Lion'daki FileVault 2, sistemin önceki sürümlerindeki eski sürüm olan FileVault ile karşılaştırıldığında başka farklılıklara sahip mi? Yeni sürümü kullanmanın başka yararları var mı?
Lion'daki FileVault 2, sistemin önceki sürümlerindeki eski sürüm olan FileVault ile karşılaştırıldığında başka farklılıklara sahip mi? Yeni sürümü kullanmanın başka yararları var mı?
Yanıtlar:
John Siracusa'nın Lion incelemesinden büyük bir borçlanma ...
FileVault 2, 'ana klasörünüzü şifrelenmiş bir disk görüntüsünde saklayın' çözümünün aksine bir Tam Disk Şifreleme sistemidir. Sistem önyükleme sırasında kilidini açtığınız gerçek birimin altında bir dosya sistemi katmanı olarak uygulanır. LVM hakkında bilginiz varsa , aynı şekilde. Parola kilidini geçtiğinizde, her şey sistemin geri kalanıyla aynı görünür.
Steve'in belirttiği gibi, şifreleme çalışmasına özel işlemci talimatları yardımcı olabilir ve tamamen arka planda çalışır. Güzel olan şey, disk şifrelemeyi tam bir sürücüde açabilmeniz ve her şeyin boş zamanlarında yapılmasıdır (kapatabilir, geri getirebilirsiniz, vb. Ve her şey devam edecektir).
Parolasız 'Misafir' hesapları artık tüm disk yalnızca Kullanıcının ana dizininden daha şifrelendiği için oluşturulamaz. Apple'daki kb makalesinde bununla ilgili herhangi bir bilgi bulamadığım için üzgünüm.
Yeni Filevault, eski sürümden çok daha az kısıtlama getiriyor gibi görünüyor. Örneğin, zaman makinesinin çalışması için oturumu kapatmak zorunda değilsiniz ve tüm paylaşım cinleri iyi çalışıyor gibi görünüyor (doğru hatırlıyorsam, dosya hatası etkinleştirildiğinde bazıları devre dışı bırakıldı. dizüstü bilgisayarımı web uygulamaları için bir geliştirme platformu olarak biraz işe yaramaz hale getirdi :)).
Filevault 2 ile ilgili bir sorun, şifrelenmiş sürücünün kilidi açılana kadar başlatma işlemi başlayamayacağından, yerel olarak bir parola girmeden makineye ssh alamamanızdır.
Eminim birkaç tane daha vardır. Bu Apple destek makalesi geri kalan sorularınızı yanıtlamalıdır.
İçin manuel sayfadanfsck_cs :
Fsck_cs yardımcı programı CoreStorage mantıksal birim grubu meta verilerini doğrular ve onarır.
...
BÖCEK
fsck_cs kapsamlı bir doğrulama gerçekleştirmez ve tespit ettiği tutarsızlıkların çoğunu düzeltemez.
fsck_hfs (Disk İzlencesi tarafından kullanılır) on yıldan fazla bir süredir geliştirilmiştir ve FileVault 1 tarafından kullanılan JHFS + ile ilgili çoğu sorunu onarabilir.
fsck_hfsTamir edilemeyen bir sorunla karşılaşırsanız , birden fazla alternatif üçüncü taraf yardımcı programı vardır.
fsck_cs(Disk Utility tarafından da kullanılır) ilk olarak Mac OS X 10.7.0'da CoreStorage ile birlikte ortaya çıktı. Tutarsızlıklar telafi edilemez olabilir.
LVG hatası oluşursa ve fsck_csgerekli onarımları yapamazsanız, başlangıç biriminiz bağlanmaz. Bu durumda diski yıkıcı bir şekilde yeniden biçimlendirebilir ve Mac OS X'i yeniden yükleyebilirsiniz. (Recovery OS Time Machine'i tek başına kullanmak FileVault 2 için gereken Apple_Boot Recovery HD'yi sağlamaz.)
Görebildiğim bir dezavantaj, bireysel kullanıcı hesaplarını şifrelemeden önce, ancak şimdi sadece tüm diski şifreleyebileceğinizdir. Diskin tamamını şifrelerseniz, bilgisayarı her kullandığınızda diskin şifresini de çözmeniz gerekir. Bu, bilgisayar önyüklendikten sonra, tüm diske kötü amaçlı yazılımlar tarafından erişilebilir olduğu anlamına gelir, oysa güvenlik açısından kritik hesaplarda ayrı olarak oturum açmadan (ve kısa süre sonra yeniden).
Gerçekten önemli veriler için hala FileVault'un üst kısmında şifreli disk görüntüleri kullanabileceğinizi düşünüyorum.
Başka bir problem Time Machine olabilir. FileVault kullanıcılarının dizinleri de yedekleme biriminde şifrelenmiş olarak saklanırken, artık böyle görünmüyor.
Time Machine'in artık tam disk şifrelemeyi de destekleyip desteklemediğini bilen var mı (bugüne kadarki raporlardan harici sürücüler için etkinleştirilmemiş gibi görünüyor, en azından GUI aracılığıyla değil)?
Güncelleme: Görünüşe göre, Time Machine tüm disk şifrelemeyi desteklemiyor: Time Machine birimleri FileVault 2 ile kolayca şifrelenebilir mi?
Thilo tarafından verilen cevaba benzer. Bu mantık iki veya daha fazla yöneticisi olan tüm bilgisayarlar için geçerlidir.
Ana parolası olmayan bir kişinin başka bir kişinin verilerine erişmesini önlemek için iyi bir güvenlik düzeyi vardır.
Herhangi bir yönetici diğer tüm kullanıcıların verilerini görüntüleyebilir, kopyalayabilir ve düzenleyebilir.
Misal
İki iş ortağı, her iki yönetici de bir bilgisayarı paylaşır. İki ortaktan biri özel bir şeyi saklamak isteyebilir. Ana parolayı elinde bulunduran, özel bir şeyi saklamak isteyen ortak, bu parolayı diğer iş ortağına vermez.
Bu senaryolarda yalnızca FileVault 2 ile güvenlik ve gizlilik kolayca göz ardı edilir - sudo hemen akla gelir.
karşılaştırma
Oracle Solaris'te , kullanıcıların ev dizinlerine uygulanabilen ZFS şifrelemesi .
Yukarıdaki durumda FileVault 2 kullanıcısı ekstra güvenlik gerektiriyorsa, bu kişi şunları yapabilir:
Alternatif olarak, bu kişi mevcut bir diskin sadece bir kısmını kullanabilir… ancak coreStorage dünyasında ve çevresinde bölüm yönetimi zordur , bu nedenle uzun vadeli basitlik için: Ek / ayrı bir diske yatırım yapılmasını öneririm.
Bazı kullanıcı verilerinin bir alt dizinine yazılmasını bekleyin; /private/var/folderstüm yöneticilerin bu verilere erişimi olacaktır. Bunun için bir çözüm bu sorunun kapsamı dışındadır.
FileVault 2 veya başka bir Çekirdek Depolama uygulaması kullanan bir disk için Disk İzlencesi'ni kullanarak bölüm eklemek veya yeniden boyutlandırmak imkansız olabilir.
Süper Kullanıcıda:
Apple'ın diskutil (8) Mac OS X Kılavuz Sayfasının zamanında 10.7 için güncellenmesini bekleyin . Bu arada, Lion'u önceden yüklediyseniz, Terminal'deki kılavuz sayfasını okuyun.
FileVault 1 kullanan tüm kullanıcılar için:
Mac OS X 10.7'de (Derleme 11A511), kullanıcının başlangıç biriminin kilidini açmasına izin verebilirsiniz, ancak bir kez etkinleştirildiğinde:
Mac OS X 10.7'de (Build 11A511) FileVault 2 ile kullanılan asistanın 1.0 sürümü, USB flash sürücüde bir Kurtarma İşletim Sistemi üretir. Ancak:
Bu sorunu iki farklı bilgisayarda buldum.
Deneyimlerime göre, etki genellikle kabul edilebilir. Alakalı ölçütleri görmek istiyorum.
Farklı Sor: Eski Filevault ve Yeni Lion Tam Disk Şifrelemesinin Hızı
Apple şunları önerir:
FileVault 2, algılanamaz bir performans etkisi ile verilerinizi anında şifreler ve şifresini çözer.
- sayfa önbelleğe alınmış 2011-07-28 .
AnandTech - Mac'e geri dön: OS X 10.7 Lion incelemesi: FileVault performansı gözlemler:
… Genel olarak saf G / Ç performansındaki isabet% 20-30 aralığında . Tam disk şifrelemenin avantajlarından daha ağır basacak kadar büyük ancak fark edilmiyor. ...
AnandTech gözden geçirenlerin en azından dahil etmek için işleri daha geniş bir şekilde tartmasını istiyorum:
CPU hakkında daha fazla gözlem, Re: [Fed-Talk] Lion FileVault'da (2011-07-22) ( vurgulamalar ) kernel_task et cetera .
EFI oturum açma penceresine uzaktan erişim beklemeyin.
İyi bir B-ağacı kümesine sahip iki makul boyuttaki birim (bir ana dizin), sistemin yönetmesi ve neredeyse kesinlikle daha iyi performans göstermesi, özellikleri ve kataloğu olan B-ağaçlarının tek bir devasa hacminden daha kolaydır. büyük boy ve parçalanmış.
FileVault 1, optimize edilmiş boyutta bantlar kullanır.
Bir giriş dizininin içeriğine bağlı olarak, bu bantları daha fazla sayıda küçük dosya lehine bırakmak başlangıç biriminin aşağıdaki kritik alanlarının boyutlarını ve parçalanmalarını önemli ölçüde artırabilir:
Aşağıdakiler tartışmalı olarak açılış sorusunun kapsamı dışındadır ve nispeten tekniktir, ancak (a) sınırlı belleğe ve (b) ana dizininin içindeki ve dışındaki önemli sayıda dosyaya sahip herhangi bir kullanıcı için, daha önce düşünmeye değer FileVault'dan vazgeçme 1.
B ağaçlarının boyutlarının toplamı çok büyükse ve onarım gerekiyorsa, bilgisayarınızdaki üçüncü taraf yardımcı programlar hasarı onaramayabilir.
Bir birim fsck_hfs tarafından onarılamazsa - en açık şekilde Disk İzlencesi'ni kullanıyorsa, sistem kirli bir dosya sistemiyle karşılaştığında daha az açıktır - kullanıcı saygın bir üçüncü taraf yardımcı programına dönebilir.
B ağaçlarının boyutlarının toplamının - fiziksel bellekle ilgili olarak - üçüncü taraf bir yardımcı programın onarılamayan bir Core Storage şifreli yedekleme birimi için gerektiği gibi çalışamayacağı bir durumla karşılaştım fsck_hfs. MacBookPro5,2 cihazım 8 GB'ı aşmayacağından, bir süre için bu birim salt okunurdu.
Birimi, bilgisayarlı veya bilgisayarsız, daha fazla belleğe sahip bir ortamda dikkat çekmek için bir servis sağlayıcısına götürmüş olabilirim. Bununla birlikte, güvenlik için, bazı türler için herhangi bir üçüncü tarafa (ne kadar iyi güvenilir olursa olsun) parola veya anahtar vermemeliyim.
Sonunda ve beklenmedik bir şekilde fsck_hfsLion'daki disk, Disk Utility'yi kullanarak bensiz bir şekilde tamir etti, muhtemelen bana deneysel olarak (riskli mi?) , Birimi tamir edilemeyen ve okunabilir durumda iken coreStorage dünyasından (geri dönme , tamamen geriye dönüşme ) çıkarmam sayesinde . Bu benim için hoş bir sonuçtu ve 10.7'nin nitelikleri ve yetenekleri için Apple'a bir başparmaktı (Build 11A511), ancak bu diğer okuyucular için bir uyarı görevi görmeli.
Lion'un tüm yüklemeleri FileVault 2 - OS X Lion için gereken gizli Apple_Boot Kurtarma HD'sini kazanmaz : "Mac OS X Lion'un bazı özellikleri disk için desteklenmiyor (birim adı)" yükleme sırasında görünüyor (2011-07-21) .
… FileVault'u kullanamazsınız…
Bu olursa - ve Lion'a yükseltmeden önce FileVault 1'i terk ettiyseniz - Lion'lu Mac'iniz daha az güvenli olacaktır .
Lion yayınlanmadan önce Macworld'de tarafından yayınlanan tavsiye kullanıcıları tavsiyelerde devam devreden FileVault 1 önce Lion yükleme. Macworld için tartışmalı tavsiyelerde bulunmak en sıra dışı olanıdır, ancak bu durumda kesinlikle katılmıyorum.
Lion'a yükseltmeden önce Snow Leopard'da FileVault 1 evini oluşturmak en kolayı.
Snow Leopard olmadan: evi oluşturmak için Lion'u kullanabilirsiniz, ancak rutinin birkaç adımı vardır.
Filevault 1'i devre dışı bıraktıktan sonra, Lion'da tekrar etkinleştirmek mümkün mü?
FileVault 2'yi FileVault 1 ile birleştirerek çift katmanlı güvenliğe sahip olabilirsiniz. Bunun TimeMachine ve paylaşımda sorunlara neden olacağını unutmayın. Bu nedenle, bu çift katmanlı güvenlik yalnızca TimeMachine'ın kapalı olduğu bir hesap için önerilir!
Bilgisayarımda günlük iş hesabı, FileVault 1 hesabı (TimeMachine hariç) ve yönetici hesabım var. FileVault 2'yi günlük iş hesabımdan etkinleştirdiğimde (yönetici hesabının parolasını kullanarak), Apple OS X Lion'da şöyle diyor: FileVault 1'in kaybolmasını bekledim : FileVault 2 Hakkında : «Eski FileVault sekmesi kaybolur ve sonra OS X Lion'un FileVault 2 »'yi etkinleştirmeyi seçebilirsiniz.
FileVault 2'nin tamamı kurulduğunda, FileVault 1'imin FileVault 1 şifrelemesine devam etmesinden çok şaşırdım. Bu yüzden çift katmanlı bir güvenlik vardı: FileVault 2 bilgisayarında eski bir FileVault 1 hesabı. Tek ihtiyacım olan FileVault 2'yi açmak için FileVault 1 olmayan bir hesaptı.
Sonunda FileVault 2'yi tekrar kapattım. OS X dosya sistemine Bootcamp Windows sisteminden erişmeyi seviyorum. FileVault 2 ile bu artık mümkün değildi. Hala FileVault 1 hesabını saklıyorum ve 10.8.1'de bile iyi çalışıyor.