FileVault 2 in Lion ha altre differenze rispetto alla versione precedente, FileVault nelle versioni precedenti del sistema? Ci sono ulteriori vantaggi nell'usare la nuova versione?
FileVault 2 in Lion ha altre differenze rispetto alla versione precedente, FileVault nelle versioni precedenti del sistema? Ci sono ulteriori vantaggi nell'usare la nuova versione?
Prendendo in prestito pesantemente da John Siracusa's Revisione Lion ...
FileVault 2 è un sistema di crittografia dell'intero disco, a differenza di una semplice soluzione "archivia la cartella principale in una immagine disco crittografata". È implementato come livello del filesystem sotto il volume effettivo che si sblocca all'avvio del sistema. Se hai familiarità con LVM , è più o meno allo stesso modo. Ogni volta che superi il blocco della password, tutto sembra uguale al resto del sistema.
Come ha detto Steve, il lavoro di crittografia può essere supportato da specifiche istruzioni del processore e viene eseguito interamente in background. La cosa bella è che puoi trasformare la crittografia del disco su un disco completo, e tutto sarà fatto a tuo piacimento (puoi spegnerlo, portarlo a posto, ecc. E tutto continuerà).
Password meno account "Guest" non possono più essere creati poiché l'intero disco è crittografato rispetto alla sola directory home dell'utente. È triste che non sia riuscito a trovare alcuna informazione sull'articolo kb di Apple su questo.
Il nuovo Filevault sembra mettere meno restrizioni su di te rispetto alla vecchia versione. Ad esempio, non è necessario disconnettersi perché la macchina del tempo funzioni, e tutti i daemon di condivisione sembrano funzionare correttamente (alcuni di questi sono stati disabilitati se il file default era abilitato se ricordo correttamente. reso il mio laptop un po 'inutile come piattaforma di sviluppo per applicazioni web :)).
Un problema con Filevault 2 è che non è possibile eseguire l'ssh su una macchina finché non si è immessa una password localmente, poiché il processo di avvio non può iniziare finché l'unità crittografata non è stata sbloccata.
Sono sicuro che ce ne sono altri. Questo articolo di supporto Apple dovrebbe rispondere al resto delle tue domande.
Dalla pagina di manuale per fsck_cs :
The fsck_cs utility verifies and repairs CoreStorage logical volume group metadata.
...
BUGS
fsck_cs does not perform an exhaustive validation, nor is it able to fix many of the inconsistencies that it does detect.
fsck_hfs (utilizzato da Utility Disco ) è stato sviluppato per più di dieci anni ed è in grado di riparare la maggior parte dei problemi con JHFS + come usato da FileVault 1.
Se dovessi riscontrare un problema che fsck_hfs non può riparare, esistono più utilità di terze parti alternative.
fsck_cs (usato anche da Utility Disco) è apparso per la prima volta insieme a CoreStorage in Mac OS X 10.7.0. Le incoerenze possono essere irreparabili.
Se l'errore LVG si verifica e fsck_cs non può effettuare le riparazioni necessarie, il volume di avvio non verrà attivato. In questa situazione è possibile riformattare il disco in modo distruttivo e reinstallare Mac OS X. (L'utilizzo di Recovery OS Time Machine da solo non fornisce l'Apple_Boot Recovery HD necessario per FileVault 2.)
Uno svantaggio che posso vedere è che prima potevi crittografare i singoli account utente, mentre ora puoi solo crittografare l'intero disco. Se si cripta l'intero disco, è necessario anche decrittografare l'intero disco ogni volta che si utilizza il computer. Ciò significa che una volta avviato il computer, l'intero disco è accessibile al malware, mentre prima era possibile accedere (e presto di nuovo uscire) a account di sicurezza specifici separatamente.
Suppongo che tu possa ancora usare immagini disco crittografate su FileVault per dati davvero importanti.
Un altro problema potrebbe essere Time Machine. Mentre prima che le directory degli utenti di FileVault venissero memorizzate anche nel volume di backup, non sembra più il caso.
Qualcuno sa se Time Machine ora supporta anche la crittografia dell'intero disco (dai report fino ad ora sembra non essere abilitato per le unità esterne, almeno non tramite la GUI)?
Aggiornamento: Apparentemente, Time Machine non supporta la crittografia dell'intero disco: I volumi Time Machine possono essere facilmente crittografati con FileVault 2?
Simile alla risposta offerta da Thilo. Questa logica si applica a qualsiasi computer con due o più amministratori.
C'è un buon livello di sicurezza per impedire a una persona senza la password principale di accedere ai dati di altre persone.
Qualsiasi amministratore può visualizzare, copiare, modificare tutti i dati di altri utenti.
Esempio
Due business partner condividono un computer, entrambi amministratori. Uno dei due partner potrebbe voler mantenere qualcosa di privato. Il partner che detiene la password principale, che desidera mantenere qualcosa di privato, non fornisce tale password all'altro partner.
Con FileVault 2 da solo in tali scenari, la sicurezza e la privacy sono facilmente ignorati - sudo viene subito in mente.
di confronto
ZFS crittografia in Oracle Solaris , che può essere applicata alle home directory degli utenti.
Se un utente di FileVault 2 nella situazione sopra richiede la sicurezza extra, quella persona può:
In alternativa, quella persona potrebbe usare solo una parte di un disco esistente ... ma la gestione delle partizioni all'interno e intorno al mondo coreStorage è difficile , quindi per una semplicità a lungo termine: consiglierei l'investimento in un disco aggiuntivo / separato.
Aspettati che alcuni dati utente vengano scritti in una sottodirectory di /private/var/folders - tutti gli amministratori avranno accesso a questi dati. Una soluzione per questo è oltre lo scopo di questa domanda.
Per un disco che utilizza FileVault 2 - o qualsiasi altra applicazione di Core Storage - potrebbe essere impossibile aggiungere o ridimensionare le partizioni usando Utility Disco.
In Super User:
Aspettati Apple diskutil (8) Pagina del manuale Mac OS X da aggiornare per il 10.7 a tempo debito. Nel frattempo, se hai già installato Lion, leggi la pagina man di Terminal.
Per ogni utente che utilizza FileVault 1:
In Mac OS X 10.7 (Build 11A511) puoi consentire a un utente di sbloccare il volume di avvio, ma una volta attivato:
Disabilita la capacità di un utente di sbloccare un volume FileVault 2 all'avvio / tempo di accesso
La versione 1.0 dell'assistente utilizzata con FileVault 2 in Mac OS X 10.7 (Build 11A511) produce un SO di ripristino su un'unità flash USB. Tuttavia:
Ho trovato questo problema con due computer diversi.
Nella mia esperienza, l'impatto è generalmente accettabile. Mi piacerebbe vedere benchmark rilevanti.
In Chiedi diverso: Velocità della vecchia crittografia di Filevault rispetto a quella di un nuovo Lion completo
Apple suggerisce:
FileVault 2 encrypts and decrypts your data on the fly with an imperceptible performance impact.
AnandTech - Torna al Mac: Esame di OS X 10.7 Lion: le prestazioni di FileVault osservano:
… Overall the hit on pure I/O performance is in the 20 - 30% range. It's noticeable but not big enough to outweigh the benefits of full disk encryption. …
Vorrei che i revisori di AnandTech valutassero le cose in modo più ampio, includendo almeno:
Altre osservazioni su CPU, kernel_task e cetera in Re: [Fed-Talk] Lion FileVault (2011-07-22) ( mette in evidenza ).
Non aspettarti l'accesso remoto alla finestra di accesso EFI.
Due volumi di dimensioni ragionevoli (una home directory), con un buon set di B-tree, sono probabilmente più facili da gestire per il sistema - e quasi sicuramente hanno un rendimento migliore - di un singolo volume colossale con attributi e catalogo B- alberi che sono sovradimensionati e frammentati.
FileVault 1 utilizza bande di dimensioni ottimizzate.
A seconda del contenuto di una home directory, l'abbandono di tali bande a favore di un numero maggiore di file più piccoli può aumentare significativamente le dimensioni e la frammentazione delle seguenti aree critiche del volume di avvio:
Ciò che segue è debatably oltre lo scopo della domanda di apertura, e relativamente tecnico, ma per qualsiasi utente di un computer con (a) memoria limitata e (b) un numero considerevole di file all'interno e all'esterno della loro home directory, vale la pena pensando prima di abbandonare FileVault 1.
Se la somma delle dimensioni degli alberi B è eccessiva e se è necessaria una riparazione, le utilità di terze parti sul computer potrebbero non essere in grado di riparare il danno.
Se un volume è irreparabile da fsck_hfs - ovviamente usando Disk Utility, meno ovviamente ogni volta che il sistema incontra un file system sporco - un utente può rivolgersi a un'utility di terze parti rispettata.
Ho riscontrato una situazione in cui la somma delle dimensioni degli alberi B, in relazione alla memoria fisica, era troppo grande per un'utility di terze parti per funzionare come richiesto per un Core Storage crittografato volume di backup che era irreparabile per fsck_hfs . Poiché il mio MacBookPro5,2 non può richiedere più di 8 GB, quindi per un po 'di tempo questo volume è stato letto solo.
Potrei aver preso il volume, con o senza il computer, da un fornitore di servizi per attirare l'attenzione in un ambiente con più memoria. Tuttavia, per motivi di sicurezza, non dovrei fornire a terze parti, per quanto affidabili, la passphrase o la chiave per alcuni tipi di volume.
Alla fine e inaspettatamente il fsck_hfs in Lion ha riparato il volume senza me usando Utility Disco, probabilmente grazie a me sperimentalmente (rischioso?) rimuovendo il volume dal mondo coreStorage (ripristinando, convertendo completamente indietro ) mentre si trova nello stato irreparabile e leggibile . Questo è stato un risultato piacevole per me, e un pollice in su per Apple per le qualità e le capacità di 10.7 (Build 11A511), ma questo dovrebbe servire come precauzione per gli altri lettori.
Non tutte le installazioni di Lion ottengono il% nascostoApple_Boot Recovery HD richiesto per FileVault 2 - OS X Lion: "Alcune funzioni di Mac OS X Lion non sono supportate per il disco (nome volume)" viene visualizzato durante l'installazione (2011-07-21).
… You won't be able to use FileVault …
Se ciò accade, e se hai abbandonato FileVault 1 prima dell'aggiornamento a Lion, il tuo Mac con Lion sarà meno sicuro .
Il consiglio pubblicato da Macworld prima del rilascio di Lion continua a consigliare agli utenti di disabilita FileVault 1 prima di installando Lion. È piuttosto insolito che Macworld dia consigli che siano controversi, ma in questo caso non sono d'accordo.
È più facile creare la casa di FileVault 1 in Snow Leopard prima di passare a Lion.
Se senza Snow Leopard: puoi usare Lion per creare la casa, ma ci sono alcuni passaggi per la routine.
Dopo aver disabilitato Filevault 1, è possibile abilitarlo di nuovo in Lion?
Combinando FileVault 2 con FileVault 1, puoi avere un doppio livello di sicurezza. Si noti che ciò causerà problemi con TimeMachine e la condivisione. Pertanto, questa sicurezza a doppio strato è consigliabile solo per un account in cui TimeMachine è disattivato!
Sul mio computer, ho un account di lavoro quotidiano, un account FileVault 1 (escluso da TimeMachine) e un account amministratore. Quando ho attivato FileVault 2 dal mio account di lavoro di tutti i giorni (utilizzando la password dell'account amministratore), mi aspettavo che FileVault 1 sparisse perché Apple dice in OS X Lion: About FileVault 2 : «Se disattivi Legacy FileVault, la scheda Legacy FileVault scomparirà e potrai quindi scegliere di abilitare OS X Lion's FileVault 2».
Quando FileVault 2 era tutto pronto, sono rimasto molto sorpreso dal fatto che il mio FileVault 1 continuasse ad avere la crittografia di FileVault 1. Così ho avuto una doppia sicurezza: un account FileVault 1 legacy all'interno di un computer FileVault 2. Tutto ciò di cui avevo bisogno era un account non FileVault 1 da cui attivare FileVault 2.
Alla fine, ho disattivato FileVault 2 di nuovo. Mi piace poter accedere al filesystem OS X dal sistema Windows Bootcamp. Con FileVault 2, non era più possibile. Conservo ancora l'account FileVault 1 e continua a funzionare bene, anche in 10.8.1.
Leggi altre domande sui tag lion filevault core-storage