Aron Rotteveel
2011-07-21 01:55:43 UTC
Lion中的FileVault 2與舊版本(系統的先前版本中的FileVault)相比是否有其他區別?使用新版本還有其他好處嗎?
Lion中的FileVault 2與舊版本(系統的先前版本中的FileVault)相比是否有其他區別?使用新版本還有其他好處嗎?
無密碼的“來賓”帳戶無法再創建,因為整個磁盤已加密,而不僅僅是用戶的主目錄。很遺憾,我在Apple的kb文章中找不到與此相關的任何信息。
新的Filevault似乎比舊版本對您的約束要少得多。例如,您無需註銷即可運行時間機器,並且所有共享守護程序似乎都可以正常工作(如果我沒記錯的話,在啟用filefault時,其中一些已禁用。我認為其中包括Web共享)使我的筆記本電腦不能用作Web應用程序的開發平台:))。
Filevault 2的一個問題是,您必須先在本地輸入密碼,然後才能進入計算機,因為啟動過程只有在加密驅動器解鎖後才能開始。
從 John Siracusa的Lion評審中大量借用...
FileVault 2是全盤加密系統,而不是僅僅將主文件夾存儲在加密的磁盤中圖片解決方案。它被實現為在系統引導時解鎖的實際卷之下的文件系統層。如果您熟悉 LVM,則方法幾乎相同。每當您越過密碼鎖時,系統的其餘部分看起來都一樣。很好的是,您可以在完整的驅動器上啟用磁盤加密,並且一切都將在閒暇時完成(您可以將其關閉,重新備份等,然後一切都會繼續進行。)
我敢肯定還有其他幾個。此Apple支持文章應回答您的其餘問題。
從手冊的 fsck_cs 頁面:
fsck_cs實用程序會驗證和修復CoreStorage邏輯卷組元數據。
...
BUGS
fsck_cs不會執行詳盡的驗證,
fsck_hfs(由磁盤工具使用) )已經開發了十多年,並且能夠修復FileVault 1所使用的大多數JHFS +問題。
如果遇到 fsck_hfs 無法修復的問題,是多個替代的第三方實用程序。
fsck_cs (也由磁盤實用程序使用)在Mac OS X 10.7.0中與CoreStorage一起首次出現。不一致可能是無法彌補的。
如果發生LVG故障,並且 fsck_cs 無法進行必要的維修,則您的啟動卷將不會掛載。在這種情況下,您可能會破壞性地重新格式化磁盤並重新安裝Mac OS X.(僅使用Recovery OS Time Machine不能提供FileVault 2所需的Apple_Boot Recovery HD。)
我可以看到的一個缺點是,在您可以加密單個用戶帳戶之前,而現在您只能對整個磁盤進行加密。如果加密整個磁盤,則每次使用計算機時也必須解密整個磁盤。這意味著一旦啟動計算機,惡意軟件便可以訪問整個磁盤,而在您分別登錄(很快又再次退出)安全性至關重要的帳戶之前。
我想您仍然可以使用FileVault頂部的加密磁盤映像可存儲真正重要的數據。
另一個問題可能是Time Machine。之前FileVault用戶的目錄也已加密存儲在備份卷上,現在似乎不再如此。
有人知道Time Machine現在是否還支持全磁盤加密(從報告到目前為止,它似乎沒有為外部驅動器啟用,至少沒有通過GUI啟用)?
更新:顯然,Time Machine不支持全磁盤加密: Time Machine卷是否可以用FileVault 2輕鬆加密嗎?
類似於Thilo提供的答案。此邏輯適用於具有兩個或多個管理員的任何計算機。
具有良好的安全級別,可以防止沒有主密碼的人訪問
任何管理員都可以查看,複製,編輯所有其他用戶的數據。
示例
兩個業務夥伴共享一台計算機,都是管理員。這兩個合作夥伴之一可能希望將某些內容保密。擁有主密碼但希望保密的伙伴不會將密碼提供給另一夥伴。
在這種情況下,僅使用FileVault 2,就很容易忽略安全性和隱私性-很快就會想到sudo。
比較
Oracle Solaris中的ZFS加密,可以應用於用戶
如果在上述情況下FileVault 2的用戶需要額外的安全性,則該人可以:
或者,該人可能只使用ap現有磁盤的藝術……但是 coreStorage世界中及其周圍的分區管理很困難,因此,為了長期簡便起見:我建議投資購買一個額外/單獨的磁盤。
期望將某些用戶數據寫入 / private / var / folders 的子目錄中-所有管理員都可以訪問此數據。一個解決方案超出了這個問題的範圍。
對於使用FileVault 2或Core Storage的任何其他應用程序的磁盤,可能無法使用“磁盤工具”添加或調整分區大小。
在超級用戶中:
期望Apple的 diskutil (8)Mac OS X手冊頁將在適當時候更新為10.7。同時,如果您已經安裝了Lion,請閱讀Terminal中的手冊頁。
對於使用FileVault 1的任何用戶:
在Mac OS X 10.7(內部版本11A511)中,您可以允許用戶解鎖啟動卷,但是一旦啟用:
與Mac OS X 10.7(Build 11A511)中的FileVault 2一起使用的助手1.0版 USB閃存驅動器。但是:
我在兩台不同的計算機上發現了此問題。
並非所有Lion安裝都獲得FileVault 2所需的隱藏的 Apple_Boot Recovery HD - OS X Lion:“磁盤(卷名)不支持Mac OS X Lion的某些功能”(2011-07-21)。
…您將無法使用FileVault…
如果發生這種情況-如果您在升級到Lion之前放棄了FileVault 1-裝有Lion的Mac將不安全。
Macworld在Lion發布之前發布的建議繼續建議用戶禁用FileVault 1 之前安裝Lion。 Macworld提出有爭議的建議是最不尋常的,但是在這種情況下,我強烈不同意。
在升級到Lion之前,最容易在Snow Leopard中創建FileVault 1家庭。
如果沒有Snow Leopard:您可以使用Lion創建房屋,但是該例程有一些步驟。
兩個合理大小的捲(一個主目錄)以及一組好的B樹,對於系統來說可能更易於管理,並且幾乎可以肯定地執行更好-比具有超大且零散的屬性和目錄B樹的單個龐大卷更是如此。
FileVault 1使用已優化大小的帶。
根據主目錄的內容,放棄這些帶而改用更大的帶較小文件的數量可能會大大增加啟動卷以下關鍵區域的大小和碎片:
隨後的討論顯然超出了開頭的問題範圍,而且相對而言,但是對於擁有(a)有限內存和(b)主目錄內外文件數量眾多的計算機的任何用戶,在放棄FileVault 1.之前都值得考慮。
如果B樹的大小太大,如果需要修復,則計算機上的第三方實用程序可能無法修復損壞。
如果 fsck_hfs無法修復該卷> —最明顯的是使用磁盤工具,少了ob以前,只要係統遇到臟的文件系統,用戶就可以轉向受人尊敬的第三方實用程序。
我遇到了以下情況: B樹(相對於物理內存)對於第三方實用程序來說太強大了,無法按 fsck_hfs 無法修復的Core Storage加密備份卷的要求進行工作。由於我的MacBookPro5,2最多只能佔用8 GB,因此一段時間以來該卷是只讀的。
在有更多內存的環境中,無論是否安裝計算機,我都可能會將其帶給服務提供商以引起注意。但是出於安全性考慮,我不應該向任何第三方(無論其信任度)提供某些類型的捲的密碼或密鑰。
最終,出乎意料的是,Lion中的 fsck_hfs 確實可以修復沒有我使用Disk Utility的情況下,可能是通過實驗(很危險嗎?)從coreStorage world中刪除了該卷(還原,完全向後轉換) / strong>。這對我來說是一個令人愉快的結果,也是對Apple的10.7(Build 11A511)的質量和功能的認可,但這對其他讀者應該是一個警告。
以我的經驗,這種影響通常是可以接受的。我想查看相關的基準。
在Ask Different中:舊Filevault與新Lion全盤加密的速度
Apple建議:
AnandTech —返回Mac:OS X 10.7 Lion評估:FileVault性能觀察到:
我希望AnandTech審稿人再次更廣泛地權衡一下,至少包括:
Re:[Fed-Talk] Lion FileVault(2011-07-22)(重點 >)。
通過將FileVault 2與FileVault 1結合使用,可以具有雙層安全性。 請注意,這將引起TimeMachine和共享的麻煩。因此,僅在關閉TimeMachine的帳戶中才建議使用這種雙層安全性!
在我的計算機上,我有一個日常工作帳戶,一個FileVault 1帳戶(TimeMachine除外)和一個管理員帳戶。當我從日常工作帳戶(使用管理員帳戶的密碼)激活FileVault 2時,我期望FileVault 1會消失,因為蘋果在 OS X Lion:關於FileVault 2上說:«如果關閉Legacy FileVault ,“舊版FileVault”選項卡將消失,然後您可以選擇啟用OS X Lion的FileVault 2»。
所有FileVault 2設置完畢後,我很驚訝我的FileVault 1繼續使用FileVault 1加密。因此,我具有雙重安全性:FileVault 2計算機中的舊FileVault 1帳戶。我需要的只是一個非FileVault 1帳戶,可以從該帳戶打開FileVault 2。
最終,我再次關閉了FileVault 2。我喜歡能夠從Bootcamp Windows系統訪問OS X文件系統。使用FileVault 2不再可能。我仍然保留FileVault 1帳戶,即使在10.8.1中也可以正常使用。