SSH / VNC 指南 2026年5月18日

2026 云端 Mac 租期结束离场:在归还 MacLogin 设备前拆除 SSH 信任、清理客户端 known_hosts,并归档屏幕共享与 VNC 的移交证据

MacLogin 安全团队 2026年5月18日 约 17 分钟阅读

安全与平台团队在归还 MacLogin 云端 Mac 时,必须把租期结束视为双向信任问题:一方面 mini 不再接受你们的密钥,另一方面每位工程师的笔记本也必须忘记主机密钥、跳板别名以及缓存的屏幕共享邀请。本篇 2026 年 5 月 18 日运维手册提供擦除/保留/法务保全矩阵可执行的 SSH 拆除步骤VNC 残留核查证据 tarball 配方以及与本页 JSON-LD 对齐的九步执行路径。请与 管理员与业务账号一致性手册快速用户切换排班手册屏幕共享仅邀请治理 交叉阅读。运维细则亦可查阅 帮助中心;若计划在新租约中扩容,请在 价格页 对比档位与区域。

当多家供应商触碰同一台 mini 时,谁对租期终止负责

财务运营通常掌握续约的商业决策,但安全团队必须掌握密码学拆除,因为一行遗漏的 authorized_keys 可能比发票活得更久。平台工程应负责 LaunchAgents 与 CI 令牌,IT 服务台则负责承包商曾获得的屏幕共享邀请。为香港、东京、首尔、新加坡、美国各写一行 RACI,避免某一时区的深夜下线让另一时区的同事仍开着 VNC 窗口却无人签收。

试点结束时最危险的是沉默型故障:自动化仍用曾解析到本租约的域名去轮询 TCP 22,而 DNS 已指向他人;或开发者的 ~/.ssh/config 仍指向已回收硬件。下列流程用显式人类确认取代「假设虚拟化层擦盘就够了」的侥幸心理。

  • 安全负责人签署主机密钥轮换或明确不轮换的风险接受。
  • 身份团队吊销与 lease_id 绑定的短期证书 principal。
  • 业务负责人在擦除用户主目录前导出数据库或对象存储。

决策矩阵:擦除、保留,或带法务保全的归档

把矩阵当作设计评审附件;每一行在变更工单上都应有签字缩写。文中数字对应常见企业留存:90 天 sshd 热日志、180 天 SOC2 证据冷存、以及迁移窗口期新旧租约重叠 7 天的并行期。

对象 默认策略 何时保留 需附证据
mini 上的用户主目录 加密擦除或走供应商回收流程 法务保全——先快照到加密对象存储 校验清单 + 保管人姓名
/var/log 统一日志切片 导出有限谓词 监管要求 180 天可回放窗口 保存的搜索 JSON + 字节规模
客户端 known_hosts 删除匹配主机名 共享堡垒复用别名——迁移到新 Host 段 已移除指纹列表
屏幕共享邀请 撤销并核对 GUI 列表为空 相邻租约仍需应急玻璃打破通道 关联 HR 工单号

SSH 信任拆除:服务端密钥、principal 与客户端卫生

先用 48 小时冻结窗口让最后一次统一日志导出与稳定的 sshd 配置对齐。若仍需真人登录处理 FDA 或 FileVault 流程,应先删除自动化写入的 ~/.ssh/authorized_keys 再删人类密钥。若部署了 SSH 用户证书,必须在内置 CA 吊销绑定到 lease_id 的 principal,而不能只在磁盘上删除公钥半段。

客户端卫生是审计高频失分点:向 macOS、Windows、Linux CI Runner 分发一份 canonical 主机名与 IP 列表,要求从 ~/.ssh/known_hosts 中清除。配套发一封说明邮件,解释回收周内为何暂时禁止 ssh -o StrictHostKeyChecking=accept-new 的脚本化用法。

警告:若轮换 sshd 主机密钥却未广播新指纹,下一次合法连接在所有固定旧密钥的无人值守脚本看来都像攻击。

VNC 与屏幕共享残留:邀请、观察员与纯 GUI 信任

屏幕共享会留下社会性痕迹:保存的计算机名、某些企业绑定下的 Kerberos 票据,以及操作员笔记本上屏幕共享 .app 内缓存的凭据。先按 5 月 12 日仅邀请治理文章走清单,再核对系统设置中的共享列表是否仍有意外观察员。若承包商曾用个人 Apple ID 做临时配对,即便企业 SSO 已覆盖 SSH,也要撤销这些配对并截图留存。

对交替使用 SSH 自动化与 GUI 调试的舰队,请用 快速用户切换手册 对账会话排班,避免在 GUI 安装尚未结束时误删仍在前台的自动化账户。

按用户的钥匙串条目、登录项与 LaunchAgents

每个曾登录 mini 的人类账户都可能存了企业 Wi‑Fi 凭据、钥匙串里的 Git HTTPS 令牌,或用于临时签名的开发者证书。先导出经脱敏的 security find-generic-password 样本供审计,再仅删除与租约绑定的条目。~/Library/LaunchAgents 下的 plist 应先用 launchctl bootout 卸载再删文件,以免 launchd 反复拉起已断路径的 ProgramArguments。

/Library/LaunchDaemons 下的系统级守护进程需要提权变更窗口;删除前把 plist 哈希写入证据 tarball,以便财务在最后一刻延长租约时可回滚。

证据包:审计方在 tarball 元数据里期待什么

该 tarball 应当详尽到乏味:sshd_config(含注释)、最终 sudoers 片段、diskutil apfs list 输出、system_profiler SPHardwareDataType 序列片段,以及被移除 SSH 指纹的 CSV。README 中写明 lease_id、MacLogin 区域代码、是否执行主机密钥轮换。用 SHA-256 哈希 tarball 并把摘要上传到变更系统——这一习惯常能单独满足多数 SOC2 证据请求而无需外传整盘镜像。

文件 用途 最短留存
sshd_unified.log.zst 接受密钥事件与断开原因 热存 90 天,冷存 1 年
vnc_invite_screenshot.png 证明邀请列表已清空 至下一次审计抽样
launchctl_print.txt 已加载服务快照 180 天
离场会议可引用的数字:管理用 SSH 走 TCP 22;显式开启时屏幕共享监听 TCP 5900;许多交换机 ARP 缓存默认 TTL 接近 60 秒——可在该窗口内验证最后一跳断开是否真实发生。

从冻结到向 MacLogin 申请回收的九步执行路径

  1. 冻结配置 48 小时,并在覆盖香港、日本、韩国、新加坡、美国的 Slack/Teams 频道公告。
  2. 导出针对 sshdtccdscreensharingd 的统一日志谓词。
  3. 吊销与租约绑定的 authorized_keys 与 sudoers 片段中的自动化主体。
  4. 卸载引用项目路径的 LaunchAgents/Daemons,再以校验和证明删除 plist。
  5. 捕获应用数据导出或数据库转储,再擦除用户主目录。
  6. 下发客户端清理包,清除 known_hosts 与过期的 ~/.ssh/config Host 段。
  7. 校验屏幕共享邀请列表,并移除操作员笔记本上的缓存凭据。
  8. 附上证据 tarball 的 SHA-256 到回收变更工单。
  9. 仅在安全签字后向 MacLogin 申请回收;若财务可能复活租约,至少保留 24 小时回滚窗口。

常见问题

若轮换主机密钥,能否跳过客户端 known_hosts 清理?不能——轮换但客户端未更新会导致硬失败;不轮换却跳过清理则意味着脚本仍信任陈旧密钥。应两者兼顾,或在工单中写明风险接受。

承包商用个人 Apple ID 做屏幕共享怎么办?按影子 IT 处理:撤销配对、为 HR 留截图,并在下一租约政策附录中禁止该模式。

与硬件回收的关系?下一租户继承供应商擦盘后的主机密钥与存储状态——假设部分重叠,绝不在租约之间复用私钥。

若已禁用 SSH,是否还需要 VNC?若从未出现 FDA 或安装器弹窗,可记录「不适用及理由」于证据 tarball 的 README。

香港与日本团队时区不同如何对齐?在共享日历上冻结窗口,并要求两地各指定一名值班人在工单评论区用 UTC 时间戳确认完成。

为何 Mac mini M4 的硬件形态有利于严谨的租约移交

Apple Silicon M4 的统一内存与更可预测的休眠行为,使 diskutilsystem_profiler 快照比在桌下发热笔记本上更一致。MacLogin 多区域裸金属布局意味着可先在新加坡低风险实验 mini 上演练离场,再把同一清单套到香港、东京与美国生产,而无需为 x86 漂移改写脚本。

租赁模式让终局在 7 天内可逆:若财务复活租约,可凭 tarball 中的 plist 集合快速恢复,而无需等待采购重新发货。准备下一项目时,请把本手册与 VNC 访问说明 一并交给 GUI 密集型清理任务的值班同事,以保持操作一致性。

用干净的 SSH 与屏幕共享边界规划下一租约

在香港、日本、韩国、新加坡或美国预留 Apple Silicon,留出演练离场、归档证据与在新信任域重启的空间。