O FileVault 2 no Lion tem outras diferenças em comparação com a versão antiga, o FileVault em versões anteriores do sistema? Existem benefícios adicionais no uso da nova versão?
O FileVault 2 no Lion tem outras diferenças em comparação com a versão antiga, o FileVault em versões anteriores do sistema? Existem benefícios adicionais no uso da nova versão?
Respostas:
Emprestando-se pesadamente da revisão do leão de John Siracusa …
O FileVault 2 é um sistema de criptografia de disco inteiro, em vez de apenas uma solução 'armazenar sua pasta pessoal em uma imagem de disco criptografada'. Ele é implementado como uma camada do sistema de arquivos abaixo do volume real que você desbloqueia no momento da inicialização do sistema. Se você conhece o LVM , é da mesma maneira. Sempre que você ultrapassa o bloqueio de senha, tudo fica igual para o resto do sistema.
Como Steve mencionou, o trabalho de criptografia pode ser auxiliado por instruções especializadas do processador e é executado inteiramente em segundo plano. O interessante é que você pode ativar a criptografia de disco em uma unidade completa e tudo será feito à vontade (você pode desligá-lo, trazê-lo de volta etc.) e tudo continuará.
Contas com menos senha 'Convidado' não podem mais ser criadas, pois todo o disco está criptografado do que apenas o diretório inicial do Usuário. É triste que eu não tenha encontrado nenhuma informação no artigo da kb na Apple sobre isso.
O novo Filevault parece colocar muito menos restrições sobre você do que a versão antiga. Você não precisa fazer logout para que o time machine funcione, por exemplo, e todos os daemons de compartilhamento parecem funcionar bem (alguns deles foram desativados quando a falha de arquivo foi ativada, se bem me lembro corretamente. Acho que o compartilhamento na Web estava entre eles, tornei meu laptop um pouco inútil como plataforma de desenvolvimento para aplicativos da web :)).
Um problema com o Filevault 2 é que você não pode transferir ssh para uma máquina até inserir uma senha localmente, pois o processo de inicialização não pode começar até que a unidade criptografada tenha sido desbloqueada.
Tenho certeza que existem alguns outros. Este artigo de suporte da Apple deve responder ao restante de suas perguntas.
Na página de manual parafsck_cs
:
O utilitário fsck_cs verifica e repara os metadados do grupo de volumes lógicos do CoreStorage.
...
INSETOS
O fsck_cs não executa uma validação exaustiva, nem é capaz de corrigir muitas das inconsistências detectadas.
O fsck_hfs (usado pelo Disk Utility) foi desenvolvido por mais de dez anos e é capaz de reparar a maioria dos problemas com o JHFS +, conforme usado pelo FileVault 1.
Se você encontrar um problema que fsck_hfs
não pode ser reparado, existem vários utilitários alternativos de terceiros.
fsck_cs
(também usado pelo Disk Utility) apareceu pela primeira vez junto com o CoreStorage no Mac OS X 10.7.0. Inconsistências podem ser irreparáveis.
Se ocorrer uma falha no LVG e fsck_cs
não for possível fazer os reparos necessários, o volume de inicialização não será montado. Nessa situação, você pode reformatar destrutivamente o disco e reinstalar o Mac OS X. (Usar o Recovery OS Time Machine sozinho não fornecerá o Apple_Boot Recovery HD necessário para o FileVault 2.)
Uma desvantagem que vejo é que antes era possível criptografar contas de usuários individuais, enquanto agora você só pode criptografar todo o disco. Se você criptografar o disco inteiro, também precisará descriptografar o disco inteiro toda vez que usar o computador. Isso significa que, assim que o computador é inicializado, todo o disco fica acessível a malware, enquanto antes você pode fazer login (e logo sair novamente) das contas críticas à segurança separadamente.
Suponho que você ainda possa usar imagens de disco criptografadas em cima do FileVault para dados realmente importantes.
Outro problema pode ser o Time Machine. Enquanto antes os diretórios dos usuários do FileVault também eram armazenados criptografados no volume de backup, isso não parece mais ser o caso.
Alguém sabe se o Time Machine agora também suporta criptografia de disco inteiro (dos relatórios até agora parece que não está habilitado para unidades externas, pelo menos não por meio da GUI)?
Atualização: Aparentemente, o Time Machine não suporta criptografia de disco inteiro: os volumes do Time Machine podem ser facilmente criptografados com o FileVault 2?
Semelhante à resposta oferecida por Thilo. Essa lógica se aplica a qualquer computador com dois ou mais administradores.
Há um bom nível de segurança para impedir que uma pessoa sem a senha mestre acesse os dados de qualquer outra pessoa.
Qualquer administrador pode visualizar, copiar, editar os dados de todos os outros usuários.
Exemplo
Dois parceiros de negócios compartilham um computador, ambos administradores. Um dos dois parceiros pode querer manter algo privado. O parceiro que possui a senha mestra, que deseja manter algo particular, não fornece essa senha ao outro parceiro.
Com o FileVault 2 sozinho nesses cenários, a segurança e a privacidade são facilmente ignoradas - o sudo vem imediatamente à mente.
Comparação
Criptografia ZFS no Oracle Solaris , que pode ser aplicada aos diretórios pessoais dos usuários.
Se um usuário do FileVault 2 na situação acima exigir segurança extra, essa pessoa poderá:
Como alternativa, essa pessoa pode usar apenas uma parte de um disco existente ... mas o gerenciamento de partições no mundo coreStorage é difícil , portanto, para simplificar a longo prazo: eu recomendaria o investimento em um disco adicional / separado.
Espere que alguns dados do usuário sejam gravados em um subdiretório /private/var/folders
- todos os administradores terão acesso a esses dados. Uma solução para isso está além do escopo desta questão.
Para um disco que usa o FileVault 2 - ou qualquer outro aplicativo do Core Storage - pode ser impossível adicionar ou redimensionar partições usando o Utilitário de Disco.
No Superusuário:
Espere que a página de manual do Mac OS X da diskutil (8) da Apple seja atualizada para 10.7 em devido tempo. Enquanto isso, se você já instalou o Lion, leia a página do manual no Terminal.
Para qualquer usuário que usa o FileVault 1:
No Mac OS X 10.7 (Build 11A511), você pode permitir que um usuário desbloqueie o volume de inicialização, mas uma vez ativado:
A versão 1.0 do assistente usada com o FileVault 2 no Mac OS X 10.7 (Build 11A511) produz um OS de recuperação em uma unidade flash USB. Contudo:
Encontrei esse problema com dois computadores diferentes.
Na minha experiência, o impacto é geralmente aceitável. Eu gostaria de ver referências relevantes.
Em Ask Different: Velocidade do antigo Filevault vs. o novo Lion, criptografia de disco completo
A Apple sugere:
- página em cache 28/07/2011 .
AnandTech - De volta ao Mac: OS X 10.7 Lion review: O desempenho do FileVault observa:
… No geral, o impacto no desempenho puro de E / S está na faixa de 20 a 30% . É perceptível, mas não é grande o suficiente para compensar os benefícios da criptografia de disco completo. ...
Eu gostaria que os revisores da AnandTech pesassem as coisas novamente de forma mais ampla, incluindo pelo menos:
Mais observações sobre CPU, kernel_task e outros em Re: [Fed-Talk] Lion FileVault (2011-07-22) ( destaques ).
Não espere acesso remoto à janela de login da EFI.
Dois volumes de tamanho razoável (um diretório inicial), com um bom conjunto de árvores B, são provavelmente mais fáceis para o sistema gerenciar - e quase certamente têm um desempenho melhor - do que um único volume colossal com atributos e árvores B de catálogo que são superdimensionada e fragmentada.
O FileVault 1 usa faixas de tamanho otimizado.
Dependendo do conteúdo de um diretório inicial, o abandono dessas bandas em favor de um número maior de arquivos menores pode aumentar significativamente os tamanhos e a fragmentação das seguintes áreas críticas do volume de inicialização:
O que segue está além do escopo da questão inicial e é relativamente técnico, mas para qualquer usuário de um computador com (a) memória limitada eb) um número considerável de arquivos dentro e fora do diretório inicial, vale a pena pensar antes abandonando o FileVault 1.
Se a soma dos tamanhos das árvores B for muito alta e se for necessário reparo, utilitários de terceiros no seu computador podem não conseguir reparar os danos.
Se um volume for irreparável pelo fsck_hfs - mais obviamente usando o Utilitário de Disco, menos obviamente sempre que o sistema encontrar um sistema de arquivos que está sujo - um usuário pode recorrer a um utilitário de terceiros respeitado.
Eu encontrei uma situação em que a soma dos tamanhos das árvores B - em relação à memória física - era muito grande para um utilitário de terceiros funcionar conforme necessário para um volume de backup criptografado do Core Storage que era irreparável fsck_hfs
. Como o meu MacBookPro5,2 não pode levar mais que 8 GB, por algum tempo esse volume foi somente leitura.
Talvez eu tenha levado o volume, com ou sem o computador, a um provedor de serviços para obter atenção em um ambiente com mais memória. No entanto, por segurança, não devo fornecer a terceiros - por mais confiáveis que sejam - a senha ou a chave de alguns tipos de volume.
Eventualmente e inesperadamente, o fsck_hfs
in Lion reparou o volume sem eu usar o Disk Utility, possivelmente graças a mim experimentalmente (arriscado?) Removendo o volume do mundo coreStorage (revertendo, convertendo completamente para trás) enquanto estava no estado irreparável e de fácil leitura . Esse foi um resultado agradável para mim e um sinal de positivo para a Apple pelas qualidades e capacidades do 10.7 (Build 11A511), mas isso deve servir de cautela para outros leitores.
Nem todas as instalações do Lion obtêm o Apple_Boot
HD de recuperação oculto necessário para o FileVault 2 - OS X Lion: "Alguns recursos do Mac OS X Lion não são suportados pelo disco (nome do volume)" aparece durante a instalação (21/07/2011) .
… Você não poderá usar o FileVault…
Se isso acontecer - e se você abandonou o FileVault 1 antes da atualização para o Lion - seu Mac com Lion será menos seguro .
Os conselhos publicados pela Macworld antes do lançamento do Lion continuam aconselhando os usuários a desativar o FileVault 1 antes de instalar o Lion. É incomum que a Macworld dê conselhos controversos, mas, neste caso, discordo totalmente.
É mais fácil criar a casa do FileVault 1 no Snow Leopard antes de atualizar para o Lion.
Se sem o Snow Leopard: você pode usar o Lion para criar a casa, mas existem algumas etapas na rotina.
Depois de desativar o Filevault 1, é possível ativá-lo novamente no Lion?
Ao combinar o FileVault 2 com o FileVault 1, você pode ter segurança de dupla camada. Observe que isso causará problemas com o TimeMachine e o compartilhamento. Portanto, essa segurança de camada dupla é aconselhável apenas para uma conta em que o TimeMachine esteja desativado!
No meu computador, tenho uma conta de trabalho todos os dias, uma conta do FileVault 1 (excluída do TimeMachine) e uma conta de administrador. Quando eu ativei o FileVault 2 da minha conta de trabalho todos os dias (usando a senha da conta de administrador), esperava que o FileVault 1 desaparecesse porque a Apple diz no OS X Lion: Sobre o FileVault 2 : «Se você desativar o FileVault herdado, a guia Legado FileVault desaparecerá e você pode optar por ativar o FileVault 2 do OS X Lion ».
Quando o FileVault 2 foi configurado, fiquei muito surpreso que meu FileVault 1 continuasse com a criptografia do FileVault 1. Então, eu tinha uma segurança de dupla camada: uma conta herdada do FileVault 1 em um computador FileVault 2. Tudo o que eu precisava era de uma conta que não fosse o FileVault 1, de onde ativar o FileVault 2.
Eventualmente, desliguei o FileVault 2 novamente. Eu gosto de poder acessar o sistema de arquivos OS X no sistema Bootcamp Windows. Com o FileVault 2, isso não era mais possível. Ainda mantenho a conta do FileVault 1 e ela continua funcionando bem, mesmo no 10.8.1.