2026 云端 Mac 租期结束离场:在归还 MacLogin 设备前拆除 SSH 信任、清理客户端 known_hosts,并归档屏幕共享与 VNC 的移交证据
安全与平台团队在归还 MacLogin 云端 Mac 时,必须把租期结束视为双向信任问题:一方面 mini 不再接受你们的密钥,另一方面每位工程师的笔记本也必须忘记主机密钥、跳板别名以及缓存的屏幕共享邀请。本篇 2026 年 5 月 18 日运维手册提供擦除/保留/法务保全矩阵、可执行的 SSH 拆除步骤、VNC 残留核查、证据 tarball 配方以及与本页 JSON-LD 对齐的九步执行路径。请与 管理员与业务账号一致性手册、快速用户切换排班手册、屏幕共享仅邀请治理 交叉阅读。运维细则亦可查阅 帮助中心;若计划在新租约中扩容,请在 价格页 对比档位与区域。
当多家供应商触碰同一台 mini 时,谁对租期终止负责
财务运营通常掌握续约的商业决策,但安全团队必须掌握密码学拆除,因为一行遗漏的 authorized_keys 可能比发票活得更久。平台工程应负责 LaunchAgents 与 CI 令牌,IT 服务台则负责承包商曾获得的屏幕共享邀请。为香港、东京、首尔、新加坡、美国各写一行 RACI,避免某一时区的深夜下线让另一时区的同事仍开着 VNC 窗口却无人签收。
试点结束时最危险的是沉默型故障:自动化仍用曾解析到本租约的域名去轮询 TCP 22,而 DNS 已指向他人;或开发者的 ~/.ssh/config 仍指向已回收硬件。下列流程用显式人类确认取代「假设虚拟化层擦盘就够了」的侥幸心理。
- 安全负责人签署主机密钥轮换或明确不轮换的风险接受。
- 身份团队吊销与 lease_id 绑定的短期证书 principal。
- 业务负责人在擦除用户主目录前导出数据库或对象存储。
决策矩阵:擦除、保留,或带法务保全的归档
把矩阵当作设计评审附件;每一行在变更工单上都应有签字缩写。文中数字对应常见企业留存:90 天 sshd 热日志、180 天 SOC2 证据冷存、以及迁移窗口期新旧租约重叠 7 天的并行期。
| 对象 | 默认策略 | 何时保留 | 需附证据 |
|---|---|---|---|
| mini 上的用户主目录 | 加密擦除或走供应商回收流程 | 法务保全——先快照到加密对象存储 | 校验清单 + 保管人姓名 |
/var/log 统一日志切片 |
导出有限谓词 | 监管要求 180 天可回放窗口 | 保存的搜索 JSON + 字节规模 |
客户端 known_hosts 行 |
删除匹配主机名 | 共享堡垒复用别名——迁移到新 Host 段 | 已移除指纹列表 |
| 屏幕共享邀请 | 撤销并核对 GUI 列表为空 | 相邻租约仍需应急玻璃打破通道 | 关联 HR 工单号 |
SSH 信任拆除:服务端密钥、principal 与客户端卫生
先用 48 小时冻结窗口让最后一次统一日志导出与稳定的 sshd 配置对齐。若仍需真人登录处理 FDA 或 FileVault 流程,应先删除自动化写入的 ~/.ssh/authorized_keys 再删人类密钥。若部署了 SSH 用户证书,必须在内置 CA 吊销绑定到 lease_id 的 principal,而不能只在磁盘上删除公钥半段。
客户端卫生是审计高频失分点:向 macOS、Windows、Linux CI Runner 分发一份 canonical 主机名与 IP 列表,要求从 ~/.ssh/known_hosts 中清除。配套发一封说明邮件,解释回收周内为何暂时禁止 ssh -o StrictHostKeyChecking=accept-new 的脚本化用法。
VNC 与屏幕共享残留:邀请、观察员与纯 GUI 信任
屏幕共享会留下社会性痕迹:保存的计算机名、某些企业绑定下的 Kerberos 票据,以及操作员笔记本上屏幕共享 .app 内缓存的凭据。先按 5 月 12 日仅邀请治理文章走清单,再核对系统设置中的共享列表是否仍有意外观察员。若承包商曾用个人 Apple ID 做临时配对,即便企业 SSO 已覆盖 SSH,也要撤销这些配对并截图留存。
对交替使用 SSH 自动化与 GUI 调试的舰队,请用 快速用户切换手册 对账会话排班,避免在 GUI 安装尚未结束时误删仍在前台的自动化账户。
按用户的钥匙串条目、登录项与 LaunchAgents
每个曾登录 mini 的人类账户都可能存了企业 Wi‑Fi 凭据、钥匙串里的 Git HTTPS 令牌,或用于临时签名的开发者证书。先导出经脱敏的 security find-generic-password 样本供审计,再仅删除与租约绑定的条目。~/Library/LaunchAgents 下的 plist 应先用 launchctl bootout 卸载再删文件,以免 launchd 反复拉起已断路径的 ProgramArguments。
/Library/LaunchDaemons 下的系统级守护进程需要提权变更窗口;删除前把 plist 哈希写入证据 tarball,以便财务在最后一刻延长租约时可回滚。
证据包:审计方在 tarball 元数据里期待什么
该 tarball 应当详尽到乏味:sshd_config(含注释)、最终 sudoers 片段、diskutil apfs list 输出、system_profiler SPHardwareDataType 序列片段,以及被移除 SSH 指纹的 CSV。README 中写明 lease_id、MacLogin 区域代码、是否执行主机密钥轮换。用 SHA-256 哈希 tarball 并把摘要上传到变更系统——这一习惯常能单独满足多数 SOC2 证据请求而无需外传整盘镜像。
| 文件 | 用途 | 最短留存 |
|---|---|---|
sshd_unified.log.zst |
接受密钥事件与断开原因 | 热存 90 天,冷存 1 年 |
vnc_invite_screenshot.png |
证明邀请列表已清空 | 至下一次审计抽样 |
launchctl_print.txt |
已加载服务快照 | 180 天 |
从冻结到向 MacLogin 申请回收的九步执行路径
- 冻结配置 48 小时,并在覆盖香港、日本、韩国、新加坡、美国的 Slack/Teams 频道公告。
- 导出针对
sshd、tccd、screensharingd的统一日志谓词。 - 吊销与租约绑定的
authorized_keys与 sudoers 片段中的自动化主体。 - 卸载引用项目路径的 LaunchAgents/Daemons,再以校验和证明删除 plist。
- 捕获应用数据导出或数据库转储,再擦除用户主目录。
- 下发客户端清理包,清除
known_hosts与过期的~/.ssh/configHost 段。 - 校验屏幕共享邀请列表,并移除操作员笔记本上的缓存凭据。
- 附上证据 tarball 的 SHA-256 到回收变更工单。
- 仅在安全签字后向 MacLogin 申请回收;若财务可能复活租约,至少保留 24 小时回滚窗口。
常见问题
若轮换主机密钥,能否跳过客户端 known_hosts 清理?不能——轮换但客户端未更新会导致硬失败;不轮换却跳过清理则意味着脚本仍信任陈旧密钥。应两者兼顾,或在工单中写明风险接受。
承包商用个人 Apple ID 做屏幕共享怎么办?按影子 IT 处理:撤销配对、为 HR 留截图,并在下一租约政策附录中禁止该模式。
与硬件回收的关系?下一租户继承供应商擦盘后的主机密钥与存储状态——假设部分重叠,绝不在租约之间复用私钥。
若已禁用 SSH,是否还需要 VNC?若从未出现 FDA 或安装器弹窗,可记录「不适用及理由」于证据 tarball 的 README。
香港与日本团队时区不同如何对齐?在共享日历上冻结窗口,并要求两地各指定一名值班人在工单评论区用 UTC 时间戳确认完成。
为何 Mac mini M4 的硬件形态有利于严谨的租约移交
Apple Silicon M4 的统一内存与更可预测的休眠行为,使 diskutil 与 system_profiler 快照比在桌下发热笔记本上更一致。MacLogin 多区域裸金属布局意味着可先在新加坡低风险实验 mini 上演练离场,再把同一清单套到香港、东京与美国生产,而无需为 x86 漂移改写脚本。
租赁模式让终局在 7 天内可逆:若财务复活租约,可凭 tarball 中的 plist 集合快速恢复,而无需等待采购重新发货。准备下一项目时,请把本手册与 VNC 访问说明 一并交给 GUI 密集型清理任务的值班同事,以保持操作一致性。
用干净的 SSH 与屏幕共享边界规划下一租约
在香港、日本、韩国、新加坡或美国预留 Apple Silicon,留出演练离场、归档证据与在新信任域重启的空间。