Rehber OpenCore Kurulum Sonrası | Güvenlik ve FileVault

• FileVault
  • Apple'ın yerleşik disk şifrelemesi
• Vault
  • OpenCore'un yarı güvenli önyüklemesi, OpenCore'un bellek kopyası için kullanılır yani istenmeyen bir değişiklik yok
• ScanPolicy
  • OpenCore'un disk yönetimi, OpenCore'un önyükleme menüsünde hangi tür disklerin görüneceğini belirler
• OpenCore Parola Ayarlama
  • OpenCore önyükleme menüsüne parola ekleyebilirsiniz
• Apple Secure Boot
  • Apple'ın, macOS çekirdeğindeki güvenli önyükleme varyantı.

FileVault​

• OpenRuntime.efi
  • OpenUsbKbDxe.efi DuetPkg kullanıcılar için(UEFI desteği olmayan sistemler)

• Misc -> Boot
  • PollAppleHotKeys > YES(Gerekli olmasa da yardımı dokunabilir)
• Misc -> Security
  • AuthRestart > YES(FileVault 2 için Authenticated restart yani doğrulamalı yeniden başlatmayı aktifleştirir ve yeniden başlatmalarda şifre gerekmez. Güvenlik için riskli olabilir, o yüzden opsiyonel)
• NVRAM -> Add -> 4D1EDE05-38C7-4A6A-9CC6-4BCCA8B38C14
  • Yüksek çözünürlüklü küçük ekranlar için UIScale > 02
• UEFI -> Input
  • KeySupport > YES(Sadece OpenCore'un yerleşik girişini kullanırken, OpenUsbKbDxe kullanıcıları bundan kaçınmalı)
• UEFI -> Output
  • ProvideConsoleGop > YES
• UEFI -> ProtocolOverrides
  • FirmwareVolume > YES
  • HashServices > YES Broadwell ve daha eskileri(X99 da buna dahil), bu bozuk SHA-1 hash sorunu yaşayan sistemler için gereklidir.
• UEFI -> Quirks
  • RequestBootVarRouting > YES
  • Aptio IV firmwarelerde(Broadwell ve daha eskisi) Still waiting for root device sorunu yaşıyorsanız ExitBootServicesDelay > 3000-5000

Vault​

• vault.plist: EFI klasörünüzün bir "snapshot"'ı
• vault.sig: vault.plist'in doğrulanması

• Misc -> Security -> Vault:
  • Basic: Sadece vault.plist olması yeterlidir, genellikle dosya sisteminin bütünlüğünü doğrulamak için kullanılır.
  • Secure: vault.plist ve vault.sig gerekir, vault.plist değişiklikleri yeni bir signature/imza gerektireceğinden dolayı en iyi güvenlik için kullanılır.
• Booter -> ProtectSecureBoot: YES
  • Insyde firmware'lerde Secure Boot key/anahtarlını düzeltmek ve ihlalleri raporlamak için gereklidir.

• create_vault.sh
• RsaTool
• sign.command

• OpenCore.efi dosyasının yeni bir kopyasını al,
• Misc -> Security -> Vault değerini Optional olarak değiştir,
• vault.plist ve vault.sig dosyalarını kaldır.

ScanPolicy​

• Bu düzenlemenin tanımlamasına göre sadece bilinen dosya sistemlerinin taranmasını/görüntülenmesini sağlar. Sistem dosyası sürücüleri bu düzenlemenin farkında olmayabilir, istenmeyen sistem dosyalarını mount etmekten kaçınmak için en iyi yol, bu sürücülerin hiç yüklenmemesi. Bu, herhangi sistem dosyasının sahip olabileceği dmg dosyalarını mount etmeyi etkilemez. Bilindik sistem dosyaları OC_SCAN_ALLOW_FS_ ile önceden düzeltilmiştir.

• Bu düzenlemenin tanımlamasına göre sadece bilinen aygıt tiplerinin taranmasını/görünmesini sağlar. Bu her zaman tünelleme protokolünü tespit edemez, bu yüzden bazı sistemlerde bunun mümkün olabileceğini belirtelim(ör. USB HDD'lerin, SATA olarak algılanması) Bu gibi durumlar bildirilmeli. Bilindik aygıt tipleri OC_SCAN_ALLOW_DEVICE_. ile önceden düzeltilmiştir.

• APFS sistem dosyalarının taranmasını/görüntülenmesini sağlar.

• HFS sistem dosyalarının taranmasını/görüntülenmesini sağlar.

• EFI Sistem Bölüntüsü dosyalarının taranmasını/görüntülenmesini sağlar.

• SATA aygıtlarının taranmasını/görüntülenmesini sağlar.

• SAS ve Mac NVMe aygıtlarının taranmasını/görüntülenmesini sağlar.

• SCSI aygıtlarının taranmasını/görüntülenmesini sağlar.

• NVMe aygıtlarının taranmasını/görüntülenmesini sağlar.

• CD/DVD aygıtlarının taranmasını/görüntülenmesini sağlar.

• USB aygıtlarının taranmasını/görüntülenmesini sağlar.

• FireWire aygıtlarının taranmasını/görüntülenmesini sağlar.

• Kart okuyucu aygıtlarının taranmasını/görüntülenmesini sağlar.

• PCI yoluna direkt bağlanmış aygıtların taranmasını/görüntülenmesini sağlar(ör. VIRTIO).

• OC_SCAN_FILE_SYSTEM_LOCK
• OC_SCAN_DEVICE_LOCK
• OC_SCAN_ALLOW_FS_APFS
• OC_SCAN_ALLOW_DEVICE_SATA
• OC_SCAN_ALLOW_DEVICE_SASEX
• OC_SCAN_ALLOW_DEVICE_SCSI
• OC_SCAN_ALLOW_DEVICE_NVME
• OC_SCAN_ALLOW_DEVICE_PCI

OpenCore parola ayarlama​

• Önyükleme menüsünü gösterme
• Varsayılan olmayan işletim sistemlerini ve araçları önyüklemek(ör. Başlangıç Diski veya Bootcamp aracı tarafından bilinmeyen)
• NVRAM'ı resetlerken
• Varsayılan olmayan modları önyüklerken(ör. Verbose veya kısayol tuşları ile Güvenli Mod)

• PasswordHash: Şifrenin Hash değeri
• PasswordSalt: 2 kullanıcının aynı şifre ile aynı hash'e sahip olmamasını sağlar.

• Not: Ayrıca EnablePassword'u etkinleştirmeyi unutmayın.

• Not: Şifreyi girerken ve menüye girerken bazı eski sistemler ve sanal makinelerin doğrulaması 30 saniye veya 30 saniyeden daha uzun sürebilir. Lütfen sabırlı olun.

Apple Secure Boot​

• Not: DmgLoading, SecureBootModel ve ApECID güncel bir OpenCore sürümü gerektirir.
• Not 2: macOS Big Sur, düzgün bir Apple Secure Boot desteği için güncel bir OpenCore sürümü gerektirir.

Apple Secure Boot nedir?​

• Buradaki bilgilendirme bu kaynakları esas alır: vit9696'ın konusu, Apple'ın T2 dökümanları ve Osy'in Secure Boot sayfası

• OpenCore, boot.efi dosyasını(ör. boot.efi.j137ap.im4m), Apple tarafından imzalı olup bu Secure Boot modelinde kullanılabileceğine dair teyit eder.
  • Sıfır olmayan ApECID için OpenCore ayrıyeten ECID değerini doğrulayıp boot.efi dosyasına yazar(ör. boot.efi.j137ap.XXXXXXXX.im4m). Bu, başka bir sistemde aynı Secure Boot modeli kullanan tehlikeli bir sabit diskin, sizin sisteminizde kullanılmasını engeller.
• boot.efi, kernelcache(çekirdek önbelleği)'in kurcalanmadığını teyit eder
• apfs.kext ve AppleImage4, sistem yığını bellek kopyasının kurcalanmadığını teyit eder(sadece Big Sur ve daha güncel sürümler için uygulanabilir)

DmgLoading​

SecureBootModel​

• Maksimum güvenlik için ApECID ile kullanmayı planlıyorsanız varsayılan değer tavsiye edilmiyor. İleri zamanlarda varsayılan değer güncellenebileceğinden dolayı SMBIOS'unuza en yakın veya kullanmayı planladığınız macOS sürümlerinden doğru bir değeri kullanmanız tavsiye ediliyor.
  • Ek olarak varsayılan, x86legacy olarak ayarlı ve High Sierra'dan, Catalina'ya önyüklerken hataya sebep olur.
  • T2'ler haricinde normal Mac modelleri için x86legacy gerekli değil. Listedeki tüm değerler destekleniyor.
• Önbelleğe alınmış sürücülerin listesi farklı olabilir bunun sonucunda Added veya Forced kernel drivers listelerini değiştirmek gerekir.
  • ie. IO80211Family cannot be injected in this case, as it is already present in the kernelcache
• Bilinmeyen/imzasız ve bilinen birkaç çekirdek sürücüleri kullanılamaz.
  • Buna macOS 10.13 sürümündeki Nvidia Web Sürücüleri dahil.
• macOS 11 gibi sızdırmazlığa sahip sistemlerde sistem yığın değişikliği yapmak işletim sisteminin önyüklenememesine sebep olabilir.
  • Eğer macOS'un APFS snapshots/bellek kopyalarını devre dışı bırakmayı planlıyorsanız buna ek olarak SecureBootModel'i de devre dışı bırakmayı unutmayın.
• Önceden etkinleştirmemiz gerekmeyen Secure Boot, bazı önyükleme hatalarını tetikliyor olabilir.
  • Genellikle IgnoreInvalidFlexRatio ve HashServices kullanımı gerektirmeyen bazı APTIO IV sistemlerde görülür ancak öncelikli olarak Secure Boot bunları gerektirir.
• Eski işlemcilerde(ör. Sandy Bridge'den eski) Apple Secure Boot'u etkinleştirmek sistemin 1 saniyeye kadar daha geç yüklenmesine sebep olabilir.
• Apple Secure Boot'tan önce yayınlanan işletim sistemleri(ör. macOS 10.12 veya daha eskisi)'nde önyükleme, UEFI Secure Boot etkinleştirilene kadar devam eder.
  • Bunun sebebi tıpkı Microsoft Windows'taki gibi,Apple Secure Boot, sistemin uyumsuz olduğunu varsayarak firmware, durumu ele alır.
• Sanal makinelerde Secure Boot desteği için x86legacy'i kullanabilirsiniz.
  • Bir başka modelin kullanımı için ForceSecureBootScheme'in etkinleştirilmesi gerekir.

ApECID​

python3 -c 'import secrets; print(secrets.randbits(64))'

• Non-zero/sıfır olmayan olarak ApECID sistemlerde sıfır kurulumlar, doğrulama için internet bağlantısı gerektirecektir.
• Sonraki OpenCore sürümlerinde bu değerin değişmesi durumunda sorun yaşamamak adına SecureBootModel'in, varsayılan yerine tanımlanmış bir değere sahip olması gerekir.
• Halihazırda kurulum yapmışsanız sistem yığınını kişiselleştirmeniz gerekiyor. Bunu yapabilmek için önce sisteminizi yeniden başlatıp daha sonra Recovery'e girmelisiniz. Ardından aşağıdaki komutu kullanın(Sisteminizdeki disk adını, Macintosh HD ile değiştirmeyi unutmayın):
  
  Kod:

  # Bu komutu ApECID değerini ayarladıktan sonra çalıştırın 
  # Recovery'de bu komutu çalıştırabilmek için internet bağlantısına sahip olmanız gerekir
  bless --folder "/Volumes/Macintosh HD/System/Library/CoreServices" --bootefi --personalize

disk=$(hdiutil attach -nomount ram://4096)
diskutil erasevolume HFS+ SecureBoot $disk
diskutil unmount $disk 
mkdir /var/tmp/OSPersonalizationTemp
diskutil mount -mountpoint /var/tmp/OSPersonalizationTemp $disk

İlgili konu​

Rehber Konu 'OpenCore için Kurulum Sonrası Rehberi'

28 Eylül 2025

OpenCore için Kurulum Sonrası​

Eğer halihazırda OpenCore ile macOS kurulumu yapmadıysanız bu makaleye göz atmanızı öneririm:

• Adım Adım Dual Boot Hackintosh Kurulum Rehberi

Ayrıca buradaki bilgiler hem OpenCore önyükleyici hem de Clover(eski) önyükleyici için uygulanabilir olsa da, biz bu makalede OpenCore kurulumlara odaklanacağız. Eğer bir sorun ile karşılaşırsanız daha fazla araştırmanız gerekebilir.

Önemli
Konudaki alt başlıkların hepsi tek tek çevirilecek olup, kaynak link ile Türkçe çeviri değiştirilecektir. Çevirilere ivedilik ile...

• tarko
• hackintosh kurulum sonrası kurulum kurulum sonrası opencore opencore kurulum sonrası opencore post-install
• Mesaj: 0
• Forum: OpenCore

• 
• 

Kaynak​