ฉันจะเปิดใช้การเข้ารหัส Time Machine บนบรรทัดรับคำสั่งได้อย่างไร

เป็นไปได้หรือไม่ที่จะเปิดใช้งานการเข้ารหัสสำหรับดิสก์เป้าหมาย Time Machine ด้วยสคริปต์หรือใช้บรรทัดคำสั่ง

ดิสก์ Time Machine ที่เข้ารหัสจริงๆแล้วเหมือนกับดิสก์ปกติซึ่งเข้ารหัสแบบเต็มดิสก์โดยใช้ FileVault หรือไม่

ฉันต้องการอัตโนมัติให้มากที่สุดเท่าที่จะสะดวกเมื่อติดตั้ง Mac สำหรับผู้ใช้ใหม่ รวมถึงการสำรองข้อมูล เรากำลังใช้ OS X Mountain Lion

การค้นพบเพิ่มเติม:

คุณสามารถขอให้เป้าหมายถูกเข้ารหัสจาก GUI การกำหนดค่าตามความชอบของ Time Machine สิ่งนี้ไม่ได้ทำให้มันปรากฏขึ้นโดยใช้fdesetupคำสั่ง อย่างไรก็ตามจะแสดงรายการว่ามีการเข้ารหัสโดยใช้diskutil cs list
หากเข้ารหัสไดรฟ์เป็นครั้งแรก Time Machine จะตั้งค่า GUI ล่วงหน้าว่า "เข้ารหัสข้อมูลสำรอง" สำหรับรายการนั้น สิ่งนี้จะสนับสนุนวิธีการที่ Rene แนะนำไว้ด้านล่าง (ยกเว้นเขาแนะนำให้ทำบนภาพที่เข้ารหัสที่วางอยู่บนดิสก์)

— llaurén
แหล่งที่มา

ฉันไม่ได้สร้างห่วงโซ่เครื่องมือที่สมบูรณ์ แต่fdesetupเป็นเครื่องมือในการเข้ารหัสโวลุ่มและเมื่อเสร็จแล้วtmutil setdestinationจะช่วยให้คุณตั้งไดรฟ์ที่เมาท์เป็นปลายทางสำหรับเครื่องย้อนเวลา

— bmike

คุณควรเลือก sparsebundle ด้วยtmutil inheritbackup [machine_directory | sparsebundle]ซึ่งคุณได้สร้างไว้ล่วงหน้า - อาจเข้ารหัสด้วยhdiutil -encryption [AES-128|AES-256]

— Rene Larsen

@bmike - หากต้องการทราบว่า File Vault นั้นเหมือนกันกับการเข้ารหัส ecu Time Machine หรือไม่ฉันเข้ารหัสดิสก์เป้าหมาย Time Machine ของฉันโดยใช้ GUI ในขณะที่sudo diskutil cs listแสดงให้เห็นว่าไดรฟ์ข้อมูลได้รับการเข้ารหัสในขณะนี้sudo fdesetup statusบอกฉันว่า FileVault ปิดอยู่

— llaurén

โปรดทราบ - ไฟล์ห้องนิรภัยหมายถึงระบบปฏิบัติการที่สามารถบู๊ตได้พร้อมคีย์ที่จัดเรียงไว้เพื่อให้บัญชีผู้ใช้อย่างน้อยหนึ่งบัญชีสามารถถอดรหัสภาพในขณะบู๊ตเพื่อใช้งานระบบในขณะที่ Time Machine ใช้คอนเทนเนอร์พื้นฐานเข้ารหัสและเลเยอร์เก็บข้อมูลหลักเดียวกันโดยไม่เกี่ยวข้องกับบัญชีผู้ใช้ หรือกระบวนการบูททั้งหมด Time Machine จะต้องต่อเชื่อมวอลลุ่มเมื่อระบบบู๊ตแล้ว

— bmike

ฉันขอโทษที่ฉันไม่มีคำตอบให้คุณ แต่มีบางคนพูดคุยในหัวข้อนี้เกี่ยวกับการสำรองข้อมูลเครื่องเวลาที่มีอยู่และเข้ารหัสมัน Discussions.apple.com/thread/4520699

— Anil Natha

คำตอบ:

ไม่ขอโทษ chickpee ฉันเชื่อว่าคุณไม่ถูกต้อง

ดิสก์ Time Machine ที่เข้ารหัสจริงๆแล้วเหมือนกับดิสก์ปกติซึ่งเข้ารหัสแบบเต็มดิสก์โดยใช้ FileVault หรือไม่

ใช่. มันคือ. นี่จะเป็น "FileVault 2" ที่เรากำลังพูดถึงหรือที่รู้จักกันในชื่อ CoreStorage ผู้จัดการปริมาณตรรกะใหม่ของ Apple สิ่งนี้แตกต่างจากเทคโนโลยี TM และ FileVault ก่อนหน้าซึ่งอิงจากอิมเมจดิสก์ที่เข้ารหัสแบบ AES ที่เข้ารหัส AES (ซึ่งยังคงใช้สำหรับการสำรองข้อมูลเครือข่ายเป็นต้น) กระบวนการที่เริ่มต้นในการตั้งค่าระบบ (วันนี้) เมื่อคุณเปิดใช้งานการเข้ารหัสดิสก์ (ไม่ว่าจะเป็นบนดิสก์ภายนอกสำหรับ Time Machine หรือบนไดรฟ์สำหรับบูตสำหรับ FileVault) หากดิสก์มีความเหมาะสมจะทำการแปลงออนไลน์จากแบบดั้งเดิม ตารางพาร์ติชัน GPT ไปยังที่เก็บข้อมูลเสาหินเดียวโดยมีพาร์ติชันเล็ก ๆ สำหรับ CS เฟิร์มแวร์ โลจิคัลวอลุ่ม (ในกลุ่มโลจิคัลวอลุ่ม) จะถูกแกะสลักออกจากนี้และวอลุ่ม (ซอฟต์แวร์) เหล่านี้จะถูกจัดรูปแบบและเข้ารหัส HFS

ฉันเชื่อว่าวิธีที่ตรงไปตรงมาที่สุดในการทำเช่นนี้คือ:

แนบดิสก์ที่คุณจะใช้เช็ดออก พื้นที่ว่างหรือพาร์ติชัน HFS + เดียว
diskutil cs create/convert (ไม่ได้ถูกจัดรูปแบบ / ไม่สำคัญ) เพื่อเริ่มต้นและเพิ่ม LVG ใหม่
diskutil cs createVolumeสร้าง LV เดี่ยว คุณสามารถเปิดใช้งานการเข้ารหัส ณ จุดนี้diskutil cs encryptVolumeหากคุณทราบข้อความรหัสผ่านที่คุณต้องการใช้ ถ้าไม่ปล่อยให้มันไม่ได้เข้ารหัสตอนนี้
diskutil partitionDisk diskX - ดูด้านล่าง - ไดรฟ์ข้อมูล CS จะปรากฏขึ้นราวกับว่าพวกเขาเป็นอิสระอย่างสมบูรณ์ดิสก์แยกดังนั้นคุณ partitiondisk

จากนั้น: เมานต์และปลดล็อคระดับเสียงในเครื่องของผู้ใช้ใหม่ของคุณ เมื่อปลดล็อคดิสก์แล้วไม่ควรมีปัญหาในการ 'ปรับใช้' เพื่อใช้งานที่นั่น หากคุณต้องการที่จะนำมันเป็นสคริปต์การกำหนดค่าผมเชื่อว่ามันเป็นเพียงสิ่งที่ชอบ,tmutil -a /Volumes/Foo tmutil startbackup -ad disk...นี่คือส่วนที่ฉันแน่ใจน้อยที่สุด แต่ฉันก็มั่นใจว่ามันเป็นไปได้อย่างง่ายดาย ฉันไม่ได้ทำสิ่งนี้เพื่อ Time Machine ต่อตัวเอง แต่ฉันได้เข้ารหัสดิสก์ล่วงหน้าสำหรับ FileVault แบบนี้ตลอดเวลาและระบบปฏิบัติการ OS ก็รู้ว่าจะทำอย่างไรถ้าหลังจากนั้น

CS-enabled-disk ที่เหมาะสมอย่างเหมาะสมจะปรากฏขึ้นเช่นนี้ใน diskutil (แม้ว่าคุณอาจไม่มีพาร์ติชันที่สามบน disk0 หากรู้ว่ามันไม่ได้เป็นบูทไดรฟ์:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 จะไม่ปรากฏเป็นรหัสเข้ารหัสเนื่องจากนี่คือสิ่งที่ตัวจัดการไดรฟ์ข้อมูลโดยทั่วไปต้องปิดการบูต disk1 จะถูกเข้ารหัสและจะต้องใช้รหัสผ่านในการติดตั้ง

— เจฟฟ์นิกสัน
แหล่งที่มา

ฉันจะมีโอกาสได้รับคำตอบ

การสำรองข้อมูล Time Machine ที่เข้ารหัสนั้นไม่เหมือนกับ FileVault จริง ๆ แล้วมันเหมือนกับการเลือก "Mac OS Extended ([คำนึงถึงตัวพิมพ์ใหญ่ - เล็ก], Journaled, เข้ารหัส)" ใน Disk Utility

ดังนั้นในการทำให้เป็นอัตโนมัติด้วยไดรฟ์ภายนอกโดยสมมติว่าเป็น "disk1" ฉันคิดว่าสิ่งต่อไปนี้ควรใช้งานได้ (ขออภัยไม่มีไดรฟ์ USB สำรองสำหรับทดสอบ):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]

— chikpee
แหล่งที่มา

ฉันจะต้องตรวจสอบว่าเมื่อฉันกลับมาทำงาน OSX ไม่ได้เป็นมิตรมาก ๆ ในการบอกฉันว่าการสำรองข้อมูลนั้นเป็นความจริงแล้วมีการเข้ารหัส

— llaurén

ฉันคิดว่าการสำรองข้อมูลไทม์แมชชีนตามการเข้ารหัสบนเครือข่ายน่าจะคล้ายกันมากเช่นกันยกเว้นการสร้างชุดอิมเมจของดิสก์ใหม่แทนที่จะแบ่งพาร์ติชันดิสก์

— drfrogsplat

<เนื่องจากฉันยังไม่มีคะแนนตัวแทนมากพอที่จะแสดงความคิดเห็นใน @G คำตอบของ Nix> ทั้งดิสก์สำหรับบูตที่เปิดใช้งาน FileVault 2 และดิสก์สำรองข้อมูล Time Machine ที่เข้ารหัสนั้นเป็นโลจิคัลวอลุ่ม Core Storage ... แต่ฉันคิดว่า FileVault 2 อ้างถึงคุณสมบัติการเข้ารหัสดิสก์แบบเต็มโดยเฉพาะแทนที่จะเป็นผู้ใช้ที่เลือกข้อความรหัสผ่านการเข้ารหัส รหัสกู้คืนแบบสุ่มจะถูกสร้างขึ้นและมีเพียงบัญชีผู้ใช้ที่ได้รับการอนุมัติเท่านั้นที่สามารถเข้าถึงได้เมื่อเข้าสู่ระบบและถอดรหัสส่วนที่เหลือของดิสก์

— chikpee