Почему FileVault не работает на томе RAID?

16

На работе я сказал своему коллеге, что невозможно включить Filevault на томе RAID. Он был удивлен и спросил меня о технической причине.

Так что я хотел бы знать. Это странно, потому что Filevault находится на программном уровне, а RAID - на аппаратном уровне.

Benoit
источник
Я предполагаю, что вы говорите о томе RAID, созданном Дисковой утилитой?
nohillside
@patrix Да, например, 2 внутренних жестких диска, установленных в RAID-1 в Mac Mini.
Бенуа

Ответы:

2

Оба используют одну и ту же структуру данных для создания тома внутри тома.

Каждый создает оболочку, и данные, находящиеся на диске, шифруются / отображаются с помощью криптографической функции, так что одни и те же данные, записанные в два разных блока, оказываются физически разными на диске. Это FileVault 2.

Другой создает оболочку, и данные на диске либо отражаются в другом месте, либо отображаются с помощью функции разделения или общей контрольной суммы, так что данные на диске физически являются частью контрольной суммы или частью логического блока в файловой системе. Это RAID.

Инструменты Apple для RAID и шифрования - не единственные, которые вы можете использовать, но именно так они и созданы в настоящее время - чтобы быть взаимоисключающими. Я ожидаю, что это не изменится в системах на основе HFS +, так как Apple анонсировала новую APFS для Sierra (macOS 10.12), которая позволит значительно более надежное шифрование хранилища и параметры охвата физического тома, такие как COW, снимки, шифрование файлов и т. Д ...

bmike
источник
Вы действительно должны удалить этот ответ, так как он почти не содержит фактов и в основном бессмысленен. Я не пытаюсь быть грубым, и я прошу прощения, если взят так, я просто не могу придумать более дипломатичный способ выразить это. Извините за резкость.
DanielSmedegaardBuus
Не беспокойтесь @DanielSmedegaardBuus, так как ядро ​​хранилища сделано и прошло, и есть хороший ответ, я думаю, что это может продолжаться, пока ОП хочет, чтобы он был выбран. Мне неудобно менять ответ после этого, если только он не причиняет вреда, и я не вижу изменений, которые могут исправить разницу во мнениях. Я считаю, что никто не должен этого делать, не тогда и, конечно, не сейчас. Я также рад за исчерпывающий ответ Мейнарда о том, что возможно, даже если он ограничен в использовании или некоторые люди не согласны с тем, стоит ли вообще это делать.
bmike
26

Предыдущий ответ, который я дал здесь, был неправильным (как и ответ bmike).

Предыдущий ответ, который я дал, заключался в том, что если у вас возникли проблемы, обходным путем является создание зашифрованного образа диска, охватывающего весь набор AppleRaid. Теоретически это работает, но настолько ужасно медленно (примерно в 10 раз медленнее, чем доступ к сырому диску), что его практически невозможно использовать, что заставило меня взглянуть на утилиту командной строки diskutil более подробно. И что вы знаете - вы МОЖЕТЕ делать то, что хотели, это просто требует определенной работы. Вы должны сделать это через командную строку, и даже там вы не можете сделать это с помощью самых простых команд, но это может быть сделано, и Apple поддерживает ее на 100%, а не какой-то странный взлом.

Итак, давайте предположим, что у вас есть том Apple Raid, который вы каким-то образом создали, либо через Дисковую утилиту, либо через командную строку.

Примечание. Этот процесс отформатирует ваш RAID и зашифрует его. Сделайте резервную копию любых данных, которые вы хотите сохранить (хотя бы дважды), прежде чем продолжить.

Первое, что нам нужно, это узнать низкоуровневый идентификатор ОС для интересующего вас объема Apple Raid, поэтому введите:

diskutil list

который предоставит вам список различных жестких дисков, разделов и логических жестких дисков (например, томов Apple RAID) в вашей системе. Посмотрите на список и выясните, основываясь на имени, размере, независимо от того, какой том Apple RAID мы хотим зашифровать. Убедитесь, что вы получили ПРАВИЛЬНЫЙ идентификатор, иначе вы уничтожите какой-то другой том. При этом целесообразно отсоединять (вручную - вытягивать кабели!) Все жесткие диски, не относящиеся к проблеме, включая, очевидно, резервные диски!

Таким образом, список говорит нам, что интересующее устройство, скажем, диск7

Далее мы хотим создать оболочку Core Storage LVG (логическая группа томов) вокруг устройства. Я не собираюсь утверждать, что я понимаю терминологию Core Storage и почему они используют другое слово для всего, по сравнению с Apple RAID, но, насколько я могу судить, LVG по сути является версией Core Storage логического жесткого диска. Так типа:

diskutil cs createLVG BackupImacLVG disk7

BackupImacLVG - это имя, которое мы даем логическому жесткому диску, который мы создаем. Эта команда займет несколько секунд, а затем выплюнет длинную строку, которая является «именем» (UUID) созданного нами LVG. Мы используем это на следующем шаге.

Мы не закончили. Теперь нам нужно создать эквивалент раздела (который Core Storage называет логическим томом) на этом логическом жестком диске. Вот следующая команда:

diskutil cs createLV 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B JHFS+ BackupImac 100% -stdinpassphrase

В приведенной выше команде: 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B - это UUID LVG, о котором нам только что сказали (убедитесь, что вы используете свой собственный), а JHFS + - файловая система, которую мы хотим создать в разделе. BackupImac будет именем тома, созданного в этом разделе. 100% говорит, сколько места мы хотим дать этому разделу. (Есть несколько разных способов указать размеры, но большинство людей, вероятно, будут использовать 100%). -stdinpassphrase говорит, что мы хотим использовать шифрование.

Затем командная строка выдаст запрос:

Passphrase for new volume:

Вы вводите пароль, и все готово. (Обратите внимание, что здесь нет полезного пользовательского интерфейса Apple FileVault! Нет предложения сохранить ваш пароль для вас в Apple, нет второго запроса пароля, чтобы убедиться, что вы его правильно ввели!)

Конечный результат всего этого - именно то, на что вы надеетесь и чего ожидаете. Зашифрованный том со всей производительностью предыдущего тома AppleRAID. (И если вы посмотрите на справочную страницу diskutil, то увидите, что они явно указывают тома Apple RAID в качестве поддерживаемых целей для diskutil cs createLVG, так что это не какой-то странный крайний случай, который официально не поддерживается.)

Disk Utility.app не обновляет свой пользовательский интерфейс (в этом отношении он действительно плохой - это постоянная проблема в OSX), поэтому закройте его и перезапустите. Теперь вы увидите вместе со своими кусочками RAID новый «жесткий диск» с именем BackupImacLVG (или как вы его называли) вместе с разделом с именем BackupImac (или как вы его называли) с форматом «Зашифрованный логический раздел» ,

Одна вещь, о которой нужно знать. Диск монтируется в процессе создания без запроса пароля (вы дали пароль в командной строке).

После того, как вы закончите, вы можете размонтировать том, выключить жесткие диски тома AppleRAID, снова включить их и посмотреть, что произойдет. Если вы все сделали правильно, как только все фрагменты Apple RAID раскрутятся и будут обнаружены ОС, на экране должно появиться окно с запросом пароля, чтобы можно было смонтировать диск.

Мейнард Хэндли
источник
Замечательно, что вы определили метод. Я уже давно этого хочу. Не уверен, что в настоящее время я готов создать образ своего RAID-набора, чтобы я мог отформатировать его и затем скопировать обратно, это своего рода огромный набор. Хммм ..
Джеймс Т Снелл
При вводе ключевой фразы в командной строке подтверждения нет. Это немного раздражает, но после этого вы можете зайти в GUI DiskUtility и нажать «Стереть» в разделе, чтобы получить красивое приглашение с двойным паролем и индикатором сложности. Спасибо за документирование этого процесса!
DACC
@Maynard Handley - это будет работать для RAID0 в Йосемити? Спасибо.
Thepen
Я могу подтвердить, для всех заинтересованных, что это работает в El Capitan (10.11) и для томов Time Machine.
Мэтт
3
Я подтверждаю успех для MacOS 10.12 Sierra (протестировано на Mac Pro). Я создал зеркало AppleRAID с шифрованием и журналом HFSX (HFSX чувствителен к регистру HFS +). Дисковая утилита зависала вскоре после выполнения этих шагов, поэтому я закончил: 1.) перезагрузкой Mac, 2.) входом в Finder, 3.) успешным запуском Disk Utility. Я также удалил элемент (физический диск) из зеркала RAID и протестировал его, чтобы убедиться, что оставшийся элемент (диск) вел себя как ожидалось. Он сделал: после перезагрузки Mac и входа в систему, единственный участник не мог смонтировать, пока я не ввел правильную фразу-пароль. Спасибо.
user3051849