Есть ли у FileVault 2 в Lion какие-либо другие отличия от старой версии FileVault в предыдущих выпусках системы? Есть ли дополнительные преимущества использования новой версии?
Есть ли у FileVault 2 в Lion какие-либо другие отличия от старой версии FileVault в предыдущих выпусках системы? Есть ли дополнительные преимущества использования новой версии?
Ответы:
Заимствование сильно из обзора Льва Джона Сиракузы ...
FileVault 2 - это система шифрования всего диска, а не просто решение «хранить домашнюю папку в зашифрованном виде на диске». Он реализован как слой файловой системы ниже фактического тома, который вы разблокируете во время загрузки системы. Если вы знакомы с LVM , то примерно так же. Всякий раз, когда вы преодолеваете блокировку паролем, все выглядит одинаково для остальной системы.
Как упомянул Стив, работе по шифрованию могут помочь специальные инструкции процессора, и она работает исключительно в фоновом режиме. Что приятно, вы можете включить шифрование диска на полном диске, и все будет сделано в свободное время (вы можете выключить его, восстановить и т. Д., И все будет продолжаться).
Пароль без учета гостевых учетных записей больше не может быть создан, поскольку весь диск зашифрован, а не только домашний каталог пользователя. Грустно, что я не смог найти никакой информации в статье о КБ в Apple по этому поводу.
Новый Filevault, кажется, накладывает на вас гораздо меньше ограничений, чем старая версия. Например, вам не нужно выходить из системы, чтобы машина времени работала, и все демоны общего доступа работают нормально (некоторые из них были отключены, когда ошибка файла была включена, если я правильно помню. Я думаю, что среди них был общий доступ к сети, что сделал мой ноутбук немного бесполезным в качестве платформы для разработки веб-приложений :)).
Одна из проблем, связанных с Filevault 2, заключается в том, что вы не можете подключиться к компьютеру по ssh, пока не введете пароль локально, поскольку процесс запуска не может начаться до тех пор, пока зашифрованный диск не будет разблокирован.
Я уверен, что есть несколько других. Эта статья поддержки Apple должна ответить на остальные ваши вопросы.
Со страницы руководства дляfsck_cs :
Утилита fsck_cs проверяет и восстанавливает метаданные группы логических томов CoreStorage.
...
ОШИБКИ
fsck_cs не выполняет исчерпывающую проверку и не может исправить многие обнаруженные несоответствия.
fsck_hfs (используется Дисковой утилитой) разрабатывался более десяти лет и способен исправлять большинство проблем с JHFS +, используемых FileVault 1.
Если вы столкнулись с проблемой, которая fsck_hfs которую не удалось исправить, существует несколько альтернативных сторонних утилит.
fsck_cs(также используется Дисковой утилитой) впервые появился вместе с CoreStorage в Mac OS X 10.7.0. Несоответствия могут быть непоправимыми.
Если происходит сбой LVG и fsck_csне удается выполнить необходимый ремонт, то загрузочный том не будет подключен. В этой ситуации вы можете деструктивно переформатировать диск и переустановить Mac OS X. (Использование только Time Machine для восстановления ОС не обеспечит Apple_Boot Recovery HD, необходимый для FileVault 2.)
Я вижу один недостаток: раньше вы могли зашифровать отдельные учетные записи пользователей, тогда как теперь вы можете зашифровать только весь диск. Если вы шифруете весь диск, вам также придется расшифровывать весь диск каждый раз, когда вы используете компьютер. Это означает, что после загрузки компьютера весь диск становится доступным для вредоносных программ, тогда как до того, как вы сможете войти (и вскоре снова выйдете) в учетные записи, критичные для безопасности, отдельно.
Я полагаю, что вы все еще можете использовать зашифрованные образы дисков поверх FileVault для действительно важных данных.
Другая проблема может быть Time Machine. Если раньше пользовательские каталоги FileVault также хранились в зашифрованном виде на томе резервной копии, то, похоже, это уже не так.
Кто-нибудь знает, поддерживает ли теперь Time Machine шифрование всего диска (из отчетов на данный момент он не включен для внешних дисков, по крайней мере, через графический интерфейс)?
Обновление. Очевидно, что Time Machine не поддерживает шифрование всего диска. Можно ли легко зашифровать тома Time Machine с помощью FileVault 2?
Аналогично ответу, предложенному Тило. Эта логика применима к любому компьютеру с двумя или более администраторами.
Существует хороший уровень безопасности, чтобы предотвратить доступ к данным других лиц лицу без мастер-пароля.
Любой администратор может просматривать, копировать, редактировать данные всех других пользователей.
пример
Два деловых партнера совместно используют компьютер, оба являются администраторами. Один из двух партнеров может захотеть сохранить что-то личное. Партнер, имеющий главный пароль, который хочет сохранить что-то в секрете, не передает этот пароль другому партнеру.
С FileVault 2 в таких сценариях безопасность и конфиденциальность легко игнорируются - sudo сразу приходит на ум.
сравнение
Шифрование ZFS в Oracle Solaris , которое может применяться к домашним каталогам пользователей.
Если пользователь FileVault 2 в описанной выше ситуации требует дополнительной безопасности, он может:
В качестве альтернативы, этот человек может использовать только часть существующего диска ... но управление разделами в мире coreStorage и вокруг него затруднено , поэтому для долгосрочной простоты: я бы рекомендовал вложить деньги в дополнительный / отдельный диск.
Ожидайте, что некоторые пользовательские данные будут записаны в подкаталог /private/var/folders- все администраторы будут иметь доступ к этим данным. Решение этого вопроса выходит за рамки этого вопроса.
Для диска, который использует FileVault 2 - или любое другое приложение Core Storage - может быть невозможно добавить или изменить размер разделов с помощью Дисковой утилиты.
В Super User:
Ожидайте, что Apple, diskutil (8) Mac OS X Manual Page будет обновлен до 10.7 в должное время. В то же время, если вы уже установили Lion, прочитайте справочную страницу в терминале.
Для любого пользователя, который использует FileVault 1:
В Mac OS X 10.7 (сборка 11A511) вы можете разрешить пользователю разблокировать загрузочный том, но после включения:
Отключить возможность пользователя разблокировать том FileVault 2 во время запуска / входа в систему
Версия 1.0 помощника, используемого с FileVault 2 в Mac OS X 10.7 (сборка 11A511), создает ОС восстановления на флэш-накопителе USB. Тем не мение:
Я нашел эту проблему с двумя разными компьютерами.
По моему опыту, воздействие обычно является приемлемым. Я хотел бы видеть соответствующие ориентиры.
In Ask Different: скорость старого Filevault против нового полного шифрования диска Lion
Apple предлагает:
FileVault 2 шифрует и дешифрует ваши данные на лету с незаметным влиянием на производительность.
- страница кэширована 2011-07-28 .
AnandTech - Возвращение к Mac: обзор OS X 10.7 Lion: производительность FileVault :
… В целом удар по чистой производительности ввода / вывода находится в диапазоне 20-30% . Это заметно, но недостаточно, чтобы перевесить преимущества полного шифрования диска. ...
Я бы хотел, чтобы рецензенты AnandTech снова взвесили вещи более широко, включая, по крайней мере:
Больше наблюдений за CPU, kernel_task и так далее в Re: [Fed-Talk] Lion FileVault (2011-07-22) ( основные моменты ).
Не ожидайте удаленного доступа к окну входа в систему EFI.
Два тома разумного размера (один домашний каталог) с хорошим набором B-деревьев, вероятно, проще в управлении системой и почти наверняка работают лучше, чем один колоссальный том с атрибутами и B-деревьями каталога, которые негабаритный и фрагментированный.
FileVault 1 использует полосы оптимизированного размера.
В зависимости от содержимого домашнего каталога, отказ от этих полос в пользу большего числа файлов меньшего размера может значительно увеличить размеры и фрагментацию следующих критических областей загрузочного тома:
То, что следует, выходит за рамки вступительного вопроса и является относительно техническим, но для любого пользователя компьютера с (а) ограниченной памятью и (б) значительным количеством файлов внутри и вне их домашнего каталога, стоит подумать, прежде чем отказ от FileVault 1.
Если сумма размеров B-деревьев слишком велика, и если требуется ремонт, сторонние утилиты на вашем компьютере могут быть не в состоянии исправить повреждение.
Если том не подлежит восстановлению с помощью fsck_hfs - наиболее очевидно, с использованием Дисковой утилиты, менее очевидно, когда система сталкивается с грязной файловой системой - пользователь может обратиться к уважаемой сторонней утилите.
Я столкнулся с ситуацией, когда сумма размеров B-деревьев - по отношению к физической памяти - была слишком велика для сторонней утилиты, чтобы работать так, как требуется для зашифрованного тома резервного копирования Core Storage, который был непоправимым fsck_hfs. Поскольку мой MacBookPro5,2 может занимать не более 8 ГБ, поэтому в течение некоторого времени этот том был только для чтения.
Я мог бы передать том, с компьютером или без него, поставщику услуг для внимания в среде с большим объемом памяти. Однако в целях безопасности я не должен предоставлять какой-либо третьей стороне - как бы ей ни доверяли - фразу-пароль или ключ для некоторых типов томов.
В конечном итоге и неожиданно fsck_hfsв Lion удалось восстановить том без моего участия с помощью Дисковой утилиты, возможно, благодаря моему экспериментальному (рискованному?) Удалению тома из мира coreStorage (возврат, полное преобразование в обратном направлении), находясь в непоправимом состоянии и состоянии чтения . Это был приятный результат для меня, и спасибо Apple за качество и возможности 10.7 (Build 11A511), но это должно послужить предостережением для других читателей.
Не все установки Lion получают скрытый Apple_Boot Recovery HD, который требуется для FileVault 2 - OS X Lion: «Некоторые функции Mac OS X Lion не поддерживаются для диска (имя тома)», появляется во время установки (2011-07-21) ,
... Вы не сможете использовать FileVault ...
Если это произойдет - и если вы отказались от FileVault 1 перед обновлением до Lion, ваш Mac с Lion будет менее безопасным .
Советы , опубликованные Macworld до выхода Lion продолжает советовать пользователям отключить FileVault 1 Перед установкой Lion. Для Macworld весьма необычно давать советы, которые являются спорными, но в этом случае я категорически не согласен.
Проще всего создать домашнее хранилище FileVault 1 в Snow Leopard перед обновлением до Lion.
Если без Snow Leopard: вы можете использовать Lion для создания дома, но есть несколько шагов к рутине.
После отключения Filevault 1 можно ли снова включить его в Lion?
Комбинируя FileVault 2 с FileVault 1, вы можете обеспечить двухуровневую защиту. Обратите внимание, что это вызовет проблемы с TimeMachine и совместным использованием. Таким образом, эта двухуровневая защита рекомендуется только для учетной записи, в которой TimeMachine отключен!
На моем компьютере есть рабочая учетная запись для повседневной работы, учетная запись FileVault 1 (исключена из TimeMachine) и учетная запись администратора. Когда я активировал FileVault 2 из своей повседневной рабочей учетной записи (используя пароль учетной записи администратора), я ожидал, что FileVault 1 исчезнет, потому что Apple говорит в OS X Lion: о FileVault 2 : «Если вы отключите Legacy FileVault, вкладка Legacy FileVault исчезнет и затем вы можете включить OS X Lion's FileVault 2 ».
Когда FileVault 2 был полностью настроен, я был очень удивлен, что мой FileVault 1 продолжал иметь шифрование FileVault 1. Таким образом, у меня была двухуровневая защита: устаревшая учетная запись FileVault 1 на компьютере FileVault 2. Все, что мне было нужно, это не учетная запись FileVault 1, откуда включить FileVault 2.
В конце концов я снова отключил FileVault 2. Мне нравится возможность доступа к файловой системе OS X из системы Bootcamp Windows. С FileVault 2 это было уже невозможно. Я все еще сохраняю учетную запись FileVault 1, и она продолжает работать нормально, даже в 10.8.1.