Jak mogę włączyć szyfrowanie Time Machine w wierszu poleceń?

13

Czy można włączyć szyfrowanie dysku docelowego Time Machine za pomocą skryptu lub wiersza poleceń?

Czy zaszyfrowany dysk Time Machine naprawdę jest taki sam jak normalny dysk, zaszyfrowany na całym dysku za pomocą FileVault?

Chciałbym zautomatyzować tyle, ile jest wygodne podczas instalowania komputera Mac dla nowego użytkownika. Obejmuje to kopie zapasowe. Używamy OS X Mountain Lion.

Dodatkowe odkrycia:

  • Możesz poprosić o zaszyfrowanie celu w GUI preferencji Time Machine. Nie powoduje to, że wyświetla się jako taki za pomocą fdesetuppolecenia. Będzie to jednak wymienione jako zaszyfrowane przy użyciudiskutil cs list
  • Jeśli najpierw zaszyfrujesz dysk, graficzny interfejs użytkownika Time Machine powie „Szyfruj kopie zapasowe” dla tego wpisu. To by wspierało metodę sugerowaną poniżej przez Rene (z wyjątkiem tego, że sugeruje to zrobić na zaszyfrowanym obrazie umieszczonym na dysku).
mountain-lion time-machine filevault encryption llaurén
źródło
Nie zbudowałem kompletnego łańcucha narzędzi, ale fdesetupjest to narzędzie do szyfrowania woluminu, a gdy to zrobisz, tmutil setdestinationpozwoli ci ustawić zamontowany dysk jako miejsce docelowe wehikułu czasu.
bmike
Powinieneś być również w stanie wybrać pakiet sparse, z tmutil inheritbackup [machine_directory | sparsebundle]którym wcześniej utworzyłeś - być może zaszyfrowanyhdiutil -encryption [AES-128|AES-256]
Rene Larsen
@bike - Aby dowiedzieć się, czy File Vault naprawdę jest taki sam jak szyfrowanie Time Machine, zaszyfrowałem dysk docelowy Time Machine za pomocą GUI. Chociaż sudo diskutil cs listpokazuje, że wolumin jest teraz zaszyfrowany, sudo fdesetup statusinformuje mnie , że FileVault jest wyłączony.
llaurén
1
Pamiętaj - przechowalnia plików oznacza bootowalny system operacyjny z kluczami ustawionymi tak, aby jedno lub więcej kont użytkowników mogło odszyfrować obraz podczas uruchamiania systemu, aby uruchomić system, podczas gdy Time Machine wykorzystuje tylko ten sam podstawowy zaszyfrowany kontener i podstawową warstwę pamięci, bez względu na konta użytkowników lub cały proces rozruchu. Time Machine musi tylko zamontować wolumin po uruchomieniu systemu.
bmike
Przykro mi, ale nie mam dla ciebie odpowiedzi, ale w tym wątku jest mowa o tym, jak zrobić kopię zapasową istniejącego wehikułu czasu i go zaszyfrować. talkions.apple.com/thread/4520699
Anil Natha

Odpowiedzi:

3

Nie, przepraszam, ciecierzyco, uważam, że się mylisz.

Czy zaszyfrowany dysk Time Machine naprawdę jest taki sam jak normalny dysk, zaszyfrowany na całym dysku za pomocą FileVault?

Tak. To jest. Byłby to „FileVault 2”, o którym mówimy, znany również jako CoreStorage, nowy menedżer woluminów logicznych Apple. Różni się to od poprzednich technologii TM i FileVault, które są oparte na obrazach dysków zaszyfrowanych pakietami AAR zaszyfrowanych AES (które są nadal używane do tworzenia kopii zapasowych w sieci itp.). Proces, który rozpoczyna się w Preferencjach systemowych (obecnie) po włączeniu szyfrowania dysku (na dysku zewnętrznym, w Time Machine lub na dysku rozruchowym w FileVault), pod warunkiem, że dysk jest odpowiedni, dokonuje konwersji online z tradycyjnego Tabela partycji GPT do pojedynczego monolitycznego magazynu danych, z bardzo małą partycją dla oprogramowania układowego CS. Z tego wycinane są woluminy logiczne (w grupach logicznych), a następnie te (programowe) są formatowane i szyfrowane w systemie plików HFS.

Uważam, że najprostszą metodą na zrobienie tego byłoby:

  • Podłącz dysk, którego będziesz używać, wyczyść go. Wolne miejsce lub pojedyncza partycja HFS +.
  • diskutil cs create/convert (nie został / został sformatowany; nieważne), aby zainicjować i dodać nową LVG
  • diskutil cs createVolume, utwórz pojedynczy LV. W tym momencie możesz włączyć szyfrowanie diskutil cs encryptVolume, jeśli znasz hasło, którego będziesz używać; jeśli nie, pozostaw to na razie niezaszyfrowane.
  • diskutil partitionDisk diskX - patrz poniżej - woluminy CS wyglądają tak, jakby były całkowicie autonomiczne, oddzielne dyski, więc partycja dysku.

Następnie: zamontuj i odblokuj wolumin na komputerze nowego użytkownika. Po odblokowaniu dysku nie powinno być żadnych problemów z przystosowaniem go do użycia w tym miejscu. Jeśli chcesz umieścić go w skrypcie konfiguracyjnym, wierzę, to jest po prostu coś tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Jest to część, której jestem najmniej pewny, ale jestem też pewien, że łatwo ją wykonać. Nie zrobiłem tego dla Time Machine per se, ale cały czas wstępnie szyfruję dyski dla FileVault, a system operacyjny po prostu wie, co zrobić, jeśli później.

Odpowiednio odpowiedni dysk z obsługą CS będzie wyglądał tak w diskutil (chociaż nie możesz mieć trzeciej partycji na dysku0, jeśli wie, że nie będzie to dysk rozruchowy:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 nigdy nie pojawi się jako zaszyfrowany, ponieważ to właśnie menedżer woluminów musi w zasadzie „wystartować”. dysk1 zostanie zaszyfrowany i będzie wymagał podania hasła.

Geoff Nixon
źródło
1

Spróbuję odpowiedzieć.

Kopia zapasowa zaszyfrowanego programu Time Machine nie jest tym samym co FileVault, w rzeczywistości jest taka sama, jak wybranie „Mac OS Extended ([rozróżnia wielkość liter], kronikowany, szyfrowany)” w Narzędziu dyskowym.

Tak więc, aby zautomatyzować go za pomocą zewnętrznego dysku, zakładając, że jest to „dysk1”, myślę, że następujące powinny działać (przepraszam, nie mam wolnego dysku USB do przetestowania):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
chikpee
źródło
Muszę to sprawdzić, kiedy wrócę do pracy. OSX nie był zbyt przyjazny, mówiąc mi, że kopie zapasowe są w rzeczywistości szyfrowane.
llaurén,
Sądzę, że sieciowe kopie zapasowe zaszyfrowanych wehikułów czasu powinny być dość podobne, chyba że oprócz nowego pakietu obrazów dysku zamiast partycjonowania dysku.
drfrogsplat
<ponieważ nie mam jeszcze wystarczającej liczby punktów rep, aby skomentować @G. Odpowiedź Nix> Zarówno dysk rozruchowy z włączoną funkcją FileVault 2 ORAZ zaszyfrowany dysk kopii zapasowej Time Machine są woluminami logicznymi Core Storage ... ale myślę, że FileVault 2 odnosi się konkretnie do funkcji szyfrowania całego dysku, gdzie zamiast wybierania hasła szyfrowania przez użytkownika , losowy klucz odzyskiwania jest generowany i tylko zatwierdzone konta użytkowników mają dostęp do niego podczas logowania i odszyfrowują resztę dysku.
chikpee,