Чи мають FileVault 2 у Lion якісь інші відмінності порівняно зі старою версією FileVault у попередніх випусках системи? Чи є додаткові переваги від використання нової версії?
Чи мають FileVault 2 у Lion якісь інші відмінності порівняно зі старою версією FileVault у попередніх випусках системи? Чи є додаткові переваги від використання нової версії?
Відповіді:
Позики в значній мірі з огляду Лева Джона Сіракузи ...
FileVault 2 - це система шифрування всього диска, на відміну від просто "зберігання вашої домашньої папки у зашифрованому зображенні диска". Він реалізований як шар файлової системи нижче фактичного обсягу, який ви розблокуєте під час завантаження системи. Якщо ви знайомі з LVM , це приблизно так само. Щоразу, коли ви переходите до блокування пароля, все виглядає так само, як і в решті системи.
Як зазначив Стів, роботі з шифруванням можуть допомогти спеціалізовані інструкції процесора, і вони працюють повністю у фоновому режимі. Приємно, що ви можете повернути шифрування диска на повний диск, і все буде зроблено на дозвіллі (ви можете вимкнути його, повернути його назад і т. Д., І все продовжиться).
Паролі, які не містять паролів, не можуть бути створені, оскільки весь диск зашифрований, ніж лише домашня директорія користувача. Сумно, що я не зміг знайти жодної інформації в kb статті в Apple про це.
Новий Filevault, здається, покладає на вас набагато менше обмежень, ніж стара версія. Наприклад, вам не потрібно виходити, щоб машина часу працювала, наприклад, і всі демони спільного використання, здається, працюють нормально (деякі з них були відключені, коли файл було включено за замовчуванням, якщо я пам'ятаю правильно. Я думаю, що веб-обмін був серед них, який зробив мій ноутбук трохи марним як платформа для розробки веб-додатків :)).
Одна з проблем Filevault 2 полягає в тому, що ви не можете ввійти в машину, доки не введете пароль локально, оскільки процес запуску не може розпочатися, поки зашифрований диск не буде розблокований.
Я впевнений, що є кілька інших. Ця стаття щодо підтримки Apple повинна відповісти на всі ваші запитання.
З сторінки керівництва дляfsck_cs :
Утиліта fsck_cs перевіряє та відновлює метадані логічної групи томів CoreStorage.
...
БУГИ
fsck_cs не виконує вичерпної перевірки, а також не може виправити багато виявлених невідповідностей.
fsck_hfs (використовується Disk Utility) розроблений більше десяти років і здатний виправити більшість проблем з JHFS +, як використовується FileVault 1.
Якщо ви зіткнулися з проблемою, яку fsck_hfsнеможливо відновити, існує кілька альтернативних сторонніх утиліт.
fsck_cs(також використовується Disk Utility) вперше з'явився разом із CoreStorage в Mac OS X 10.7.0. Невідповідності можуть бути непоправними.
Якщо трапляється збій LVG і fsck_csне вдається здійснити необхідний ремонт, то рівень запуску не збільшиться. У цій ситуації ви можете деструктивно переформатувати диск і перевстановити Mac OS X. (Використання лише Time Recovery OS Machine не забезпечить Apple_Boot Recovery HD, необхідний для FileVault 2.)
Один недолік, який я бачу, полягає в тому, що раніше ви могли шифрувати окремі облікові записи користувачів, тоді як тепер ви можете шифрувати лише весь диск. Якщо ви шифруєте весь диск, вам також доведеться розшифровувати весь диск щоразу, коли ви користуєтесь комп'ютером. Це означає, що після завантаження комп'ютера весь диск стає доступним для зловмисного програмного забезпечення, тоді як перед тим, як ви зможете ввійти (а незабаром знову вийти з), до критично важливих для безпеки облікових записів.
Я припускаю, що ви все ще можете використовувати зашифровані зображення диска вгорі FileVault для дійсно важливих даних.
Іншою проблемою може стати машина часу. Якщо раніше каталоги користувачів FileVault також зберігалися в зашифрованому вигляді на резервній томі, це, мабуть, вже не так.
Хтось знає, чи тепер Time Machine підтримує шифрування цілого диска (із звітів поки що він не ввімкнений для зовнішніх накопичувачів, принаймні, не через GUI)?
Оновлення: Мабуть, Time Machine не підтримує шифрування цілого диска: Чи можна томи Time Time легко зашифрувати за допомогою FileVault 2?
Подібно до відповіді, запропонованої Тіло. Ця логіка застосовується до будь-якого комп'ютера з двома або більше адміністраторами.
Існує хороший рівень безпеки, щоб запобігти доступу особи до даних будь-якої іншої особи без головного пароля.
Будь-який адміністратор може переглядати, копіювати та редагувати всі дані інших користувачів.
Приклад
Два бізнес-партнери мають спільний комп'ютер, обидва адміністратори. Один з двох партнерів, можливо, хотів би зберегти щось приватне. Партнер, який тримає основний пароль, який хоче зберегти щось приватне, не дає цього пароля іншому партнеру.
Якщо тільки FileVault 2 у таких сценаріях, безпеку та конфіденційність легко ігнорувати - sudo одразу приходить на думку.
Порівняння
Шифрування ZFS в Oracle Solaris , яке може застосовуватися до домашніх каталогів користувачів.
Якщо користувач FileVault 2 у вищезгаданій ситуації вимагає додаткової безпеки, ця людина може:
Крім того, ця людина може використовувати лише частину наявного диска… але управління розділами в і навколо світу coreStorage є складним , тому для довгострокової простоти: я б рекомендував інвестувати в додатковий / окремий диск.
Очікуйте, що деякі дані користувачів будуть записані у підкаталог /private/var/folders- всі адміністратори матимуть доступ до цих даних. Вирішення цього питання виходить за межі цього питання.
Для диска, який використовує FileVault 2 - або будь-який інший додаток Core Storage - неможливо додати або змінити розміри розділів за допомогою Disk Utility.
У Super User:
Очікуйте, що вчасно буде оновлено сторінку керівництва Mac OS X для Mac OS X на 10.7. Тим часом, якщо ви вже встановили Lion, прочитайте сторінку man у Терміналі.
Для будь-якого користувача, який використовує FileVault 1:
У Mac OS X 10.7 (Build 11A511) ви можете дозволити користувачу розблокувати об'єм запуску, але після активації:
Вимкніть можливість користувача розблокувати том FileVault 2 під час запуску / входу
Версія 1.0 асистента, що використовується з FileVault 2 в Mac OS X 10.7 (Build 11A511), створює ОС відновлення на флеш-накопичувачі USB. Однак:
Я знайшов цю проблему на двох різних комп’ютерах.
На мій досвід, вплив зазвичай прийнятний. Я хотів би побачити відповідні орієнтири.
Запитувати по-різному: Швидкість старого Filevault проти нового повного шифрування диска Lion
Apple пропонує:
FileVault 2 шифрує та розшифровує ваші дані під час руху з непомітним впливом на продуктивність.
- кешована сторінка 2011-07-28 .
AnandTech - Назад до Mac: Огляд ОС X 10.7 Lion: продуктивність FileVault зауважує:
… Загальний удар у чистому виконанні вводу / виводу знаходиться в межах 20 - 30% . Це помітно, але недостатньо велико, щоб переважити переваги повного шифрування диска. …
Мені хотілося б, щоб рецензенти AnandTech зважували речі ще ширше, включаючи принаймні:
Більше спостережень за процесором, kernel_task і так далі в Re: [Fed-Talk] Lion FileVault (2011-07-22) ( основні моменти ).
Не очікуйте віддаленого доступу до вікна входу в систему EFI.
Два томи з досить великим розміром (один домашній каталог), з хорошим набором дерев B, напевно, системі легше керувати - і майже напевно працює краще - ніж один колосальний об'єм з атрибутами та каталожними B-деревами, які є негабаритні та фрагментарні.
FileVault 1 використовує діапазони оптимізованого розміру.
Залежно від вмісту домашнього каталогу, відмова від цих діапазонів на користь більшої кількості менших файлів може значно збільшити розміри та фрагментацію наступних критичних областей запуску тома:
Далі виправдано виходить за рамки вступного питання та відносно технічно, але для будь-якого користувача комп'ютера з (a) обмеженою пам’яттю та (b) значною кількістю файлів всередині та поза їхнім домашнім каталогом, варто подумати над цим відмова від FileVault 1.
Якщо сума розмірів дерев B занадто велика, і якщо потрібен ремонт, сторонні утиліти на вашому комп’ютері, можливо, не зможуть відновити пошкодження.
Якщо об'єм непоправний fsck_hfs - найбільш очевидно, що використовується Disk Utility, менш очевидно, коли система стикається з брудною файловою системою - користувач може звернутися до шанованої сторонньої утиліти.
Я зіткнувся з ситуацією, коли сума розмірів B-дерев - по відношенню до фізичної пам'яті - була занадто великою, щоб утиліта третьої сторони працювала так, як потрібно для шифруваного резервного копію Core Storage, який був непоправний fsck_hfs. Оскільки мій MacBookPro5,2 може займати не більше 8 ГБ, тому деякий час цей том читався лише для читання.
Я, можливо, передавав об'єм, з комп'ютером або без нього, постачальнику послуг для уваги в середовищі з більшою кількістю пам'яті. Однак для безпеки я не повинен надавати жодній сторонній стороні - як би не довіряли - прохідну фразу або ключ для деяких типів гучності.
Зрештою і несподівано fsck_hfsв Lion виправили гучність без мене за допомогою Disk Utility, можливо, завдяки мені експериментально (ризиковано?) Видаливши гучність з світу coreStorage (повертаючись, повністю перетворивши назад), перебуваючи в непоправному і читаному стані . Це було приємним результатом для мене та великим пальцем Apple за якістю та можливостями 10,7 (Build 11A511), але це повинно послужити обережністю для інших читачів.
Не всі установки Lion отримують прихований Apple_Boot HD для відновлення , необхідний для FileVault 2 - OS X Lion: "Деякі функції Mac OS X Lion не підтримуються на диску (ім'я тома)" з'являється під час встановлення (2011-07-21) .
… Ви не зможете використовувати FileVault…
Якщо це трапиться - і якщо ви відмовились від FileVault 1 перед оновленням до Lion - ваш Mac з Lion буде менш захищеним .
Поради , опубліковані Macworld до виходу Lion продовжує радити користувачам відключити FileVault 1 Перед установкою Lion. Найбільш незвично для Macworld давати суперечливі поради, але в цьому випадку я категорично не згоден.
Найпростіше створити будинок FileVault 1 у Snow Leopard перед оновленням до Lion.
Якщо без Snow Leopard: ви можете використовувати Лева для створення будинку, але є кілька кроків до рутини.
Після відключення Filevault 1, чи можна знову включити його у Lion?
Комбінуючи FileVault 2 з FileVault 1, ви можете забезпечити двошарову безпеку. Зауважте, що це спричинить проблеми з TimeMachine та спільним доступом. Таким чином, ця двошарова безпека доцільна лише для облікового запису, де TimeMachine вимкнено!
На своєму комп’ютері у мене є щоденний робочий кабінет, обліковий запис FileVault 1 (виключається з TimeMachine) та обліковий запис адміністратора. Коли я активував FileVault 2 зі свого щоденного робочого облікового запису (використовуючи пароль облікового запису адміністратора), я очікував, що FileVault 1 зникне, оскільки Apple каже в OS X Lion: Про FileVault 2 : «Якщо вимкніть Legacy FileVault, вкладка Legacy FileVault зникне а потім можна вибрати, щоб увімкнути FileVault 2 X OS Lion.
Коли було налаштовано FileVault 2, я був дуже здивований, що мій FileVault 1 продовжував шифрувати FileVault 1. Тож у мене був двошаровий захист: застарілий обліковий запис FileVault 1 в комп'ютері FileVault 2. Все, що мені було потрібно - це не-файл FileVault 1, звідки ввімкнути FileVault 2.
Зрештою я знову відключив FileVault 2. Мені подобається мати доступ до файлової системи OS X із системи Bootcamp Windows. З FileVault 2 це вже було неможливо. Я все ще зберігаю обліковий запис FileVault 1, і він продовжує працювати нормально, навіть у 10.8.1.