Sicurezza
Una caratteristica unica che rende OpenCore davvero speciale è il modo in cui è stato creato.Si è lavorato tenendo a mente la sicurezza, argomento spesso molto trascurato sopratutto nella comunità di hackintosh. In questo paragrafo parleremo di 2 funzionalità di OpenCore:
ScanPolicy
Vault
FileVault Setup
Per questa funzione sono necessari i seguenti drivers:
VirtualSMC.efi
AppleGenericInput.efi oppure UsbKbDxe.efi
Impostazioni del config:
UIScale
impostare02
per avere alta risoluzione nel monitorProvideConsoleGOP
impostare YESRequestBootVarRouting
impostare YESExitBootServicesDelay
Impostare a 1 se si vuole visualizzare boot-path E' possibile avere l'output digitando questo comando sul terminale
nvram 4D1FDA02-38C7-4A6A-9CC6-4BCCA8B30102:boot-path
impostare
5
nel caso avessi un blocco suStill waiting for root device
Successivamente si deve abilitare FileVault come su un vero mac andando in: Preferenze di sistema -> Securezza & Privacy -> FileVault
Scan Policy
Ciò che questo quirk consente, è di impedire la scansione e l'avvio da fonti non attendibili. L'impostazione su 0
consentirà l'avvio di tutte le fonti presenti, ma il calcolo di un valore ScanPolicy specifico ti consentirà una maggiore gamma di flessibilità e sicurezza.
Per calcolare il valore ScanPolicy, devi semplicemente sommare tutti i valori esadecimali (con un calcolatore esadecimale, puoi usare la calcolatrice integrata su macOS impostando la modalità sviluppatore con ⌘ + 3
). Una volta che è tutto sommato, aggiungerai questo valore esadecimale a ScanPolicy (dovrai prima convertirlo in un valore decimale, Xcode lo convertirà automaticamente quando lo incolli).
OC_SCAN_FILE_SYSTEM_LOCK
0x00000001 (bit 0)
limita la scansione solo ai file system noti definiti come parte di questo criterio. I driver del file system potrebbero non essere a conoscenza di questo criterio e, per evitare il montaggio di file system indesiderati, è meglio non caricare il driver. Questo bit non influisce sul montaggio di dmg, che può avere qualsiasi file system. I file system noti hanno il prefisso OCSCAN_ALLOW_FS.
OC_SCAN_DEVICE_LOCK
0x00000002 (bit 1)
limita la scansione solo ai tipi di dispositivi noti definiti come parte di questo criterio. Questo non è sempre possibile rilevare il tunneling del protocollo, quindi tieni presente che su alcuni sistemi potrebbe essere possibile ad es. Gli HDD USB devono essere riconosciuti come SATA. Casi come questo devono essere segnalati. I tipi di dispositivi noti sono preceduti da OCSCAN_ALLOW_DEVICE.
OC_SCAN_ALLOW_FS_APFS
0x00000100 (bit 8)
consente la scansione del file system APFS.
OC_SCAN_ALLOW_FS_HFS
0x00000200 (bit 9)
consente la scansione del file system HFS.
OC_SCAN_ALLOW_FS_ESP
0x00000400 (bit 10)
consente la scansione del file system della partizione di sistema EFI.
OC_SCAN_ALLOW_FS_NTFS
0x00000800 (bit 11)
consente la scansione del file system NTFS (Msft Basic Data)
OC_SCAN_ALLOW_FS_EXT
0x00001000 (bit 12)
consente la scansione del file system EXT (Linux Root)
OC_SCAN_ALLOW_DEVICE_SATA
0x00010000 (bit 16)
consene la scansione di dispositivi SATA.
OC_SCAN_ALLOW_DEVICE_SASEX
0x00020000 (bit 17)
consente la scansione di dispositivi SAS e Mac NVMe.
OC_SCAN_ALLOW_DEVICE_SCSI
0x00040000 (bit 18)
consente la scansione di dispositivi SAS e Mac NVMe.
OC_SCAN_ALLOW_DEVICE_NVME
0x00080000 (bit 19)
consente la scansione di dispositivi NVMe.
OC_SCAN_ALLOW_DEVICE_ATAPI
0x00100000 (bit 20)
consente la scansione di dispositivi CD/DVD.
OC_SCAN_ALLOW_DEVICE_USB
0x00200000 (bit 21)
consente la scansione di dispositivi USB.
OC_SCAN_ALLOW_DEVICE_FIREWIRE
0x00400000 (bit 22)
consente la scansione di dispositivi Firewire.
OC_SCAN_ALLOW_DEVICE_SDCARD
0x00800000 (bit 23)
consente la scansione di dispositivi come i lettori di memoria.
Valore predefinito di ScanPolicy è of 0xF0103
(983,299) che e' una combinazione delle seguenti:
OC_SCAN_FILE_SYSTEM_LOCK
OC_SCAN_DEVICE_LOCK
OC_SCAN_ALLOW_FS_APFS
OC_SCAN_ALLOW_DEVICE_SATA
OC_SCAN_ALLOW_DEVICE_SASEX
OC_SCAN_ALLOW_DEVICE_SCSI
OC_SCAN_ALLOW_DEVICE_NVME
E diciamo solo per questo esempio se vuoi aggiungere OC_SCAN_ALLOW_DEVICE_USB:
0x00400000
+ 0xF0103
= 0x4F0103
E la conversione in decimale sarà 5,177,603
.
Vault
Work in progress
Last updated