Sicurezza

Una caratteristica unica che rende OpenCore davvero speciale è il modo in cui è stato creato.Si è lavorato tenendo a mente la sicurezza, argomento spesso molto trascurato sopratutto nella comunità di hackintosh. In questo paragrafo parleremo di 2 funzionalità di OpenCore:

  • ScanPolicy

  • Vault

FileVault Setup

Per questa funzione sono necessari i seguenti drivers:

  • VirtualSMC.efi

  • AppleGenericInput.efi oppure UsbKbDxe.efi

Impostazioni del config:

  • UIScale impostare 02 per avere alta risoluzione nel monitor

  • ProvideConsoleGOP impostare YES

  • RequestBootVarRouting impostare YES

  • ExitBootServicesDelay

    • Impostare a 1 se si vuole visualizzare boot-path E' possibile avere l'output digitando questo comando sul terminale nvram 4D1FDA02-38C7-4A6A-9CC6-4BCCA8B30102:boot-path

    • impostare 5 nel caso avessi un blocco su Still waiting for root device

Successivamente si deve abilitare FileVault come su un vero mac andando in: Preferenze di sistema -> Securezza & Privacy -> FileVault

Scan Policy

Ciò che questo quirk consente, è di impedire la scansione e l'avvio da fonti non attendibili. L'impostazione su 0 consentirà l'avvio di tutte le fonti presenti, ma il calcolo di un valore ScanPolicy specifico ti consentirà una maggiore gamma di flessibilità e sicurezza.

Per calcolare il valore ScanPolicy, devi semplicemente sommare tutti i valori esadecimali (con un calcolatore esadecimale, puoi usare la calcolatrice integrata su macOS impostando la modalità sviluppatore con ⌘ + 3). Una volta che è tutto sommato, aggiungerai questo valore esadecimale a ScanPolicy (dovrai prima convertirlo in un valore decimale, Xcode lo convertirà automaticamente quando lo incolli).

  • OC_SCAN_FILE_SYSTEM_LOCK 0x00000001 (bit 0)

    • limita la scansione solo ai file system noti definiti come parte di questo criterio. I driver del file system potrebbero non essere a conoscenza di questo criterio e, per evitare il montaggio di file system indesiderati, è meglio non caricare il driver. Questo bit non influisce sul montaggio di dmg, che può avere qualsiasi file system. I file system noti hanno il prefisso OCSCAN_ALLOW_FS.

  • OC_SCAN_DEVICE_LOCK 0x00000002 (bit 1)

    • limita la scansione solo ai tipi di dispositivi noti definiti come parte di questo criterio. Questo non è sempre possibile rilevare il tunneling del protocollo, quindi tieni presente che su alcuni sistemi potrebbe essere possibile ad es. Gli HDD USB devono essere riconosciuti come SATA. Casi come questo devono essere segnalati. I tipi di dispositivi noti sono preceduti da OCSCAN_ALLOW_DEVICE.

  • OC_SCAN_ALLOW_FS_APFS 0x00000100 (bit 8)

    • consente la scansione del file system APFS.

  • OC_SCAN_ALLOW_FS_HFS 0x00000200 (bit 9)

    • consente la scansione del file system HFS.

  • OC_SCAN_ALLOW_FS_ESP 0x00000400 (bit 10)

    • consente la scansione del file system della partizione di sistema EFI.

  • OC_SCAN_ALLOW_FS_NTFS 0x00000800 (bit 11)

    • consente la scansione del file system NTFS (Msft Basic Data)

  • OC_SCAN_ALLOW_FS_EXT 0x00001000 (bit 12)

    • consente la scansione del file system EXT (Linux Root)

  • OC_SCAN_ALLOW_DEVICE_SATA 0x00010000 (bit 16)

    • consene la scansione di dispositivi SATA.

  • OC_SCAN_ALLOW_DEVICE_SASEX 0x00020000 (bit 17)

    • consente la scansione di dispositivi SAS e Mac NVMe.

  • OC_SCAN_ALLOW_DEVICE_SCSI 0x00040000 (bit 18)

    • consente la scansione di dispositivi SAS e Mac NVMe.

  • OC_SCAN_ALLOW_DEVICE_NVME 0x00080000 (bit 19)

    • consente la scansione di dispositivi NVMe.

  • OC_SCAN_ALLOW_DEVICE_ATAPI 0x00100000 (bit 20)

    • consente la scansione di dispositivi CD/DVD.

  • OC_SCAN_ALLOW_DEVICE_USB 0x00200000 (bit 21)

    • consente la scansione di dispositivi USB.

  • OC_SCAN_ALLOW_DEVICE_FIREWIRE 0x00400000 (bit 22)

    • consente la scansione di dispositivi Firewire.

  • OC_SCAN_ALLOW_DEVICE_SDCARD 0x00800000 (bit 23)

    • consente la scansione di dispositivi come i lettori di memoria.

Valore predefinito di ScanPolicy è of 0xF0103(983,299) che e' una combinazione delle seguenti:

  • OC_SCAN_FILE_SYSTEM_LOCK

  • OC_SCAN_DEVICE_LOCK

  • OC_SCAN_ALLOW_FS_APFS

  • OC_SCAN_ALLOW_DEVICE_SATA

  • OC_SCAN_ALLOW_DEVICE_SASEX

  • OC_SCAN_ALLOW_DEVICE_SCSI

  • OC_SCAN_ALLOW_DEVICE_NVME

E diciamo solo per questo esempio se vuoi aggiungere OC_SCAN_ALLOW_DEVICE_USB:

0x00400000 + 0xF0103 = 0x4F0103

E la conversione in decimale sarà 5,177,603.

Vault

Work in progress

PreviousDisabilitare GPUNextUlteriori Informazioni

Last updated