Come posso abilitare la crittografia di Time Machine dalla riga di comando?

13

È possibile abilitare la crittografia per un disco di destinazione Time Machine con uno script o utilizzando la riga di comando?

Un disco Time Machine crittografato è davvero lo stesso di un normale disco, crittografato su disco intero utilizzando FileVault?

Mi piacerebbe automatizzare quanto è conveniente quando si installa un Mac per un nuovo utente. Ciò include i backup. Stiamo usando OS X Mountain Lion.

Ulteriori scoperte:

  • Puoi chiedere a un target di essere crittografato dalla GUI delle preferenze di Time Machine. Questo non lo fa apparire come tale usando il fdesetupcomando. Elencherà comunque come crittografato usandodiskutil cs list
  • Se si crittografa per la prima volta un'unità, la GUI di Prefs di Time Machine dirà "Crittografa backup" per quella voce. Ciò supporterebbe il metodo suggerito di seguito da Rene (tranne che suggerisce di farlo su un'immagine crittografata posizionata su un disco).
mountain-lion  time-machine  filevault  encryption 
llaurén
fonte
Non ho creato una catena di strumenti completa, ma fdesetupè lo strumento per crittografare un volume e, una volta fatto, tmutil setdestinationti permetterebbe di impostare un'unità montata come destinazione per la macchina del tempo.
bmike
Dovresti anche essere in grado di scegliere uno sparsebundle tmutil inheritbackup [machine_directory | sparsebundle], che hai creato in anticipo - forse crittografato conhdiutil -encryption [AES-128|AES-256]
Rene Larsen
@bmike - Per capire se File Vault è davvero lo stesso della crittografia di Time Machine, ho crittografato il mio disco di destinazione di Time machine usando la GUI. Mentre sudo diskutil cs listmostra che il volume è ora crittografato, sudo fdesetup statusmi dice che FileVault è spento.
llaurén,
1
Ricorda: il vault indica un sistema operativo avviabile con chiavi disposte in modo tale che uno o più account utente possano decrittografare l'immagine al momento dell'avvio per eseguire il sistema, mentre Time Machine utilizza semplicemente lo stesso contenitore crittografato di base e lo stesso livello di archiviazione core senza rispetto per gli account utente o l'intero processo di avvio. Time Machine deve solo montare il volume una volta che il sistema è già avviato.
bmike
Mi dispiace di non avere una risposta per te, ma in questo thread si parla di prendere un backup della macchina del tempo esistente e crittografarlo. Discussioni.apple.com/it/4520699
Anil Natha

Risposte:

3

No, scusa chickpee, credo che tu abbia sbagliato.

Un disco Time Machine crittografato è davvero lo stesso di un normale disco, crittografato su disco intero utilizzando FileVault?

Sì. È. Si tratterebbe di "FileVault 2" di cui stiamo parlando, noto anche come CoreStorage, il nuovissimo gestore di volumi logici di Apple. Ciò è diverso rispetto alle precedenti tecnologie TM e FileVault, che si basano su immagini del disco sparse-bundle crittografate con AES (che sono ancora utilizzate per i backup di rete, ecc.). Il processo che inizia in Preferenze di Sistema (in questi giorni) quando si abilita la crittografia del disco (sia su un disco esterno, per Time Machine o sull'unità di avvio per FileVault), a condizione che il disco sia adatto, esegue una conversione online da un tradizionale Tabella delle partizioni GPT in un singolo archivio dati monolitico, con una partizione molto piccola per il firmware CS. I volumi logici (in gruppi di volumi logici) vengono quindi estratti da questo e questi volumi (software) vengono quindi formattati e crittografati in HFS.

Credo che il metodo più semplice per farlo sarebbe quello di:

  • Collega il disco che intendi utilizzare, puliscilo. Spazio libero o una singola partizione HFS +.
  • diskutil cs create/convert (non era / era formattato; non importante) per inizializzare e aggiungere un nuovo LVG
  • diskutil cs createVolume, crea un singolo LV. È possibile abilitare la crittografia a questo punto, con diskutil cs encryptVolume, se si conosce la passphrase che si intende utilizzare; in caso contrario, lascialo non crittografato per ora.
  • diskutil partitionDisk diskX - vedi sotto - I volumi CS appaiono come se fossero dischi completamente autonomi e separati, così partizionerai Disco.

Quindi: montare e sbloccare il volume sulla macchina del nuovo utente. Una volta sbloccato il disco, non dovrebbero esserci problemi ad "adottarlo" per utilizzarlo lì. Se si vuole mettere in uno script di configurazione, credo che sia solo qualcosa di simile tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Questa è la parte di cui sono meno sicuro, ma sono anche sicuro che sia facilmente realizzabile. Non l'ho fatto per Time Machine in quanto tale, ma pre-crittografo i dischi per FileVault in questo modo per tutto il tempo, e il sistema operativo sa solo cosa fare se dopo.

Un disco abilitato per CS adeguatamente adatto verrà visualizzato in questo modo in diskutil (anche se potresti non avere la terza partizione su disco0 se sa che non sarà un'unità di avvio:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 non apparirà mai crittografato, poiché questo è ciò di cui il gestore del volume deve sostanzialmente "avviarsi". disk1 sarà crittografato e richiederà il passcode per il montaggio.

Geoff Nixon
fonte
1

Avrò una risposta.

Il backup di Time Machine crittografato non è lo stesso di FileVault, in realtà è lo stesso che selezionare "Mac OS esteso ([sensibile al maiuscolo / minuscolo], Journaled, crittografato)" in Utility Disco.

Quindi, per automatizzarlo con un'unità esterna, supponendo che sia "disk1", ​​penso che dovrebbe funzionare quanto segue (scusate, non ho un'unità USB di riserva in giro per testare):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
chikpee
fonte
Dovrò controllarlo quando torno al lavoro. OSX non è stato molto gentile nel dirmi che i backup sono in realtà crittografati.
llaurén,
Anche i backup di time machine crittografati basati sulla rete dovrebbero essere abbastanza simili, credo, tranne per la creazione di un nuovo bundle di immagini del disco anziché il partizionamento del disco.
drfrogsplat, il
<dal momento che non ho ancora abbastanza punti rep per commentare @G. La risposta di Nix> Sia un disco di avvio con FileVault 2 abilitato sia un disco di backup di Time Machine crittografato sono volumi logici di archiviazione core ... ma penso che FileVault 2 si riferisca specificamente alla funzionalità di crittografia dell'intero disco in cui, anziché l'utente che seleziona la passphrase di crittografia , viene generata la chiave di ripristino casuale e solo gli account utente approvati sono in grado di accedervi al momento dell'accesso e decrittografare il resto del disco.
Chikpee,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.