Guide SSH / VNC 18 mai 2026

2026 Mac cloud fin de bail : démanteler la confiance SSH, nettoyer known_hosts sur les clients et archiver les preuves de partage d’écran avant restitution MacLogin

Équipe sécurité MacLogin 18 mai 2026 ~17 min de lecture

Restituer un Mac cloud MacLogin exige de traiter la fin de bail comme un problème bilatéral de confiance : le mini cesse d’accepter vos clés et chaque portable d’ingénieur doit oublier les empreintes hôte, les alias JumpHost et les invitations de partage d’écran mises en cache. Ce guide du 18 mai 2026 fournit une matrice effacer / conserver / conservation légale, des étapes SSH exécutables, des contrôles de résidus VNC, une recette de tarball de preuve et neuf étapes alignées sur le JSON-LD de cette page. Croisez avec parité admin vs compte de service, rostering Fast User Switching et gouvernance invitation-only. Opérations : aide ; capacité suivante : grilles tarifaires.

Qui possède la fin de bail lorsque plusieurs fournisseurs touchent le même mini

Les FinOps décident souvent du renouvellement commercial, mais la sécurité doit posséder le démantèlement cryptographique, car une ligne oubliée dans authorized_keys survit parfois à la facture. La plateforme tient les LaunchAgents et jetons CI ; le helpdesk tient les invitations de partage d’écran des prestataires. Documentez une ligne RACI par région (Hong Kong, Tokyo, Séoul, Singapour, États-Unis) pour qu’un décommissionnement nocturne n’abandonne pas un collègue avec une session VNC ouverte sans validation.

Les pires échecs sont silencieux : l’automatisation interroge encore TCP 22 sur un nom désormais mappé vers un autre locataire, ou un bloc ~/.ssh/config se reconnecte à du matériel recyclé. Les étapes suivantes imposent des accusés de réception humains explicites plutôt que de supposer qu’un effacement hyperviseur suffit.

  • Responsable sécurité : signer rotation ou non-rotation des clés hôte.
  • Identité : révoquer les certificats courts liés au lease_id.
  • Propriétaires applicatifs : exporter bases et stockage objet avant effacement des répertoires personnels.

Matrice : effacer, conserver ou archiver avec conservation légale

Utilisez la matrice en pièce jointe de revue de conception ; chaque ligne porte des initiales sur le ticket de changement. Chiffres types : 90 jours de journaux sshd chauds, 180 jours de preuves SOC2 froides, 7 jours de chevauchement entre ancien et nouveau bail lors d’une migration.

ArtefactPosture par défautQuand conserverPreuve à joindre
Répertoires utilisateur sur le miniEffacement chiffré ou recyclage fournisseurSauvegarde légale—snapshot chiffré d’abordManifeste de checksum + responsable
Tranches de journal unifiéExport avec prédicats bornésExigence réglementaire 180 joursJSON de recherche sauvegardée + taille
Lignes known_hosts clientSupprimer les hôtes listésBastion partagé—migrer vers un nouveau stanza HostListe d’empreintes retirées
Invitations partage d’écranRévoquer + liste GUI videBreak-glass adjacent au bail suivantRéférence ticket RH

Démantèlement SSH : clés serveur, principals et hygiène client

Gelez les changements 48 heures pour aligner le dernier export Unified Logging avec une configuration sshd stable. Si des connexions humaines sont encore nécessaires pour FDA ou FileVault, retirez d’abord les entrées d’automatisation dans authorized_keys. Avec certificats utilisateur SSH, révoquez le principal au CA interne—ne supprimez pas seulement la moitié publique sur disque.

Les audits échouent souvent côté client : distribuez un CSV de noms d’hôte et IP canoniques à retirer de ~/.ssh/known_hosts sur macOS, Windows et runners Linux CI. Pendant la semaine de recyclage, documentez l’interdiction temporaire de StrictHostKeyChecking=accept-new dans les scripts.

Attention : faire tourner les clés hôte sshd sans diffuser les nouvelles empreintes fait ressembler la prochaine connexion légitime à une attaque pour tout script qui épinglait l’ancienne clé.

Résidus VNC et partage d’écran

Restent les noms d’ordinateur enregistrés, certains contextes Kerberos d’entreprise et les identifiants mis en cache dans le bundle Screen Sharing .app des opérateurs. Après la checklist « invitation uniquement » du 12 mai, vérifiez Réglages Système ▸ Partage. Révoquez les jumelages Apple ID personnels même si l’SSO d’entreprise couvre déjà SSH. Croisez le roster FUS pour ne pas supprimer un compte d’automatisation pendant une installation GUI.

Trousseau, objets de connexion et LaunchAgents par utilisateur

Wi‑Fi d’entreprise, jetons Git HTTPS dans le trousseau, certificats de développement : exportez des échantillons masqués via security find-generic-password pour l’audit, puis supprimez uniquement ce qui est lié au bail. Pour ~/Library/LaunchAgents, exécutez launchctl bootout avant de supprimer les plist. Pour /Library/LaunchDaemons, enregistrez les hachages plist dans le tarball avant modification afin de permettre un rollback si les FinOps prolongent le bail au dernier moment.

Paquet de preuve : ce qu’attendent les auditeurs dans les métadonnées du tarball

Incluez sshd_config commenté, fragments sudoers finaux, sortie diskutil apfs list, extrait system_profiler SPHardwareDataType et un CSV des empreintes SSH supprimées. Le README mentionne lease_id, code région MacLogin, rotation ou non des clés hôte. Hash SHA-256 du tarball dans l’outil de changement—souvent suffisant pour SOC2 sans image disque brute.

FichierRôleRétention minimale
sshd_unified.log.zstClés acceptées et motifs de déconnexion90 j chaud, 1 an froid
vnc_invite_screenshot.pngListe d’invitations videJusqu’au prochain échantillon d’audit
launchctl_print.txtInstantané des services chargés180 jours
Chiffres utiles en réunion de clôture : administration SSH sur TCP 22 ; partage d’écran sur TCP 5900 lorsqu’il est explicitement activé ; TTL de cache ARP souvent autour de 60 secondes sur de nombreux switches—fenêtre pour valider la coupure du dernier saut.

Neuf étapes du gel à la demande de recyclage MacLogin

  1. Geler 48 h et annoncer dans les canaux couvrant HK, JP, KR, SG, US.
  2. Exporter les prédicats sshd, tccd, screensharingd.
  3. Retirer les principals d’automatisation d’authorized_keys et des fragments sudoers.
  4. bootout puis supprimer les plist avec preuve de checksum.
  5. Capturer exports applicatifs ou dumps base avant effacement des foyers utilisateur.
  6. Distribuer le paquet de nettoyage known_hosts et blocs Host obsolètes.
  7. Vérifier invitations de partage d’écran et identifiants en cache sur les portables opérateurs.
  8. Attacher le SHA-256 du tarball au ticket de recyclage.
  9. Demander le recyclage seulement après signature sécurité ; garder ≥ 24 h de marge si les FinOps réactivent le bail.

FAQ

La rotation des clés hôte dispense-t-elle du nettoyage known_hosts ? Non : rotation sans mise à jour client provoque des échecs durs ; absence de rotation sans nettoyage laisse une confiance silencieuse dans d’anciennes clés.

Apple ID personnel pour le partage d’écran ? Traitez comme shadow IT : révocation, preuve RH, interdiction dans le bail suivant.

Matériel recyclé et locataire suivant ? Ne sous-estimez pas l’état des clés hôte ni du stockage après effacement fournisseur ; ne réutilisez jamais de clés privées entre baux.

SSH déjà désactivé : VNC obligatoire ? Si aucune invite FDA ou installateur n’est apparue, indiquez N/A avec motif dans le README du tarball.

Décalage fuseaux Hong Kong / Tokyo ? Calendrier partagé pour le gel et commentaires d’achèvement horodatés UTC des deux côtés.

Pourquoi le Mac mini M4 convient aux transferts disciplinés

La mémoire unifiée M4 et un comportement de veille plus prévisible donnent des instantanés diskutil / system_profiler plus stables qu’un portable sous un bureau. Le maillage multi-régions MacLogin permet de répéter l’offboarding sur un mini labo à Singapour avant Hong Kong, Tokyo ou les États-Unis sans réécrire des scripts pour la dérive x86. La location laisse une fenêtre d’environ 7 jours pour annuler : restaurez depuis le jeu de plist archivé si la finance prolonge. Pour les étapes GUI, joignez le guide VNC MacLogin.

Planifiez le prochain bail avec des frontières SSH et partage d’écran propres

Réservez de l’Apple Silicon à Hong Kong, Tokyo, Séoul, Singapour ou aux États-Unis avec marge pour répéter l’offboarding et archiver les preuves.