FileVault 2 in Lion มีความแตกต่างอื่น ๆ เมื่อเทียบกับรุ่นเก่า FileVault ในระบบรุ่นก่อนหน้าหรือไม่? มีประโยชน์เพิ่มเติมสำหรับการใช้เวอร์ชันใหม่หรือไม่
FileVault 2 in Lion มีความแตกต่างอื่น ๆ เมื่อเทียบกับรุ่นเก่า FileVault ในระบบรุ่นก่อนหน้าหรือไม่? มีประโยชน์เพิ่มเติมสำหรับการใช้เวอร์ชันใหม่หรือไม่
คำตอบ:
ยืมมาอย่างหนักจากบทวิจารณ์ของ John Siracusa's Lion ...
FileVault 2 เป็นระบบเข้ารหัสดิสก์ทั้งระบบซึ่งตรงข้ามกับโซลูชัน 'เก็บโฟลเดอร์บ้านของคุณในดิสก์อิมเมจเข้ารหัส' มันนำมาใช้เป็นเลเยอร์ระบบไฟล์ด้านล่างของปริมาณจริงที่คุณปลดล็อคในเวลาบูตระบบ หากคุณคุ้นเคยกับLVMเป็นวิธีเดียวกัน เมื่อใดก็ตามที่คุณผ่านการล็อครหัสผ่านทุกอย่างจะเหมือนกันกับระบบอื่น ๆ
ดังที่สตีฟกล่าวถึงงานการเข้ารหัสสามารถได้รับความช่วยเหลือจากคำแนะนำของโปรเซสเซอร์เฉพาะทางและทำงานในพื้นหลังทั้งหมด สิ่งที่ดีคือคุณสามารถเปลี่ยนการเข้ารหัสดิสก์ในไดรฟ์เต็มรูปแบบและทุกอย่างจะทำในยามว่าง (คุณสามารถปิดมันนำมาสำรอง ฯลฯ และทุกอย่างจะดำเนินการต่อ)
ไม่สามารถสร้างรหัสผ่านบัญชี 'แขก' ได้อีกต่อไปเนื่องจากดิสก์ทั้งหมดได้รับการเข้ารหัสมากกว่าแค่ไดเรกทอรีหลักของผู้ใช้ เป็นเรื่องน่าเศร้าที่ฉันไม่สามารถหาข้อมูลใด ๆ เกี่ยวกับบทความ kb ใน Apple เกี่ยวกับเรื่องนี้
Filevault ใหม่ดูเหมือนจะทำให้คุณมีข้อ จำกัด น้อยลงกว่าเวอร์ชั่นเก่า คุณไม่จำเป็นต้องออกจากระบบเพื่อให้ไทม์แมชชีนทำงานได้และ daemons การแชร์ทั้งหมดทำงานได้ดี (บางอันถูกปิดการใช้งานเมื่อเปิดใช้งาน Filefault หากฉันจำได้ถูกต้องฉันคิดว่าการแบ่งปันเว็บเป็นหนึ่งในนั้น ทำให้แล็ปท็อปของฉันไร้ประโยชน์เป็นแพลตฟอร์มการพัฒนาสำหรับเว็บแอปพลิเคชัน :))
ปัญหาหนึ่งของ Filevault 2 คือคุณไม่สามารถ ssh ในเครื่องได้จนกว่าคุณจะป้อนรหัสผ่านในเครื่องเนื่องจากกระบวนการเริ่มต้นไม่สามารถเริ่มได้จนกว่าไดรฟ์ที่เข้ารหัสจะถูกปลดล็อก
ฉันแน่ใจว่ามีอีกไม่กี่ บทความสนับสนุนของ Apple นี้ควรตอบคำถามที่เหลือของคุณ
ยูทิลิตี้ fsck_cs ตรวจสอบและซ่อมแซมข้อมูลเมตาของกลุ่มวอลุ่ม CoreStorage
...
ข้อบกพร่อง
fsck_cs ไม่ทำการตรวจสอบความถูกต้องครบถ้วนสมบูรณ์และไม่สามารถแก้ไขความไม่สอดคล้องหลายประการที่ตรวจพบได้
fsck_hfs (ใช้โดย Disk Utility) ได้รับการพัฒนามานานกว่าสิบปีและสามารถซ่อมแซมปัญหาส่วนใหญ่ที่มี JHFS + ตามที่ FileVault 1 ใช้
หากคุณพบปัญหาที่fsck_hfsไม่สามารถซ่อมแซมได้
fsck_cs(ใช้งานโดย Disk Utility) ปรากฏตัวครั้งแรกพร้อมกับ CoreStorage ใน Mac OS X 10.7.0 ความไม่สอดคล้องกันอาจไม่สามารถแก้ไขได้
หากความล้มเหลวของ LVG เกิดขึ้นและfsck_csไม่สามารถทำการซ่อมแซมที่จำเป็นได้ปริมาณการเริ่มต้นของคุณจะไม่ถูกเมานต์ ในสถานการณ์เช่นนี้คุณสามารถฟอร์แมตดิสก์ใหม่และติดตั้ง Mac OS X ใหม่อีกครั้ง (การใช้ Time OS Time Machine เพียงอย่างเดียวจะไม่ให้ Apple_Boot Recovery HD ที่จำเป็นสำหรับ FileVault 2)
ข้อเสียเปรียบอย่างหนึ่งที่ฉันเห็นคือก่อนที่คุณจะสามารถเข้ารหัสบัญชีผู้ใช้แต่ละบัญชีได้ในขณะนี้คุณสามารถเข้ารหัสได้ทั้งดิสก์ หากคุณเข้ารหัสดิสก์ทั้งหมดคุณต้องถอดรหัสดิสก์ทั้งหมดทุกครั้งที่คุณใช้คอมพิวเตอร์ ซึ่งหมายความว่าเมื่อคอมพิวเตอร์บูตเครื่องดิสก์ทั้งหมดจะสามารถเข้าถึงมัลแวร์ได้ในขณะที่ก่อนที่คุณจะสามารถลงชื่อเข้าใช้ (และอีกไม่นานจะออกจาก) บัญชีแยกต่างหากที่สำคัญต่อความปลอดภัย
ฉันสมมติว่าคุณยังคงสามารถใช้ดิสก์อิมเมจเข้ารหัสที่ด้านบนของ FileVault สำหรับข้อมูลที่สำคัญจริงๆ
ปัญหาอื่นอาจเป็น Time Machine ในขณะที่ก่อนที่ไดเรกทอรีของผู้ใช้ FileVault จะถูกจัดเก็บด้วยการเข้ารหัสบนโวลุ่มการสำรองข้อมูลซึ่งดูเหมือนจะไม่เป็นเช่นนั้นอีกต่อไป
ไม่มีใครรู้ว่าตอนนี้ Time Machine รองรับการเข้ารหัสทั้งดิสก์หรือไม่ (จากรายงานจนถึงตอนนี้ดูเหมือนว่าจะไม่เปิดใช้งานสำหรับไดรฟ์ภายนอกอย่างน้อยไม่ผ่าน GUI)
อัปเดต: เห็นได้ชัดว่า Time Machine ไม่สนับสนุนการเข้ารหัสทั้งดิสก์: สามารถ Time Volume เข้ารหัสได้อย่างง่ายดายด้วย FileVault 2
คล้ายกับคำตอบที่เสนอโดย Thilo ตรรกะนี้ใช้กับคอมพิวเตอร์ที่มีผู้ดูแลระบบสองคนขึ้นไป
มีระดับความปลอดภัยที่ดีในการป้องกันบุคคลที่ไม่มีรหัสผ่านหลักจากการเข้าถึงข้อมูลของบุคคลอื่น
ผู้ดูแลระบบใด ๆ สามารถดูคัดลอกแก้ไขข้อมูลของผู้ใช้รายอื่นทั้งหมด
ตัวอย่าง
พันธมิตรทางธุรกิจสองรายแบ่งปันคอมพิวเตอร์ทั้งผู้ดูแลระบบ หนึ่งในสองพันธมิตรอาจต้องการเก็บข้อมูลส่วนตัว พันธมิตรที่ถือรหัสผ่านหลักซึ่งต้องการเก็บข้อมูลส่วนตัวไม่ได้ให้รหัสผ่านนั้นกับพันธมิตรรายอื่น
ด้วย FileVault 2 คนเดียวในสถานการณ์เช่นการรักษาความปลอดภัยและความเป็นส่วนตัวจะถูกละเว้นได้อย่างง่ายดาย - sudoมาทันทีถึงใจ
การเปรียบเทียบ
การเข้ารหัส ZFS ใน Oracle Solarisซึ่งสามารถนำไปใช้กับโฮมไดเรกทอรีของผู้ใช้
หากผู้ใช้ FileVault 2 ในสถานการณ์ข้างต้นต้องการความปลอดภัยเพิ่มเติมบุคคลนั้นสามารถ:
อีกวิธีหนึ่งบุคคลนั้นอาจใช้เพียงส่วนหนึ่งของดิสก์ที่มีอยู่… แต่การจัดการพาร์ติชันในและรอบ ๆ coreStorage โลกเป็นเรื่องยากดังนั้นเพื่อความง่ายในระยะยาว: ฉันอยากจะแนะนำการลงทุนในดิสก์เพิ่มเติม / แยก
คาดว่าข้อมูลผู้ใช้บางส่วนจะถูกเขียนไปยังไดเรกทอรีย่อย /private/var/folders- ผู้ดูแลระบบทั้งหมดจะสามารถเข้าถึงข้อมูลนี้ได้ ทางออกสำหรับสิ่งนี้อยู่นอกเหนือขอบเขตของคำถามนี้
สำหรับดิสก์ที่ใช้ FileVault 2 - หรือแอปพลิเคชันอื่น ๆ ของ Core Storage - อาจเป็นไปไม่ได้ที่จะเพิ่มหรือลดขนาดพาร์ติชันโดยใช้ Disk Utility
ในผู้ใช้ขั้นสูง:
คาดว่าdiskutilของ Apple (8) หน้าคู่มือ Mac OS Xจะอัปเดตเป็น 10.7 ในช่วงเวลาที่กำหนด ในระหว่างนี้หากคุณติดตั้ง Lion แล้วให้อ่านหน้า man ใน Terminal
สำหรับผู้ใช้ที่ใช้ FileVault 1:
ใน Mac OS X 10.7 (Build 11A511) คุณสามารถอนุญาตให้ผู้ใช้ปลดล็อกระดับเสียงเริ่มต้น แต่เปิดใช้งานครั้งเดียว:
ปิดใช้งานความสามารถของผู้ใช้ในการปลดล็อกวอลุ่ม FileVault 2 เมื่อเริ่มต้น / เข้าสู่ระบบ
เวอร์ชัน 1.0 ของผู้ช่วยที่ใช้กับ FileVault 2 ใน Mac OS X 10.7 (Build 11A511) จะสร้าง Recovery OS บน USB แฟลชไดรฟ์ อย่างไรก็ตาม:
ฉันพบปัญหานี้กับคอมพิวเตอร์สองเครื่องที่แตกต่างกัน
จากประสบการณ์ของฉันมักจะได้รับผลกระทบ ฉันต้องการดูการวัดประสิทธิภาพที่เกี่ยวข้อง
ในถามที่แตกต่าง: ความเร็วของ Filevault เก่ากับการเข้ารหัสดิสก์แบบเต็มของ Lion ใหม่
Apple แนะนำ:
FileVault 2 เข้ารหัสและถอดรหัสข้อมูลของคุณได้ทันทีด้วยผลกระทบต่อประสิทธิภาพที่มองไม่เห็น
- หน้าแคช 2011/07/28
AnandTech - กลับไปที่ Mac: OS X 10.7 Lion รีวิว: ประสิทธิภาพของ FileVaultตั้งข้อสังเกต:
... โดยรวมตีต่อประสิทธิภาพการทำงานของ I / O บริสุทธิ์อยู่ใน 20 - ช่วง มันสังเกตเห็นได้ แต่ไม่ใหญ่พอที่จะเกินดุลประโยชน์ของการเข้ารหัสดิสก์เต็ม ...
ฉันต้องการให้ผู้ตรวจสอบ AnandTech ทำการชั่งน้ำหนักอีกครั้งเพื่อให้ครอบคลุมอย่างน้อย:
ข้อสังเกตเพิ่มเติมเกี่ยวกับ CPU, kernel_task และ cetera ในRe: [Fed-Talk] Lion FileVault (2011-07-22) ( ไฮไลต์ )
อย่าคาดหวังการเข้าถึงจากระยะไกลสู่การเข้าสู่ระบบของ EFI
ไดรฟ์ข้อมูลที่มีขนาดพอสมควรสองเล่ม (หนึ่งไดเรกทอรีภายในบ้าน) ที่มีชุด B-trees ที่ดีอาจจะง่ายกว่าสำหรับระบบที่จะจัดการ - และเกือบจะทำงานได้ดีขึ้นกว่าในปริมาณมหาศาลที่มีแอตทริบิวต์และแคตตาล็อก B ต้นไม้ที่ ขนาดใหญ่และแยกส่วน
FileVault 1 ใช้แถบที่มีขนาดที่ปรับให้เหมาะสม
ขึ้นอยู่กับเนื้อหาของโฮมไดเร็กตอรี่การละทิ้งแถบเหล่านั้นเพื่อรองรับไฟล์ขนาดเล็กจำนวนมากอาจเพิ่มขนาดและการแตกแฟรกเมนต์ของพื้นที่สำคัญต่อไปนี้ของไดรฟ์ข้อมูลเริ่มต้น:
สิ่งต่อไปนี้คือ debatably เกินขอบเขตของคำถามเปิดและค่อนข้างทางเทคนิค แต่สำหรับผู้ใช้คอมพิวเตอร์ที่มี (a) หน่วยความจำ จำกัด และ (b) ไฟล์จำนวนมากภายในและนอกไดเรกทอรีบ้านของพวกเขามันคุ้มค่าคิดก่อน ละทิ้ง FileVault 1
หากผลรวมของขนาดของต้นไม้ B นั้นใหญ่เกินไปและหากจำเป็นต้องทำการซ่อมแซมสาธารณูปโภคของบุคคลที่สามในคอมพิวเตอร์ของคุณอาจไม่สามารถซ่อมแซมความเสียหายได้
หากวอลุ่มไม่สามารถแก้ไขได้โดยfsck_hfs - เห็นได้ชัดที่สุดว่าใช้ Disk Utility เห็นได้ชัดน้อยลงเมื่อใดก็ตามที่ระบบพบระบบไฟล์ที่สกปรก - ผู้ใช้อาจหันไปใช้ยูทิลิตี้ของบุคคลที่สามที่เคารพนับถือ
ผมพบสถานการณ์ที่ผลรวมของขนาดของ B-ต้นไม้ - ในความสัมพันธ์กับหน่วยความจำทางกายภาพ - เป็นดีเกินไปสำหรับยูทิลิตี้ของบุคคลที่สามfsck_hfsในการทำงานเป็นสิ่งจำเป็นสำหรับการจัดเก็บข้อมูลหลักเข้ารหัสปริมาณการสำรองข้อมูลที่เป็นไม่สามารถแก้ไขได้โดย ในฐานะที่เป็น MacBookPro5,2 ของฉันสามารถใช้เวลาไม่เกิน 8 GB ดังนั้นบางครั้งปริมาณที่อ่านได้เท่านั้น
ฉันอาจนำเสียงที่มีหรือไม่มีคอมพิวเตอร์ไปยังผู้ให้บริการเพื่อให้ความสนใจในสภาพแวดล้อมที่มีหน่วยความจำมากขึ้น อย่างไรก็ตามเพื่อความปลอดภัยฉันไม่ควรมอบให้กับบุคคลที่สามใด ๆ - แต่เชื่อถือได้ดี - รหัสผ่านหรือคีย์สำหรับไดรฟ์ข้อมูลบางประเภท
ในที่สุดและไม่คาดคิดfsck_hfsใน Lion ได้ซ่อมแซมไดรฟ์โดยไม่ต้องฉันใช้ Disk Utility ขอบคุณอาจจะให้ฉันทดลอง (riskily?) ถอดปริมาณจาก coreStorage โลก (ย้อนกลับสมบูรณ์แปลงกลับหลัง) ขณะที่ในไม่สามารถแก้ไขได้และอ่าน ony รัฐ นั่นเป็นผลลัพธ์ที่น่าพึงพอใจสำหรับฉันและยกนิ้วให้ Apple คุณภาพและความสามารถของ 10.7 (Build 11A511) แต่สิ่งนี้ควรเป็นข้อควรระวังสำหรับผู้อ่านรายอื่น
การติดตั้ง Lion ทั้งหมดไม่ได้รับApple_Boot Recovery HDที่ซ่อนอยู่ซึ่งจำเป็นสำหรับ FileVault 2 - OS X Lion: "คุณสมบัติบางอย่างของ Mac OS X Lion ไม่รองรับดิสก์ (ชื่อโวลุ่ม)" ปรากฏขึ้นระหว่างการติดตั้ง (2011-07-21) .
... คุณจะไม่สามารถใช้ FileVault ...
หากเกิดเหตุการณ์นี้ - และถ้าคุณละทิ้ง FileVault 1 ก่อนที่จะปรับกับ Lion - Mac ของคุณกับสิงโตจะมีความปลอดภัยน้อยลง
คำแนะนำการตีพิมพ์โดยนิตยสารก่อนที่จะปล่อยของสิงโตยังคงให้คำแนะนำผู้ใช้ที่จะปิดการใช้งาน FileVault 1 ก่อนที่จะติดตั้งสิงโต มันผิดปกติมากที่สุดสำหรับ Macworld ที่จะให้คำแนะนำที่เป็นที่ถกเถียงกัน แต่ในกรณีนี้ฉันไม่เห็นด้วยอย่างยิ่ง
ง่ายที่สุดในการสร้างบ้าน FileVault 1 ใน Snow Leopard ก่อนอัพเกรดเป็น Lion
หากไม่มี Snow Leopard: คุณสามารถใช้ Lion เพื่อสร้างบ้านได้ แต่มีขั้นตอนไม่กี่ขั้นตอนในการทำเป็นประจำ
หลังจากปิดการใช้งาน Filevault 1 เป็นไปได้ไหมที่จะเปิดใช้มันอีกครั้งใน Lion?
โดยการรวม FileVault 2 กับ FileVault 1 คุณสามารถมีความปลอดภัยสองชั้น โปรดทราบว่านี่จะทำให้เกิดปัญหากับ TimeMachine และการแบ่งปัน ดังนั้นการรักษาความปลอดภัยสองชั้นนี้จะแนะนำสำหรับบัญชีที่ปิด TimeMachine เท่านั้น!
ในคอมพิวเตอร์ของฉันฉันมีบัญชีทำงานทุกวันบัญชี FileVault 1 (ยกเว้นจาก TimeMachine) และบัญชีผู้ดูแลระบบ เมื่อฉันเปิดใช้งาน FileVault 2 จากบัญชีงานประจำวันของฉัน (ใช้รหัสผ่านของบัญชีผู้ดูแลระบบ) ฉันคาดว่า FileVault 1 จะหายไปเพราะ Apple แจ้งที่OS X Lion: เกี่ยวกับ FileVault 2 : «หากคุณปิด Legacy FileVault แท็บ Legacy FileVault จะหายไป จากนั้นคุณสามารถเลือกเปิดใช้งาน FileVault 2 ของ OS X Lion
เมื่อตั้งค่า FileVault 2 ทั้งหมดฉันรู้สึกประหลาดใจมากที่ FileVault 1 ของฉันยังคงมีการเข้ารหัส FileVault 1 ดังนั้นฉันจึงมีความปลอดภัยสองชั้น: บัญชี FileVault 1 ดั้งเดิมในคอมพิวเตอร์ FileVault 2 สิ่งที่ฉันต้องการก็คือบัญชีที่ไม่ใช่ FileVault 1 จากที่จะเปิด FileVault 2
ในที่สุดฉันปิด FileVault 2 อีกครั้ง ฉันชอบความสามารถในการเข้าถึงระบบไฟล์ OS X จากระบบ Bootcamp Windows ด้วย FileVault 2 นั่นเป็นไปไม่ได้อีกต่อไป ฉันยังคงบัญชี FileVault 1 ไว้และทำงานได้ดีแม้ใน 10.8.1