mevcut kurtarma anahtarını değiştirir ve yeni bir kurtarma anahtarı oluşturur.

     fdesetup validaterecovery
	      Mevcut kişisel kurtarma anahtarını alır ve kurtarma anahtarı geçerli görünüyorsa "true"
	      döndürür.

Çıkış Durumu

Aracın çıkış durumu, herhangi bir hatanın tespit edilip edilmediğini belirtmek üzere ayarlanır. Döndürülen değerler şunlardır:

0 Hata yok veya başarılı işlem.

1 FileVault Kapalı (Off).

2 FileVault Açık (On) ancak Meşgul (Busy) görünüyor.

11 Kimlik doğrulama hatası.

12 Parametre hatası.

13 Bilinmeyen komut hatası.

14 Hatalı komut hatası.

15 Hatalı girdi hatası.

16 Eski nesil (Legacy) FileVault hatası.

17 Kullanıcı ekleme başarısız hatası.

18 Beklenmedik anahtar zinciri (keychain) bulundu hatası.

19 Anahtar zinciri (keychain) hatası. Bu genellikle FileVaultMaster anahtar zincirinin taşınamadığı veya değiştirilemediği anlamına gelir.

20 Ertelenmiş yapılandırma kurulumu eksik veya hatalı.

21 Etkinleştirme başarısız (Keychain) hatası.

22 Etkinleştirme başarısız (CoreStorage) hatası.

23 Etkinleştirme başarısız (DiskManager) hatası.

24 Zaten etkinleştirilmiş hatası.

25 Kullanıcı kaldırılamıyor veya FileVault devre dışı bırakılamıyor.

26 Kurtarma anahtarı değiştirilemiyor.

27 Kurtarma anahtarı kaldırılamıyor.

28 FileVault kapalı, meşgul veya birim kilitli.

29 Belirtilen konumda FileVault bilgisi bulunamadı.

30 Kullanıcı kaydı bulunamadığı için kullanıcı FileVault'a eklenemiyor.

31 Yönetim ayarları nedeniyle FileVault etkinleştirilemiyor.

32 FileVault zaten aktif.

33 Komut seçeneği bu dosya sisteminde desteklenmiyor.

34 APFS birimleri için bir seçenek veya parametre desteklenmiyor.

35 FileVault devre dışı bırakılırken bir hata oluştu.

36 Bu bilgisayar FileVault'ın etkinleştirilmesini desteklemiyor.

37 Bir veya daha fazla kullanıcının parolası boş. FileVault etkinleştirilemez.

99 Dahili hata.

Ayrıca Bakınız

security(1), diskutil(8), base64(1), pmset(1), shutdown(8), sshd(8)

Apple Platform Deployment Guide: https://support.apple.com/guide/deployment Apple Device Management Documentation: https://developer.apple.com/documentation/devicemanagement

macOS 2 Temmuz 2025 macOS