Як я можу включити шифрування Time Machine у ​​командному рядку?

13

Чи можливо включити шифрування цільового диска Time Machine зі скриптом або за допомогою командного рядка?

Чи зашифрований диск Time Machine насправді такий же, як і звичайний диск, зашифрований повним диском за допомогою FileVault?

Я хотів би автоматизувати стільки, скільки зручно, під час встановлення Mac для нового користувача. Сюди входить резервне копіювання. Ми використовуємо OS X Mountain Lion.

Додаткові відкриття:

  • Ви можете попросити зашифровувати ціль за допомогою GUI налаштувань Time Machine. Це не змушує його відображатися як такий за допомогою fdesetupкоманди. Однак він буде перерахований як зашифрований за допомогоюdiskutil cs list
  • Якщо вперше зашифрувати диск, графічний інтерфейс користувача Time Time скаже «Шифрувати резервні копії» для цього запису. Це підтримає запропонований нижче Рене метод (за винятком випадків, коли він пропонує це робити на зашифрованому зображенні, розміщеному на диску).
mountain-lion  time-machine  filevault  encryption 
llaurén
джерело
Я не створив повний ланцюжок інструментів, але fdesetupце інструмент для шифрування тома, і коли це буде зроблено, tmutil setdestinationдозволить вам встановити змонтований привід як місце призначення машини часу.
bmike
Ви також повинні мати можливість вибрати заздалегідь створений пакет tmutil inheritbackup [machine_directory | sparsebundle], який ви створили заздалегідь - можливо, зашифрованийhdiutil -encryption [AES-128|AES-256]
Рене Ларсен
@bmike - щоб зрозуміти, чи справді файл Vault збігається з шифруванням Time Machine, я зашифрував мій цільовий диск Time Machine за допомогою GUI. Хоча sudo diskutil cs listпоказує, що гучність зашифрована, sudo fdesetup statusмені FileVault вимкнено.
llaurén
1
Майте на увазі - файловий сейф означає завантажувальну ОС з ключами, розташованими так, що один або кілька облікових записів користувачів можуть розшифрувати зображення під час завантаження для запуску системи, тоді як Time Machine просто використовує той самий базовий зашифрований контейнер і основний рівень зберігання даних, не враховуючи облікових записів користувачів. або весь процес завантаження. Часовій машині потрібно просто встановити гучність після завантаження системи.
bmike
Вибачте, що не маю відповіді за вас, але в цій темі є розмова про те, як взяти резервну копію існуючої машини часу та зашифрувати її. дискусії.apple.com
thread/4520699

Відповіді:

3

Ні, вибачте нута, я вважаю, що ви неправі.

Чи зашифрований диск Time Machine насправді такий же, як і звичайний диск, зашифрований повним диском за допомогою FileVault?

Так. Це є. Це буде "FileVault 2", про який ми говоримо, він же CoreStorage, новий логічний менеджер томів Apple. Це відрізняється від попередніх технологій TM і FileVault, які базуються на зашифрованих AES зображеннями розріджених пакетів дисків (які все ще використовуються для резервного копіювання мережі тощо). Процес, який запускається в системних налаштуваннях (в ці дні), коли ви включаєте шифрування диска (будь то на зовнішньому диску, для Time Machine або на завантажувальному диску для FileVault), за умови, що диск підходить, він здійснює онлайн-перетворення з традиційного Таблиця розділів GPT до єдиного монолітного сховища даних з дуже невеликим розділом для програмного забезпечення CS. Логічні томи (у групах логічних томів) потім вирізані з цього, і ці (програмні) томи потім форматуються та шифруються HFS.

Я вважаю, що найпростішим методом цього є:

  • Приєднайте диск, який ви будете використовувати, витріть його. Вільний простір або окремий розділ HFS +.
  • diskutil cs create/convert (не / було відформатовано; неважливо) для ініціалізації та додавання нового LVG
  • diskutil cs createVolume, створити єдиний LV. Ви можете ввімкнути шифрування в цей момент, diskutil cs encryptVolumeякщо ви знаєте парольну фразу, яку ви будете використовувати; якщо ні, поки залиште його незашифрованим.
  • diskutil partitionDisk diskX - див. нижче - томи CS виглядають так, ніби вони повністю автономні, окремі диски, тож ви розділяєтеDisk.

Потім: встановіть та розблокуйте гучність на машині нового користувача. Після того, як диск розблокований, не повинно виникнути проблем із його прийняттям для використання там. Якщо ви хочете , щоб помістити його в конфігураційний сценарій, я вважаю , що це просто що - щось на зразок tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Це частина, про яку я найменш впевнений, але я також впевнений, що її легко виконати. Я не робив цього для Time Machine сам по собі, але я заздалегідь попередньо шифрував диски для FileVault, як це, і ОС напевно просто знає, що робити, якщо після цього.

Належно відповідний диск з підтримкою CS з'явиться у дискутилі (хоча, можливо, у вас немає третього розділу на disk0, якщо він знає, що це не буде завантажувальним приводом:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 не буде видаватися зашифрованим ніколи, оскільки це, в основному, менеджер томів повинен "завантажуватися". disk1 буде зашифрований та потребує встановлення пароля для монтажу.

Джефф Ніксон
джерело
1

Я випадково відповім.

Резервне копіювання зашифрованих машин часу не є тим же, що і FileVault, це фактично те саме, що вибрати "Утиліта Disk Utility (розширена для Mac OS ([Залежно від регістру]], Журналізована, зашифрована)").

Отже, щоб автоматизувати його із зовнішнім накопичувачем, якщо вважати, що він "disk1", ​​я думаю, що слід працювати (вибачте, не маю запасного USB-накопичувача для тестування):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
чикпі
джерело
Мені потрібно перевірити це, коли я знову на роботі. OSX не дуже привітно сказав мені, що резервні копії насправді зашифровані.
llaurén
Мені здається, що резервне копіювання зашифрованих мережевими машинами часу теж має бути схожим, за винятком створення нового пакета зображень диска, а не розділення диска.
drfrogsplat
<оскільки у мене ще недостатньо точок повторень, щоб коментувати @G. Відповідь Nix> І завантажувальний диск із включеним FileVault 2, і зашифрований диск резервного копіювання Time Machine є логічними томами Core Storage ... але я думаю, що FileVault 2 спеціально посилається на функцію шифрування повного диска, де замість того, щоб користувач вибирав парольну фразу шифрування. , генерується випадковий ключ відновлення, і лише затверджені облікові записи користувачів можуть отримати доступ до нього під час входу та розшифрувати решту диску.
chikpee
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.