Как включить шифрование Time Machine в командной строке?

13

Возможно ли включить шифрование для целевого диска Time Machine с помощью сценария или с помощью командной строки?

Является ли зашифрованный диск Time Machine таким же, как обычный диск, полностью зашифрованный с помощью FileVault?

Я хотел бы автоматизировать столько, сколько удобно при установке Mac для нового пользователя. Это включает в себя резервные копии. Мы используем OS X Mountain Lion.

Дополнительные открытия:

  • Вы можете попросить зашифровать цель из графического интерфейса настроек Time Machine. Это не заставляет это показываться как таковое с помощью fdesetupкоманды. Однако он будет перечислен как зашифрованный с использованиемdiskutil cs list
  • Если вы сначала зашифруете диск, графический интерфейс prefs Time Machine скажет «Зашифровать резервные копии» для этой записи. Это поддержит метод, предложенный ниже Рене (за исключением того, что он предлагает сделать это на зашифрованном изображении, размещенном на диске).
mountain-lion time-machine filevault encryption llaurén
источник
Я не создал полную цепочку инструментов, но fdesetupэто инструмент для шифрования тома, и, как только это будет сделано, tmutil setdestinationвы сможете установить подключенный диск в качестве места назначения для машины времени.
bmike
Вы также должны быть в состоянии выбрать sparsebundle tmutil inheritbackup [machine_directory | sparsebundle], который вы создали заранее - возможно, зашифрованныйhdiutil -encryption [AES-128|AES-256]
Rene Larsen
@bmike - Чтобы выяснить, действительно ли File Vault совпадает с шифрованием Time Machine, я зашифровал целевой диск Time machine с помощью графического интерфейса. Хотя sudo diskutil cs listпоказывает, что том теперь зашифрован, sudo fdesetup statusговорит мне, что FileVault выключен.
Llaurén
1
Помните - хранилище файлов означает загрузочную ОС с ключами, расположенными так, чтобы одна или несколько учетных записей пользователей могли расшифровывать образ во время загрузки для запуска системы, тогда как Time Machine просто использует один и тот же базовый зашифрованный контейнер и уровень основного хранилища без учета учетных записей пользователей. или весь процесс загрузки. Time Machine просто нужно смонтировать том после загрузки системы.
bmike
Мне жаль, что у меня нет ответа для вас, но в этой ветке ведутся разговоры о том, как сделать резервную копию существующей машины времени и зашифровать ее. Discussions.apple.com/thread/4520699
Анил Натха

Ответы:

3

Нет, извини, нут, я думаю, ты ошибаешься.

Является ли зашифрованный диск Time Machine таким же, как обычный диск, полностью зашифрованный с помощью FileVault?

Да. Это. Это будет «FileVault 2», о котором мы говорим, он же CoreStorage, новый менеджер логических томов Apple. Это отличается от предыдущих технологий TM и FileVault, которые основаны на AES-зашифрованных дисковых образах с зашифрованным комплектом (которые все еще используются для сетевых резервных копий и т. Д.). Процесс, который запускается в Системных настройках (в наши дни), когда вы включаете шифрование диска (будь то на внешнем диске, для Time Machine или на загрузочном диске для FileVault), при условии, что диск подходит, он выполняет онлайн-преобразование из традиционной Таблица разделов GPT для единого хранилища монолитных данных с очень маленьким разделом для прошивки CS. Логические тома (в группах логических томов) затем выделяются из этого, и эти (программные) тома затем форматируются и шифруются в HFS.

Я считаю, что самый простой способ сделать это будет:

  • Прикрепите диск, который вы собираетесь использовать, протрите его. Свободное место или один раздел HFS +.
  • diskutil cs create/convert (не был / был отформатирован; не важен) для инициализации и добавления нового LVG
  • diskutil cs createVolume, создайте один LV. На этом этапе вы можете включить шифрование с помощью diskutil cs encryptVolume, если знаете пароль, который собираетесь использовать; в противном случае оставьте это незашифрованным пока.
  • diskutil partitionDisk diskX - см. ниже - тома CS выглядят так, как будто они полностью автономны, отдельные диски, поэтому вы разделяете диск.

Затем: смонтируйте и разблокируйте том на компьютере вашего нового пользователя. Как только диск разблокирован, не должно возникнуть никаких проблем с его адаптацией. Если вы хотите , чтобы поместить его в конфигурационный сценарий, я считаю , что это просто что - то вроде tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Это часть, в которой я менее всего уверен, но я также уверен, что это легко выполнимо. Я сам не делал этого для Time Machine сам по себе, но я все это время предварительно зашифровывал диски для FileVault, и операционная система просто знает, что делать с ними после этого.

Правильно подходящий CS-enabled-disk будет выглядеть следующим образом в diskutil (хотя у вас может не быть третьего раздела на disk0, если он знает, что это не будет загрузочный диск:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 никогда не будет отображаться как зашифрованный, поскольку именно с этого менеджера томов в основном приходится «загружаться». disk1 будет зашифрован и потребует пароль для монтирования.

Джефф Никсон
источник
1

Я дам шанс ответить.

Зашифрованное резервное копирование Time Machine - это не то же самое, что FileVault, на самом деле это то же самое, что выбрать «Mac OS Extended ([чувствительно к регистру], журналируется, зашифровано)» в Disk Utility.

Поэтому, чтобы автоматизировать его с помощью внешнего накопителя, предполагая, что это «диск1», я думаю, что должно работать следующее (извините, у вас нет запасного USB-накопителя для тестирования):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
chikpee
источник
Я должен проверить это, когда вернусь на работу. OSX не очень дружелюбно говорил мне, что резервные копии на самом деле зашифрованы.
Llaurén
Я думаю, что сетевое резервное копирование машины времени должно быть примерно таким же, за исключением создания нового комплекта образов диска, а не разбиения диска.
drfrogsplat
<так как у меня пока недостаточно репсов, чтобы комментировать @G. Ответ Nix> И загрузочный диск с включенным FileVault 2, и зашифрованный резервный диск Time Machine являются логическими томами Core Storage ... но я думаю, что FileVault 2 специально относится к функции полного шифрования диска, где вместо того, чтобы пользователь выбирал кодовую фразу шифрования генерируется случайный ключ восстановления, и только авторизованные учетные записи пользователей могут получить к нему доступ при входе в систему и расшифровать оставшуюся часть диска.
chikpee