Perché FileVault non funziona su un volume RAID?

16

Al lavoro, ho detto al mio collega che non era possibile abilitare Filevault su un volume RAID. Fu sorpreso e mi chiese il motivo tecnico.

Quindi vorrei sapere. È strano perché Filevault è a livello software mentre RAID è a livello hardware.

filevault  raid 
Benoit
fonte
Stai parlando di un volume RAID creato da Utility Disco qui suppongo?
Nohillside
@patrix Sì, ad esempio, 2 HDD interni impostati in RAID-1 in un Mac Mini.
Benoit,

Risposte:

2

Entrambi utilizzano la stessa struttura di dati per creare un volume all'interno di un volume.

Uno crea un wrapper e i dati presenti sul disco vengono mescolati / mappati attraverso una funzione crittografica in modo che gli stessi dati scritti su due blocchi diversi finiscano fisicamente diversi sull'unità. Questo è FileVault 2.

L'altro crea un wrapper e i dati sul disco vengono specchiati altrove o mappati tramite una funzione di checksum suddivisa o condivisa in modo che i dati sull'unità facciano fisicamente parte di una somma di controllo o di una parte di un blocco logico nel filesystem. Questo è RAID.

Gli strumenti RAID e di crittografia di Apple non sono gli unici che potresti usare, ma è così che sono attualmente progettati - per escludersi a vicenda. Mi aspetto che ciò non cambi sui sistemi basati su HFS + da quando Apple ha annunciato il nuovo APFS per Sierra (macOS 10.12) che consentirà opzioni di crittografia dello storage significativamente più robuste e di volume fisico come COW, istantanee, crittografia per file, ecc ...

bmike
fonte
Dovresti davvero eliminare questa risposta, in quanto contiene quasi nessun dato ed è per lo più senza senso. Non sto cercando di essere scortese, e mi scuso se preso come tale, non riesco proprio a pensare a un modo più diplomatico di dirlo. Scusa per la durezza.
DanielSmedegaardBuus
Non preoccuparti @DanielSmedegaardBuus poiché l'archiviazione core è terminata e c'è una buona risposta, penso che questo possa rimanere finché l'OP lo desidera selezionato. Non mi sento a mio agio nel cambiare la risposta dopo che a meno che non causi danni e non vedo una modifica che possa correggere la differenza di opinione. Credo che nessuno dovrebbe farlo, non allora e certamente non ora. Sono anche felice per la risposta esaustiva di Maynard su ciò che è possibile anche se è limitato nell'uso o se alcune persone non sono d'accordo sul fatto che valga la pena farlo.
bmike
26

La risposta precedente che ho dato qui era sbagliata (come la risposta di bmike).

La risposta precedente che ho dato è stata che se hai questo problema, una soluzione alternativa è quella di creare un'immagine disco crittografata che copra l'intero set AppleRaid. Funziona, in teoria, ma è così orribilmente lento (come più di 10 volte più lento dell'accesso al disco grezzo) che è sostanzialmente inutilizzabile, il che mi ha portato a guardare l'utilità della riga di comando diskutil in modo più dettagliato. E cosa sai --- PUOI fare quello che vuoi, ci vuole solo un po 'di lavoro. Devi farlo attraverso la riga di comando, e anche lì non puoi farlo con i comandi più semplici, ma può essere fatto ed è supportato da Apple legittimo al 100%, non uno strano hack.

Quindi, supponiamo che tu abbia il tuo volume di Apple Raid, che hai creato in qualche modo, tramite Utility Disco o dalla riga di comando.

Nota: questo processo formatterà il RAID e lo crittograferà. Eseguire il backup di tutti i dati che si desidera conservare (almeno due volte) prima di procedere.

La prima cosa di cui abbiamo bisogno è conoscere l'identificatore del sistema operativo di basso livello per il volume di interesse di Apple Raid, quindi digitare:

diskutil list

che ti fornirà un elenco dei vari dischi rigidi, partizioni e dischi rigidi logici (ad es. volumi RAID Apple) sul tuo sistema. Guarda l'elenco e scopri, in base al nome, alle dimensioni, qualunque sia, quale sia il volume RAID Apple che desideriamo crittografare. Assicurati di ottenere l'identificatore DESTRO, altrimenti distruggerai un altro volume. In questo caso, è consigliabile scollegare (manualmente --- estrarre i cavi!) Tutti i dischi rigidi non rilevanti per il problema, compresi, ovviamente, i dischi di backup!

Quindi l'elenco ci dice che il dispositivo di interesse è, diciamo, disk7

Ora vogliamo creare un wrapper LVG (Logical Volume Group) Core Storage attorno al dispositivo. Non ho intenzione di affermare di aver compreso la terminologia di Core Storage e perché usano una parola diversa per tutto rispetto ad Apple RAID, ma per quanto ne so, LVG è essenzialmente la versione di Core Storage di un disco rigido logico. Quindi digitare:

diskutil cs createLVG BackupImacLVG disk7

BackupImacLVG è il nome che diamo al disco rigido logico che stiamo creando. Questo comando richiederà alcuni secondi, quindi sputa una lunga stringa che è il "nome" (l'UUID) dell'LVG che abbiamo creato. Lo usiamo nel prossimo passaggio.

Non abbiamo finito. Ora abbiamo bisogno di creare l'equivalente di una partizione (che Core Storage chiama un volume logico) su questo disco rigido logico. Ecco il prossimo comando:

diskutil cs createLV 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B JHFS+ BackupImac 100% -stdinpassphrase

Nel comando sopra: 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B è l'UUID LVG che ci è stato appena detto (assicurati di usare il tuo) e JHFS + è il file system che vogliamo creare nella partizione. BackupImac sarà il nome del volume creato in questa partizione. 100% dice quanto spazio vogliamo dare a questa partizione. (Esistono diversi modi per specificare le dimensioni, ma la maggior parte delle persone utilizzerà probabilmente il 100%). -stdinpassphrase dice che vogliamo usare la crittografia.

La riga di comando visualizzerà quindi un prompt di:

Passphrase for new volume:

Inserisci la password e il gioco è fatto. (Nota nessuna utile interfaccia utente di Apple FileVault qui! Nessuna offerta per salvare la password per te con Apple, nessuna seconda richiesta per la password per assicurarti di averla digitata correttamente!)

Il risultato finale di tutto ciò è esattamente ciò che ti aspetteresti e ti aspetti. Un volume crittografato con tutte le prestazioni del precedente volume AppleRAID. (E se guardi la pagina man diskutil, vedrai che elencano esplicitamente i volumi Apple RAID come target supportati per diskutil cs createLVG, quindi questo non è uno strano caso limite che non è ufficialmente supportato.)

Disk Utility.app non aggiorna la sua UI (è davvero un male a questo proposito --- è stato un problema in corso in OSX) quindi chiudilo e riavvialo. Ora vedrai, insieme alle sezioni RAID, un nuovo "disco rigido" chiamato BackupImacLVG (o come lo hai chiamato) insieme a una partizione denominata BackupImac (o come lo hai chiamato), con un formato di "Partizione logica crittografata" .

Una cosa da tenere presente. Il disco viene montato durante il processo di creazione senza richiedere una password (è stata immessa la password nella riga di comando).

Al termine, potresti voler smontare il volume, spegnere i dischi rigidi del volume AppleRAID, riaccenderli e vedere cosa succede. Se hai fatto tutto correttamente, una volta che tutte le sezioni di Apple RAID sono state girate e sono state rilevate dal sistema operativo, sullo schermo dovrebbe apparire una finestra che ti chiede la password in modo che il disco possa essere montato.

Maynard Handley
fonte
Eccezionale che hai identificato un metodo. Lo desidero da un po 'di tempo ormai. Non sono sicuro che al momento sono disposto a immaginare il mio set RAID in modo da poterlo formattare e poi copiarlo, è una specie di set enorme. Hmmm ..
James T Snell
Quando si inserisce la passphrase dalla riga di comando non c'è conferma. Questo è un po 'sollevante, ma in seguito puoi accedere alla GUI DiskUtility e fare clic su "Cancella" sulla partizione per ottenere la bella richiesta doppia password con misuratore di complessità. Grazie per aver documentato questo processo!
dacc
@Maynard Handley - funzionerà per RAID0 in Yosemite? Grazie.
aperto il
Posso confermare, per tutti gli interessati, che questo funziona in El Capitan (10.11) e per i volumi di Time Machine.
Matt,
3
Confermo il successo di macOS 10.12 Sierra (testato su Mac Pro). Ho creato un mirror AppleRAID, HFSX con journaling crittografato (HFSX distingue tra maiuscole e minuscole HFS +). Utility Disco si bloccherebbe poco dopo aver completato questi passaggi, quindi ho finito per: 1.) riavviare il Mac, 2.) accedere al Finder, 3.) avviare Disk Utility con successo. Ho anche rimosso un membro (unità fisica) dal mirror RAID e testato per confermare che il membro rimanente (unità) si è comportato come previsto. Lo ha fatto: dopo aver riavviato il Mac e aver effettuato l'accesso, il singolo membro non poteva montare fino a quando non ho inserito la passphrase corretta. Grazie.
user3051849
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.