¿FileVault 2 en Lion tiene alguna otra diferencia en comparación con la versión anterior, FileVault en versiones anteriores del sistema? ¿Hay algún beneficio adicional al usar la nueva versión?
¿FileVault 2 en Lion tiene alguna otra diferencia en comparación con la versión anterior, FileVault en versiones anteriores del sistema? ¿Hay algún beneficio adicional al usar la nueva versión?
Préstamos en gran medida de John Siracusa's Revisión del león ...
FileVault 2 es un sistema de cifrado de disco completo, en lugar de solo "almacenar su carpeta de inicio en una solución de imagen de disco cifrada". Se implementa como una capa de sistema de archivos por debajo del volumen real que desbloquea en el momento de inicio del sistema. Si está familiarizado con LVM , es muy similar. Cada vez que pasa el bloqueo de contraseña, todo se ve igual al resto del sistema.
Como Steve mencionó, el trabajo de encriptación puede ser asistido por instrucciones de un procesador especializado, y se ejecuta completamente en segundo plano. Lo bueno es que puede activar el cifrado del disco en una unidad completa, y todo se hará de forma libre (puede apagarlo, volver a activarlo, etc. y todo continuará).
Ya no se pueden crear cuentas de 'Invitado' sin contraseña, ya que todo el disco está cifrado y no solo el directorio principal del usuario. Es triste que no haya podido encontrar información sobre el artículo de kb en Apple sobre esto.
El nuevo Filevault parece ponerle muchas menos restricciones que la versión anterior. Por ejemplo, no tiene que cerrar sesión en Time Machine para trabajar, y todos los demonios de uso compartido parecen funcionar bien (algunos de ellos se desactivaron cuando se activó la falla de archivo si recuerdo correctamente. Creo que el intercambio de sitios web estaba entre ellos, lo cual hizo que mi computadora portátil fuera un poco inútil como plataforma de desarrollo para aplicaciones web :)).
Un problema con Filevault 2 es que no puede ssh en una máquina hasta que haya ingresado una contraseña localmente, ya que el proceso de inicio no puede comenzar hasta que se haya desbloqueado la unidad cifrada.
Estoy seguro de que hay algunos otros. Este artículo de soporte de Apple debería responder el resto de tus preguntas.
De la página de manual para fsck_cs :
La utilidad fsck_cs verifica y repara los metadatos del grupo de volúmenes lógicos de CoreStorage.
...
ERRORES
fsck_cs no realiza una validación exhaustiva, ni es capaz de solucionar muchas de las inconsistencias que detecta.
fsck_hfs (utilizado por Disk Utility ) se ha desarrollado durante más de diez años y es capaz de reparar la mayoría de los problemas con JHFS + como lo usa FileVault 1.
Si encuentra un problema que fsck_hfs no puede reparar, hay varias utilidades alternativas de terceros.
fsck_cs (también utilizado por Disk Utility) apareció por primera vez junto con CoreStorage en Mac OS X 10.7.0. Las inconsistencias pueden ser irreparables.
Si se produce un error en el LVG y fsck_cs no puede realizar las reparaciones necesarias, el volumen de inicio no se montará. En esta situación, puede reformatear el disco de forma destructiva y reinstalar Mac OS X. (Solo con Time OS de Recovery OS, no se proporcionará el Apple_Boot Recovery HD necesario para FileVault 2.)
Un inconveniente que puedo ver es que antes de poder cifrar cuentas de usuarios individuales, ahora solo puede cifrar todo el disco. Si cifra todo el disco, también tiene que descifrar todo el disco cada vez que use la computadora. Esto significa que una vez que se inicia la computadora, el malware puede acceder a todo el disco, mientras que antes de poder iniciar sesión (y luego volver a salir) de las cuentas críticas para la seguridad por separado.
Supongo que aún puedes usar imágenes de disco cifradas sobre FileVault para obtener datos realmente importantes.
Otro problema podría ser Time Machine. Mientras que antes, los directorios de los usuarios de FileVault también se almacenaban encriptados en el volumen de copia de seguridad, ese ya no parece ser el caso.
¿Alguien sabe si Time Machine ahora también admite el cifrado de todo el disco (de los informes hasta ahora parece que no está habilitado para unidades externas, al menos no a través de la GUI)?
Actualización: Aparentemente, Time Machine no admite el cifrado de todo el disco: ¿Se pueden encriptar fácilmente los volúmenes de Time Machine con FileVault 2?
Similar a la respuesta ofrecida por Thilo. Esta lógica se aplica a cualquier computadora con dos o más administradores.
Hay un buen nivel de seguridad para evitar que una persona sin la contraseña maestra acceda a los datos de otra persona.
Cualquier administrador puede ver, copiar, editar los datos de todos los demás usuarios.
Ejemplo
Dos socios comerciales comparten una computadora, ambos administradores. A uno de los dos socios le gustaría mantener algo privado. El socio que posee la contraseña maestra, que desea mantener algo privado, no le da esa contraseña al otro socio.
Con FileVault 2 solo en estos escenarios, la seguridad y la privacidad son fácilmente ignoradas, sudo viene inmediatamente a la mente.
Comparison
ZFS cifrado en Oracle Solaris , que puede aplicarse a los directorios personales de los usuarios.
Si un usuario de FileVault 2 en la situación anterior requiere seguridad adicional, esa persona puede:
Alternativamente, esa persona puede usar solo una parte de un disco existente ... pero la administración de particiones en y alrededor de coreStorage world es difícil , así que para la simplicidad a largo plazo: recomendaría invertir en un disco adicional / separado.
Espere que algunos datos del usuario se escriban en un subdirectorio de /private/var/folders ; todos los administradores tendrán acceso a estos datos. Una solución para esto está más allá del alcance de esta pregunta.
Para un disco que usa FileVault 2, o cualquier otra aplicación de Core Storage, puede ser imposible agregar o cambiar el tamaño de las particiones usando la Utilidad de Discos.
En superusuario:
Espere diskutil de Apple (8) Página de manual de Mac OS X se actualizará para 10.7 a su debido tiempo. Mientras tanto, si ya instaló Lion, lea la página del manual en Terminal.
Para cualquier usuario que use FileVault 1:
En Mac OS X 10.7 (Build 11A511) puede permitir que un usuario desbloquee el volumen de inicio, pero una vez habilitado:
La versión 1.0 del asistente utilizada con FileVault 2 en Mac OS X 10.7 (compilación 11A511) produce un sistema operativo de recuperación en una unidad flash USB. Sin embargo:
Encontré este problema con dos computadoras diferentes.
En mi experiencia, el impacto es generalmente aceptable. Me gustaría ver puntos de referencia relevantes.
En Ask Different: Velocidad de Filevault anterior frente al nuevo cifrado de disco completo de Lion
Apple sugiere:
- página en caché 2011- 07-28 .
AnandTech - Volver a la Mac: OS X 10.7 Lion revisión: el rendimiento de FileVault observa:
... En general, el impacto en el rendimiento de E / S puro está en el rango de 20 a 30% . Es notable pero no lo suficientemente grande como para superar los beneficios del cifrado completo del disco. ...
Me gustaría que los revisores de AnandTech sopesen las cosas nuevamente de manera más amplia, para incluir al menos:
Más observaciones sobre CPU, kernel_task et cetera en Re: [Fed-Talk] Lion FileVault (2011-07-22) ( puntos destacados ).
No espere acceso remoto a la ventana de inicio de sesión de EFI.
Dos volúmenes de tamaño razonable (uno de ellos, un directorio de inicio), con un buen conjunto de B-trees, probablemente sean más fáciles de gestionar para el sistema, y casi con un mejor rendimiento, que un único volumen colosal con atributos y catálogo B- Árboles que están sobredimensionados y fragmentados.
FileVault 1 usa bandas de un tamaño optimizado.
Según el contenido de un directorio principal, abandonar esas bandas en favor de un número mayor de archivos más pequeños puede aumentar significativamente el tamaño y la fragmentación de las siguientes áreas críticas del volumen de inicio:
Lo que sigue está más allá del alcance de la pregunta inicial, y es relativamente técnico, pero para cualquier usuario de una computadora con (a) memoria limitada y (b) un número considerable de archivos dentro y fuera de su directorio de inicio, vale la pena pensando antes de abandonar FileVault 1.
Si la suma de los tamaños de los árboles B es demasiado grande, y si se requiere reparación, es posible que las utilidades de terceros en su computadora no puedan reparar el daño.
Si un volumen es irreparable por - lo más obvio es usar la Utilidad de Disco, menos obviamente cuando el sistema encuentra un sistema de archivos que está sucio - un usuario puede recurrir a una utilidad de terceros respetada.
Me encontré con una situación en la que la suma de los tamaños de los B-trees, en relación con la memoria física, era demasiado grande para que una utilidad de terceros funcione como se requiere para un Core Storage encriptado volumen de copia de seguridad que era irreparable por fsck_hfs . Como mi MacBookPro5,2 no puede tomar más de 8 GB, por lo que durante algún tiempo este volumen fue de solo lectura.
Es posible que haya llevado el volumen, con o sin la computadora, a un proveedor de servicios para obtener atención en un entorno con más memoria. Sin embargo, por razones de seguridad, no debería proporcionar a terceros, aunque sean de confianza, la frase de acceso o la clave para algunos tipos de volumen.
Eventualmente e inesperadamente, el fsck_hfs en Lion reparó el volumen sin que yo usara la Utilidad de Disco, posiblemente gracias a mí de forma experimental (¿con riesgo?) eliminando el volumen del mundo CoreStorage (revirtiendo, convirtiendo completamente al revés ) mientras está en el estado irreparable y de lectura . Ese fue un resultado agradable para mí, y una aprobación para Apple por las cualidades y capacidades de 10.7 (Build 11A511), pero esto debería servir como una advertencia para otros lectores.
No todas las instalaciones de Lion obtienen el Apple_Boot Recovery HD que se requiere para FileVault 2 - OS X Lion: "Algunas características de Mac OS X Lion no son compatibles con el disco (nombre del volumen)" aparecen durante la instalación (2011-07-21).
... No podrás usar FileVault ...
Si esto sucede, y si abandonaste FileVault 1 antes de la actualización a Lion, tu Mac con Lion será menos segura .
El consejo publicado por Macworld antes del lanzamiento de Lion continúa aconsejando a los usuarios deshabilite FileVault 1 antes de instalar Lion. Es muy inusual que Macworld dé consejos contenciosos, pero en este caso, estoy totalmente en desacuerdo.
Es más fácil crear el hogar de FileVault 1 en Snow Leopard antes de actualizar a Lion.
Si no tienes Snow Leopard: puedes usar Lion para crear el hogar, pero hay algunos pasos en la rutina.
Después de deshabilitar Filevault 1, ¿es posible habilitarlo nuevamente en Lion?
Al combinar FileVault 2 con FileVault 1, puede tener seguridad de doble capa. Tenga en cuenta que esto causará problemas con TimeMachine y compartir. Por lo tanto, esta seguridad de doble capa solo es aconsejable para una cuenta donde TimeMachine esté apagado.
En mi computadora, tengo una cuenta de trabajo diaria, una cuenta de FileVault 1 (excluida de TimeMachine) y una cuenta de administrador. Cuando activé FileVault 2 desde mi cuenta de trabajo diaria (usando la contraseña de la cuenta del administrador), esperaba que FileVault 1 desapareciera porque Apple dice que está en OS X Lion: Acerca de FileVault 2 : «Si desactivas Legacy FileVault, la pestaña de Legacy FileVault desaparecerá y luego puedes elegir habilitar FileVault 2 de OS X Lion».
Cuando se configuró FileVault 2, me sorprendió mucho que mi FileVault 1 continuara con el cifrado de FileVault 1. Así que tuve una seguridad de doble capa: una cuenta de FileVault 1 heredada dentro de una computadora FileVault 2. Todo lo que necesitaba era una cuenta que no fuera de FileVault 1 desde donde activar FileVault 2.
Finalmente, volví a desactivar FileVault 2. Me gusta poder acceder al sistema de archivos OS X desde el sistema de Bootcamp Windows. Con FileVault 2, eso ya no era posible. Todavía conservo la cuenta de FileVault 1 y sigue funcionando bien, incluso en 10.8.1.
Lea otras preguntas en las etiquetas lion filevault core-storage