Apakah FileVault 2 di Lion memiliki perbedaan lain dibandingkan dengan versi lama, FileVault dalam rilis sistem sebelumnya? Apakah ada manfaat tambahan untuk menggunakan versi baru?
Apakah FileVault 2 di Lion memiliki perbedaan lain dibandingkan dengan versi lama, FileVault dalam rilis sistem sebelumnya? Apakah ada manfaat tambahan untuk menggunakan versi baru?
Jawaban:
Meminjam banyak dari ulasan John Siracusa's Lion ...
FileVault 2 adalah sistem Enkripsi Disk Utuh, bukan hanya solusi 'simpan folder rumah Anda dalam disk image yang dienkripsi'. Ini diimplementasikan sebagai lapisan sistem berkas di bawah volume aktual yang Anda buka pada saat boot sistem. Jika Anda terbiasa dengan LVM , caranya juga sama. Setiap kali Anda melewati kunci kata sandi, semuanya terlihat sama untuk seluruh sistem.
Seperti yang disebutkan Steve, pekerjaan enkripsi dapat dibantu oleh instruksi prosesor khusus, dan sepenuhnya berjalan di latar belakang. Yang menyenangkan adalah Anda dapat mengaktifkan enkripsi disk pada drive penuh, dan semuanya akan dilakukan dengan santai (Anda dapat mematikannya, membawanya kembali, dll. Dan semuanya akan berlanjut).
Sandi lebih sedikit dari akun 'Tamu' tidak dapat lagi dibuat karena seluruh disk dienkripsi dari hanya direktori home Pengguna. Sangat menyedihkan bahwa saya tidak dapat menemukan informasi tentang artikel kb di Apple tentang hal ini.
Filevault baru tampaknya memberikan batasan yang jauh lebih sedikit pada Anda daripada versi yang lama. Anda tidak perlu keluar untuk mesin waktu untuk bekerja, misalnya, dan semua daemon berbagi tampaknya berfungsi dengan baik (beberapa dari mereka dinonaktifkan ketika filefault diaktifkan jika saya ingat dengan benar. Saya pikir berbagi web adalah di antara mereka, yang membuat laptop saya agak tidak berguna sebagai platform pengembangan untuk aplikasi web :)).
Satu masalah dengan Filevault 2 adalah Anda tidak dapat ssh ke dalam mesin sampai Anda memasukkan kata sandi secara lokal, karena proses startup tidak dapat dimulai sampai drive yang dienkripsi telah dibuka kuncinya.
Saya yakin ada beberapa lainnya. Artikel dukungan Apple ini harus menjawab sisa pertanyaan Anda.
Dari halaman manual untukfsck_cs
:
Utilitas fsck_cs memverifikasi dan memperbaiki metadata grup volume logis CoreStorage.
...
BUG
fsck_cs tidak melakukan validasi lengkap, juga tidak dapat memperbaiki banyak inkonsistensi yang terdeteksi.
fsck_hfs (digunakan oleh Disk Utility) telah dikembangkan selama lebih dari sepuluh tahun dan mampu memperbaiki sebagian besar masalah dengan JHFS + seperti yang digunakan oleh FileVault 1.
Jika Anda menemukan masalah yang fsck_hfs
tidak dapat diperbaiki, ada beberapa utilitas pihak ketiga alternatif.
fsck_cs
(juga digunakan oleh Disk Utility) pertama kali muncul bersama dengan CoreStorage di Mac OS X 10.7.0. Inkonsistensi mungkin tidak dapat diperbaiki.
Jika kegagalan LVG terjadi dan fsck_cs
tidak dapat melakukan perbaikan yang diperlukan, maka volume startup Anda tidak akan meningkat. Dalam situasi ini, Anda dapat memformat ulang disk secara destruktif dan menginstal ulang Mac OS X. (Menggunakan Recovery OS Time Machine saja tidak akan memberikan Apple_Boot Recovery HD yang diperlukan untuk FileVault 2.)
Satu kekurangan yang bisa saya lihat adalah sebelum Anda bisa mengenkripsi akun pengguna individu, sedangkan sekarang Anda hanya bisa mengenkripsi seluruh disk. Jika Anda mengenkripsi seluruh disk, Anda juga harus mendekripsi seluruh disk setiap kali Anda menggunakan komputer. Ini berarti bahwa begitu komputer di-boot, seluruh disk dapat diakses oleh malware, sedangkan sebelum Anda dapat masuk (dan segera keluar dari) ke akun yang sangat penting keamanan secara terpisah.
Saya kira Anda masih dapat menggunakan gambar disk terenkripsi di atas FileVault untuk data yang sangat penting.
Masalah lain adalah Time Machine. Sedangkan sebelum direktori pengguna FileVault juga disimpan dienkripsi pada volume cadangan, yang tampaknya tidak menjadi masalah lagi.
Apakah ada yang tahu jika Time Machine sekarang mendukung enkripsi seluruh disk (dari laporan sejauh ini tampaknya tidak diaktifkan untuk drive eksternal, setidaknya tidak melalui GUI)?
Pembaruan: Rupanya, Time Machine tidak mendukung enkripsi seluruh disk: Dapatkah volume Time Machine dengan mudah dienkripsi dengan FileVault 2?
Mirip dengan jawaban yang ditawarkan oleh Thilo. Logika ini berlaku untuk komputer mana pun dengan dua atau lebih administrator.
Ada tingkat keamanan yang baik untuk mencegah seseorang tanpa kata sandi utama mengakses data orang lain.
Administrator mana pun dapat melihat, menyalin, mengedit semua data pengguna lain.
Contoh
Dua mitra bisnis berbagi komputer, keduanya adalah administrator. Salah satu dari dua mitra mungkin ingin merahasiakan sesuatu. Mitra yang memegang kata sandi utama, yang ingin merahasiakan sesuatu, tidak memberikan kata sandi itu kepada mitra lain.
Dengan FileVault 2 saja dalam skenario seperti itu, keamanan dan privasi mudah diabaikan - sudo langsung terlintas dalam pikiran.
Perbandingan
Enkripsi ZFS di Oracle Solaris , yang dapat diterapkan ke direktori home pengguna.
Jika pengguna FileVault 2 dalam situasi di atas membutuhkan keamanan ekstra, orang itu dapat:
Sebagai alternatif, orang itu mungkin menggunakan hanya sebagian dari disk yang ada ... tetapi manajemen partisi di dalam dan di sekitar dunia CoreStorage sulit , jadi untuk kesederhanaan jangka panjang: Saya akan merekomendasikan investasi dalam disk tambahan / terpisah.
Harapkan beberapa data pengguna untuk ditulis ke subdirektori dari /private/var/folders
- semua administrator akan memiliki akses ke data ini. Solusi untuk ini berada di luar cakupan pertanyaan ini.
Untuk disk yang menggunakan FileVault 2 - atau aplikasi Core Storage lainnya - mungkin tidak mungkin untuk menambah atau mengubah ukuran partisi menggunakan Disk Utility.
Di Super User:
Harapkan Apple manual diskutil (8) Halaman OS X akan diperbarui untuk 10,7 pada waktunya. Sementara itu, jika Anda sudah menginstal Lion, baca halaman manual di Terminal.
Untuk setiap pengguna yang menggunakan FileVault 1:
Di Mac OS X 10.7 (Build 11A511) Anda dapat mengizinkan pengguna untuk membuka kunci volume startup, tetapi begitu diaktifkan:
Nonaktifkan kemampuan pengguna untuk membuka kunci volume FileVault 2 pada saat startup / login
Versi 1.0 dari asisten yang digunakan dengan FileVault 2 di Mac OS X 10.7 (Build 11A511) memang menghasilkan OS Pemulihan pada USB flash drive. Namun:
Saya menemukan masalah ini dengan dua komputer yang berbeda.
Dalam pengalaman saya, dampaknya biasanya dapat diterima. Saya ingin melihat tolok ukur yang relevan.
Di Ask Different: Kecepatan filevault lama vs. enkripsi Lion full disk baru
Apple menyarankan:
- halaman di-cache 2011-07-28 .
AnandTech - Kembali ke Mac: Ulasan OS X 10.7 Lion: Kinerja FileVault mengamati:
... Secara keseluruhan hit pada kinerja I / O murni ada di kisaran 20 - 30% . Ini terlihat tetapi tidak cukup besar untuk melebihi manfaat enkripsi disk penuh. ...
Saya ingin peninjau AnandTech mempertimbangkan hal-hal lagi secara lebih luas, termasuk setidaknya:
Lebih banyak pengamatan tentang CPU, kernel_task dan lain-lain di Re: [Fed-Talk] Lion FileVault (2011-07-22) ( highlight ).
Jangan berharap akses jarak jauh ke jendela masuk EFI.
Dua volume berukuran cukup (satu direktori home), dengan seperangkat B-tree yang baik, mungkin lebih mudah bagi sistem untuk mengelola - dan hampir pasti berkinerja lebih baik - daripada volume kolosal tunggal dengan atribut dan katalog B-tree yang kebesaran dan terfragmentasi.
FileVault 1 menggunakan pita ukuran yang dioptimalkan.
Bergantung pada konten direktori home, meninggalkan band-band yang mendukung jumlah file kecil yang lebih besar dapat secara signifikan meningkatkan ukuran dan fragmentasi area kritis berikut dari volume startup:
Berikut ini dapat diperdebatkan di luar cakupan pertanyaan pembukaan, dan relatif teknis, tetapi untuk setiap pengguna komputer dengan (a) memori terbatas dan (b) sejumlah besar file di dalam dan di luar direktori home mereka, ada baiknya dipikirkan sebelumnya meninggalkan FileVault 1.
Jika jumlah ukuran B-tree terlalu besar, dan jika perbaikan diperlukan, utilitas pihak ketiga di komputer Anda mungkin tidak dapat memperbaiki kerusakan.
Jika volume tidak dapat diperbaiki oleh fsck_hfs - yang paling jelas menggunakan Disk Utility, kurang jelas setiap kali sistem menemukan sistem file yang kotor - pengguna dapat beralih ke utilitas pihak ketiga yang disegani.
Saya menghadapi situasi di mana jumlah ukuran pohon-B - dalam kaitannya dengan memori fisik - terlalu besar untuk utilitas pihak ketiga untuk bekerja sebagaimana diperlukan untuk volume cadangan terenkripsi Penyimpanan Inti yang tidak dapat diperbaiki oleh fsck_hfs
. Karena MacBookPro5,2 saya dapat mengambil tidak lebih dari 8 GB, jadi untuk beberapa waktu volume ini hanya dapat dibaca.
Saya mungkin telah mengambil volume, dengan atau tanpa komputer, ke penyedia layanan untuk mendapat perhatian di lingkungan dengan lebih banyak memori. Namun untuk keamanan, saya tidak boleh memberikan kata sandi atau kunci untuk pihak ketiga - betapapun tepercaya - untuk beberapa jenis volume.
Akhirnya dan tanpa disangka fsck_hfs
Lion in memperbaiki volume tanpa saya menggunakan Disk Utility, mungkin berkat saya secara eksperimental (berisiko?) Menghapus volume dari dunia coreStorage ( membalikkan , sepenuhnya mengubah mundur) sementara dalam keadaan tidak dapat diperbaiki dan read-ony . Itu adalah hasil yang menyenangkan bagi saya, dan acungan jempol untuk Apple untuk kualitas dan kemampuan 10.7 (Build 11A511), tetapi ini harus menjadi peringatan bagi pembaca lain.
Tidak semua instalasi Lion mendapatkan Apple_Boot
Recovery HD tersembunyi yang diperlukan untuk FileVault 2 - OS X Lion: "Beberapa fitur Mac OS X Lion tidak didukung untuk disk (nama volume)" muncul selama instalasi (2011-07-21) .
... Anda tidak akan dapat menggunakan FileVault ...
Jika ini terjadi - dan jika Anda meninggalkan FileVault 1 sebelum memutakhirkan ke Lion - Mac Anda dengan Lion akan menjadi kurang aman .
The saran diterbitkan oleh Macworld sebelum rilis dari Lion terus menyarankan pengguna untuk menonaktifkan FileVault 1 sebelum menginstal Lion. Ini paling tidak lazim bagi Macworld untuk memberikan saran yang kontroversial tetapi dalam kasus ini, saya sangat tidak setuju.
Cara termudah untuk membuat rumah FileVault 1 di Snow Leopard sebelum meningkatkan ke Lion.
Jika tanpa Snow Leopard: Anda dapat menggunakan Lion untuk membuat rumah, tetapi ada beberapa langkah untuk rutin.
Setelah menonaktifkan Filevault 1, apakah mungkin untuk mengaktifkannya lagi di Lion?
Dengan menggabungkan FileVault 2 dengan FileVault 1, Anda dapat memiliki keamanan lapisan ganda. Perhatikan bahwa ini akan menyebabkan masalah dengan TimeMachine dan berbagi. Oleh karena itu, keamanan lapis ganda ini hanya disarankan untuk akun di mana TimeMachine dimatikan!
Di komputer saya, saya memiliki akun pekerjaan sehari-hari, akun FileVault 1 (dikecualikan dari TimeMachine) dan akun administrator. Ketika saya mengaktifkan FileVault 2 dari akun pekerjaan sehari-hari saya (menggunakan kata sandi akun administrator), saya berharap FileVault 1 menghilang karena Apple mengatakan di OS X Lion: Tentang FileVault 2 : «Jika Anda mematikan Legacy FileVault, tab Legacy FileVault akan hilang dan Anda kemudian dapat memilih untuk mengaktifkan FileVault 2 »OS X Lion.
Ketika FileVault 2 sudah diatur, saya sangat terkejut bahwa FileVault 1 saya terus memiliki enkripsi FileVault 1. Jadi saya memiliki keamanan lapisan ganda: Akun FileVault 1 lama dalam komputer FileVault 2. Yang saya butuhkan adalah akun non-FileVault 1 dari mana untuk mengaktifkan FileVault 2.
Akhirnya, saya mematikan FileVault 2 lagi. Saya suka bisa mengakses sistem file OS X dari sistem Bootcamp Windows. Dengan FileVault 2, itu tidak mungkin lagi. Saya masih menyimpan akun FileVault 1 dan terus berfungsi dengan baik, bahkan di 10.8.1.