Czy FileVault 2 w Lion ma jakieś inne różnice w porównaniu do starej wersji FileVault w poprzednich wersjach systemu? Czy korzystanie z nowej wersji wiąże się z dodatkowymi korzyściami?
źródło
Czy FileVault 2 w Lion ma jakieś inne różnice w porównaniu do starej wersji FileVault w poprzednich wersjach systemu? Czy korzystanie z nowej wersji wiąże się z dodatkowymi korzyściami?
Pożyczki na podstawie recenzji Johna Siracusa Lion ...
FileVault 2 to system szyfrowania całego dysku, w przeciwieństwie do rozwiązania „przechowuj folder domowy w zaszyfrowanym obrazie dysku”. Jest zaimplementowany jako warstwa systemu plików poniżej rzeczywistego woluminu odblokowanego podczas uruchamiania systemu. Jeśli znasz LVM , jest tak samo. Za każdym razem, gdy mijasz hasło, wszystko wygląda tak samo jak reszta systemu.
Jak wspomniał Steve, prace nad szyfrowaniem mogą być wspomagane przez wyspecjalizowane instrukcje procesora i działają całkowicie w tle. Zaletą jest to, że możesz włączyć szyfrowanie dysku na pełnym dysku, a wszystko zostanie zrobione w wolnym czasie (możesz go zamknąć, przywrócić z powrotem itp. I wszystko będzie kontynuowane).
Konta gościa bez hasła nie można już tworzyć, ponieważ cały dysk jest szyfrowany niż tylko katalog domowy użytkownika. To smutne, że nie mogłem znaleźć żadnych informacji na ten temat w artykule kb w Apple.
Nowy Filevault wydaje się narzucać o wiele mniej ograniczeń niż stara wersja. Na przykład nie musisz się wylogowywać, aby wehikuł czasu działał, a wszystkie demony udostępniania wydają się działać poprawnie (niektóre z nich zostały wyłączone, gdy funkcja filefault została włączona, jeśli dobrze pamiętam. Myślę, że udostępnianie w sieci było wśród nich, co mój laptop stał się trochę bezużyteczny jako platforma programistyczna dla aplikacji internetowych :)).
Jednym z problemów z Filevault 2 jest to, że nie możesz ssh na maszynie, dopóki nie wprowadzisz hasła lokalnie, ponieważ proces uruchamiania nie może się rozpocząć, dopóki zaszyfrowany dysk nie zostanie odblokowany.
źródło
Jestem pewien, że jest jeszcze kilka innych. W tym artykule pomocy technicznej Apple powinna znaleźć się odpowiedź na pozostałe pytania.
http://support.apple.com/kb/HT4790
źródło
Awarie FileVault 2 LVG mogą być nieodwracalne
Ze strony podręcznika dla
fsck_cs
:...
Problemy z FileVault 1
fsck_hfs (używany przez Narzędzie dyskowe) jest rozwijany od ponad dziesięciu lat i jest w stanie naprawić większość problemów z JHFS + stosowanym przez FileVault 1.
W przypadku wystąpienia problemu,
fsck_hfs
którego nie można naprawić, istnieje wiele alternatywnych narzędzi stron trzecich.Podstawowe problemy z pamięcią masową w FileVault 2
fsck_cs
(używany także przez Disk Utility) po raz pierwszy pojawił się wraz z CoreStorage w Mac OS X 10.7.0. Niespójności mogą być nieodwracalne.W przypadku braku alternatyw dla fsck_cs
Jeśli wystąpi awaria LVG i
fsck_cs
nie będzie można wykonać niezbędnych napraw, wolumin startowy nie zostanie podłączony. W tej sytuacji możesz destrukcyjnie sformatować dysk i ponownie zainstalować Mac OS X. (Samo użycie Recovery Time Time Machine nie zapewni Apple_Boot Recovery HD wymaganego dla FileVault 2.)źródło
Jedną wadą jest to, że wcześniej można było zaszyfrować poszczególne konta użytkowników, a teraz można szyfrować tylko cały dysk. Jeśli szyfrujesz cały dysk, musisz również odszyfrować cały dysk za każdym razem, gdy korzystasz z komputera. Oznacza to, że po uruchomieniu komputera cały dysk jest dostępny dla złośliwego oprogramowania, natomiast zanim będzie można osobno zalogować się (i wkrótce ponownie wylogować) na konta o krytycznym znaczeniu dla bezpieczeństwa.
Podejrzewam, że nadal możesz używać zaszyfrowanych obrazów dysków na FileVault do naprawdę ważnych danych.
Innym problemem może być Time Machine. Podczas gdy wcześniej katalogi użytkowników FileVault były również przechowywane w postaci zaszyfrowanej na woluminie kopii zapasowej, wydaje się, że już tak nie jest.
Czy ktoś wie, czy Time Machine obsługuje teraz również szyfrowanie całego dysku (z dotychczasowych raportów wydaje się, że nie jest ono włączone dla dysków zewnętrznych, przynajmniej nie poprzez GUI)?
Aktualizacja: Najwyraźniej Time Machine nie obsługuje szyfrowania całego dysku: czy woluminy Time Machine można łatwo zaszyfrować za pomocą FileVault 2?
źródło
Dla wielu administratorów: sam FileVault 2 jest mniej bezpieczny niż FileVault 1
Podobne do odpowiedzi Thilo. Ta logika dotyczy dowolnego komputera z dwoma lub więcej administratorami.
FileVault 1 w Snow Leopard i Lion
Istnieje dobry poziom bezpieczeństwa, aby uniemożliwić osobie bez hasła głównego dostęp do danych innej osoby.
FileVault 2 sam
Każdy administrator może przeglądać, kopiować, edytować dane wszystkich innych użytkowników.
Przykład
Dwóch partnerów biznesowych korzysta z jednego komputera, obaj administratorzy. Jeden z dwóch partnerów może chcieć zachować prywatność. Partner posiadający hasło główne, który chce zachować prywatność, nie przekazuje tego hasła drugiemu partnerowi.
Dzięki samej FileVault 2 w takich sytuacjach bezpieczeństwo i prywatność są łatwo ignorowane - sudo przychodzi natychmiast na myśl.
Porównanie
Szyfrowanie ZFS w Oracle Solaris , które może mieć zastosowanie do katalogów domowych użytkowników.
Obejście
Jeśli użytkownik FileVault 2 w powyższej sytuacji wymaga dodatkowego bezpieczeństwa, osoba ta może:
Alternatywnie, osoba ta może wykorzystać tylko część istniejącego dysku… ale zarządzanie partycjami w świecie coreStorage i wokół niego jest trudne , więc dla długoterminowej prostoty: zaleciłbym inwestycję w dodatkowy / osobny dysk.
/ var / foldery
Spodziewaj się, że niektóre dane użytkownika zostaną zapisane w podkatalogu
/private/var/folders
- wszyscy administratorzy będą mieli dostęp do tych danych. Rozwiązanie tego problemu wykracza poza zakres tego pytania.źródło
Zarządzanie partycjami w świecie coreStorage i wokół niego jest trudne
W przypadku dysku korzystającego z FileVault 2 lub dowolnej innej aplikacji Core Storage dodanie lub zmiana rozmiaru partycji za pomocą Narzędzia dyskowego może być niemożliwe.
W trybie Super User:
Spodziewaj się, że strona podręcznika systemowego diskutil (8) firmy Apple dla systemu Mac OS X zostanie zaktualizowana do wersji 10.7 w odpowiednim czasie. W międzyczasie, jeśli już zainstalowałeś Lion, przeczytaj stronę podręcznika w Terminalu.
źródło
FileVault 1 można wyłączyć dla poszczególnych osób
Dla każdego użytkownika korzystającego z FileVault 1:
Włączonych użytkowników FileVault 2 nie można wyłączyć
W Mac OS X 10.7 (kompilacja 11A511) możesz zezwolić użytkownikowi na odblokowanie woluminu startowego, ale po włączeniu:
Wyłącz zdolność użytkownika do odblokowania woluminu FileVault 2 podczas uruchamiania / logowania
źródło
Lion Recovery Disk Assistant nie obsługuje FileVault 2
Wersja 1.0 asystenta używana z FileVault 2 w Mac OS X 10.7 (kompilacja 11A511) tworzy system operacyjny odzyskiwania na dysku flash USB. Jednak:
Znalazłem ten problem z dwoma różnymi komputerami.
źródło
Wpływ FileVault 1 na wydajność
Z mojego doświadczenia wynika, że wpływ jest zwykle do przyjęcia. Chciałbym zobaczyć odpowiednie testy porównawcze.
Porównanie wydajności
In Ask Different: Speed of old Filevault vs. new Lion Full disk encrypting
Wpływ FileVault 2 na wydajność
Apple sugeruje:
- strona w pamięci podręcznej 2011-07-28 .
AnandTech - Powrót do systemu Mac: OS X 10.7 Przegląd Lion: wydajność FileVault obserwuje:
Chciałbym, aby recenzenci AnandTech ponownie ważyli rzeczy szerzej, obejmując co najmniej:
Więcej obserwacji na temat procesora, kernel_task et cetera w Re: [Fed-Talk] Lion FileVault (2011-07-22) ( najważniejsze ).
źródło
FileVault 2 zapobiega zdalnemu restartowi
Nie należy oczekiwać zdalnego dostępu do okna logowania EFI.
źródło
Wyłączenie FileVault 1 może pogorszyć wydajność
Dwa rozsądne rozmiary (jeden katalog domowy), z dobrym zestawem B-drzewek, są prawdopodobnie łatwiejsze do zarządzania przez system - i prawie na pewno działają lepiej - niż jeden kolosalny wolumin z atrybutami i katalogami B-drzewek, które są duże i rozdrobnione.
Wyjaśnienie
FileVault 1 korzysta z pasm o zoptymalizowanym rozmiarze.
W zależności od zawartości katalogu domowego porzucenie tych pasm na rzecz większej liczby mniejszych plików może znacznie zwiększyć rozmiary i fragmentację następujących krytycznych obszarów woluminu startowego:
Powiększone B-drzewa mogą być nieoczekiwanie problematyczne
To, co następuje, jest zdecydowanie poza zakresem pytania otwierającego i jest względnie techniczne, ale dla każdego użytkownika komputera z (a) ograniczoną pamięcią i (b) znaczną liczbą plików w katalogu domowym i poza nim, warto o tym pomyśleć wcześniej porzucanie FileVault 1.
Jeśli suma rozmiarów drzewek B jest zbyt duża i jeśli wymagana jest naprawa, narzędzia innych firm na twoim komputerze mogą nie być w stanie naprawić uszkodzeń.
Jeśli wolumin jest nieodwracalny przez fsck_hfs - najwyraźniej za pomocą Narzędzia dyskowego, mniej oczywiście za każdym razem, gdy system napotka brudny system plików - użytkownik może zwrócić się do szanowanego narzędzia zewnętrznego.
Przykład
Zetknąłem się z sytuacją, w której suma rozmiarów drzewek B - w stosunku do pamięci fizycznej - była zbyt wielka, aby narzędzie innej firmy działało zgodnie z wymaganiami woluminu kopii zapasowych zaszyfrowanych w Core Storage, którego nie można było naprawić
fsck_hfs
. Ponieważ mój MacBookPro5,2 może zająć nie więcej niż 8 GB, więc przez pewien czas ten wolumin był tylko do odczytu.Mogłem zabrać wolumin z komputerem lub bez niego do usługodawcy w celu uzyskania uwagi w środowisku z większą ilością pamięci. Jednak ze względów bezpieczeństwa nie powinienem przekazywać stronom trzecim - jakkolwiek zaufanym - hasła lub klucza do niektórych rodzajów woluminów.
W końcu i nieoczekiwanie,
fsck_hfs
w Lion naprawił wolumin beze mnie za pomocą Narzędzia dyskowego, być może dzięki mnie eksperymentalnie (ryzykownie?) Usunąłem wolumin ze świata coreStorage (cofanie, całkowite przekształcanie do tyłu), będąc w stanie nieodwracalnym i gotowym do odczytu . Był to dla mnie przyjemny wynik i aprobata dla Apple za jakość i możliwości 10.7 (kompilacja 11A511), ale powinno to stanowić ostrzeżenie dla innych czytelników.źródło
Niektóre instalacje nie mogą korzystać z FileVault 2
Nie wszystkie instalacje Lion zyskują ukryty
Apple_Boot
Recovery HD wymagany dla FileVault 2 - OS X Lion: „Niektóre funkcje Mac OS X Lion nie są obsługiwane dla dysku (nazwa woluminu)” pojawia się podczas instalacji (2011-07-21) .Jeśli tak się stanie - i jeśli opuścisz FileVault 1 przed aktualizacją do Lion - Twój komputer Mac z Lion będzie mniej bezpieczny .
The Rada opublikowane przez Macworld przed wydaniem Lion nadal zaleca użytkownikom, aby wyłączyć FileVault 1 przed zainstalowaniem lwa. Macworld nierzadko udziela porad, które są kontrowersyjne, ale w tym przypadku zdecydowanie się nie zgadzam.
źródło
Lion sprawia, że tworzenie domów FileVault 1 jest trudniejsze
Najłatwiej jest stworzyć dom FileVault 1 w Snow Leopard przed aktualizacją do Lion.
Jeśli bez systemu Snow Leopard: możesz użyć Lwa, aby stworzyć dom, ale jest kilka kroków do rutyny.
Czy po wyłączeniu Filevault 1 można włączyć go ponownie w programie Lion?
źródło
Łącząc FileVault 2 z FileVault 1, możesz mieć dwuwarstwowe zabezpieczenia. Pamiętaj, że spowoduje to problemy z TimeMachine i udostępnianiem. Dlatego te dwuwarstwowe zabezpieczenia są zalecane tylko dla konta, na którym TimeMachine jest wyłączony!
Na moim komputerze mam codzienne konto do pracy, konto FileVault 1 (wyłączone z TimeMachine) i konto administratora. Kiedy aktywowałem FileVault 2 z mojego codziennego konta służbowego (używając hasła konta administratora), spodziewałem się, że FileVault 1 zniknie, ponieważ Apple mówi w OS X Lion: O FileVault 2 : «Jeśli wyłączysz starszą FileVault, karta Starsza FileVault zniknie i możesz następnie włączyć OS X Lion's FileVault 2 ».
Kiedy wszystko zostało skonfigurowane FileVault 2, byłem bardzo zaskoczony, że mój FileVault 1 nadal ma szyfrowanie FileVault 1. Miałem więc dwuwarstwowe zabezpieczenia: starsze konto FileVault 1 na komputerze FileVault 2. Wszystko, czego potrzebowałem, to konto inne niż FileVault 1, z którego można włączyć FileVault 2.
W końcu ponownie wyłączyłem FileVault 2. Lubię mieć dostęp do systemu plików OS X z systemu Windows Bootcamp. W FileVault 2 nie było to już możliwe. Nadal mam konto FileVault 1 i nadal działa dobrze, nawet w 10.8.1.
źródło