FileVault 2 trong Lion có bất kỳ sự khác biệt nào khác so với phiên bản cũ, FileVault trong các phiên bản trước của hệ thống không? Có bất kỳ lợi ích bổ sung để sử dụng phiên bản mới?
FileVault 2 trong Lion có bất kỳ sự khác biệt nào khác so với phiên bản cũ, FileVault trong các phiên bản trước của hệ thống không? Có bất kỳ lợi ích bổ sung để sử dụng phiên bản mới?
Câu trả lời:
Vay mượn rất nhiều từ đánh giá Lion của John Siracusa ...
FileVault 2 là một hệ thống Mã hóa Toàn bộ Đĩa, trái ngược với chỉ là 'lưu trữ thư mục nhà của bạn trong một giải pháp hình ảnh đĩa được mã hóa'. Nó được triển khai như một lớp hệ thống tập tin bên dưới âm lượng thực mà bạn mở khóa khi khởi động hệ thống. Nếu bạn quen thuộc với LVM , nó cũng giống như vậy. Bất cứ khi nào bạn vượt qua khóa mật khẩu, mọi thứ đều giống với phần còn lại của hệ thống.
Như Steve đã đề cập, công việc mã hóa có thể được hỗ trợ bởi các hướng dẫn bộ xử lý chuyên dụng và chạy hoàn toàn trong nền. Điều tuyệt vời là bạn có thể bật mã hóa ổ đĩa trên một ổ đĩa đầy đủ và mọi thứ sẽ được thực hiện một cách thoải mái (bạn có thể tắt nó, đưa nó trở lại, v.v. và mọi thứ sẽ tiếp tục).
Mật khẩu ít tài khoản 'Khách' không còn có thể được tạo do toàn bộ đĩa được mã hóa thay vì chỉ thư mục chính của Người dùng. Thật buồn khi tôi không thể tìm thấy bất kỳ thông tin nào trên bài viết kb trên Apple về điều này.
Filevault mới dường như đặt ra ít ràng buộc hơn cho bạn so với phiên bản cũ. Ví dụ, bạn không cần phải đăng xuất để cỗ máy thời gian hoạt động, và tất cả các trình tiện ích chia sẻ dường như hoạt động tốt (một số trong số chúng đã bị vô hiệu hóa khi bật filefault nếu tôi nhớ chính xác. làm cho máy tính xách tay của tôi trở nên vô dụng khi trở thành nền tảng phát triển cho các ứng dụng web :)).
Một vấn đề với Filevault 2 là bạn không thể ssh vào máy cho đến khi bạn nhập mật khẩu cục bộ, vì quá trình khởi động không thể bắt đầu cho đến khi ổ đĩa được mã hóa được mở khóa.
Tôi chắc chắn có một vài cái khác. Bài viết hỗ trợ này của Apple sẽ trả lời các câu hỏi còn lại của bạn.
Từ trang hướng dẫn chofsck_cs :
Tiện ích fsck_cs xác minh và sửa chữa siêu dữ liệu nhóm khối lượng logic CoreStorage.
...
GIỎI
fsck_cs không thực hiện xác nhận toàn diện, cũng không thể khắc phục nhiều sự không nhất quán mà nó phát hiện ra.
fsck_hfs (được sử dụng bởi Disk Utility) đã được phát triển hơn mười năm và có khả năng sửa chữa hầu hết các sự cố với JHFS + như được sử dụng bởi FileVault 1.
Nếu bạn gặp phải sự cố fsck_hfskhông thể sửa chữa, có nhiều tiện ích bên thứ ba thay thế.
fsck_cs(cũng được sử dụng bởi Disk Utility) lần đầu tiên xuất hiện cùng với CoreStorage trong Mac OS X 10.7.0. Sự không nhất quán có thể không thể khắc phục.
Nếu thất bại LVG xảy ra và fsck_cskhông thể sửa chữa cần thiết, thì khối lượng khởi động của bạn sẽ không gắn kết. Trong tình huống này, bạn có thể định dạng lại một cách triệt để đĩa và cài đặt lại Mac OS X. (Chỉ sử dụng Recovery OS Time Machine sẽ không cung cấp Apple_Boot Recovery HD cần thiết cho FileVault 2.)
Một nhược điểm tôi có thể thấy là trước khi bạn có thể mã hóa tài khoản người dùng cá nhân, trong khi bây giờ bạn chỉ có thể mã hóa toàn bộ đĩa. Nếu bạn mã hóa toàn bộ đĩa, bạn cũng phải giải mã toàn bộ đĩa mỗi khi bạn sử dụng máy tính. Điều này có nghĩa là một khi máy tính được khởi động, toàn bộ đĩa có thể truy cập được phần mềm độc hại, trong khi trước khi bạn có thể đăng nhập (và một lần nữa thoát ra) vào các tài khoản quan trọng về bảo mật.
Tôi cho rằng bạn vẫn có thể sử dụng hình ảnh đĩa được mã hóa trên FileVault cho dữ liệu thực sự quan trọng.
Một vấn đề khác có thể là cỗ máy thời gian. Trong khi trước khi các thư mục của người dùng FileVault cũng được lưu trữ được mã hóa trên ổ đĩa sao lưu, thì điều đó dường như không còn xảy ra nữa.
Có ai biết nếu Time Machine bây giờ cũng hỗ trợ mã hóa toàn bộ đĩa không (từ các báo cáo cho đến nay dường như nó không được kích hoạt cho các ổ đĩa ngoài, ít nhất là không thông qua GUI)?
Cập nhật: Rõ ràng, Time Machine không hỗ trợ mã hóa toàn bộ đĩa: Khối lượng Time Machine có thể được mã hóa dễ dàng với FileVault 2 không?
Tương tự như câu trả lời được cung cấp bởi Thilo. Logic này áp dụng cho bất kỳ máy tính nào có hai hoặc nhiều quản trị viên.
Có một mức độ bảo mật tốt để ngăn chặn một người không có mật khẩu chính truy cập vào bất kỳ dữ liệu nào của người khác.
Bất kỳ quản trị viên nào cũng có thể xem, sao chép, chỉnh sửa tất cả dữ liệu của người dùng khác.
Thí dụ
Hai đối tác kinh doanh chia sẻ một máy tính, cả hai quản trị viên. Một trong hai đối tác có thể muốn giữ một cái gì đó riêng tư. Đối tác giữ mật khẩu chính, người muốn giữ riêng tư, không cung cấp mật khẩu đó cho đối tác khác.
Với riêng FileVault 2 trong các tình huống như vậy, bảo mật và quyền riêng tư dễ dàng bị bỏ qua - sudo xuất hiện ngay lập tức.
So sánh
Mã hóa ZFS trong Oracle Solaris , có thể áp dụng cho các thư mục nhà của người dùng.
Nếu người dùng FileVault 2 trong tình huống trên yêu cầu bảo mật thêm, người đó có thể:
Ngoài ra, người đó có thể chỉ sử dụng một phần của đĩa hiện có nhưng quản lý phân vùng trong và xung quanh thế giới coreStorage rất khó khăn , vì vậy để đơn giản lâu dài: Tôi khuyên bạn nên đầu tư vào một đĩa bổ sung / riêng biệt.
Yêu cầu một số dữ liệu người dùng được ghi vào thư mục con /private/var/folders- tất cả quản trị viên sẽ có quyền truy cập vào dữ liệu này. Một giải pháp cho vấn đề này nằm ngoài phạm vi của câu hỏi này.
Đối với đĩa sử dụng FileVault 2 - hoặc bất kỳ ứng dụng nào khác của Core Storage - có thể không thể thêm hoặc thay đổi kích thước phân vùng bằng Disk Utility.
Trong siêu người dùng:
Yêu cầu Trang hướng dẫn sử dụng Mac OS X của Apple (8) sẽ được cập nhật cho 10.7 trong khóa học do. Trong khi chờ đợi, nếu bạn đã cài đặt Lion, hãy đọc trang man trong Terminal.
Đối với bất kỳ người dùng nào sử dụng FileVault 1:
Trong Mac OS X 10.7 (Bản dựng 11A511), bạn có thể cho phép người dùng mở khóa âm lượng khởi động, nhưng sau khi được bật:
Vô hiệu hóa khả năng của người dùng để mở khóa ổ đĩa FileVault 2 khi khởi động / đăng nhập
Phiên bản 1.0 của trợ lý được sử dụng với FileVault 2 trong Mac OS X 10.7 (Build 11A511) không tạo ra Recovery OS trên ổ flash USB. Tuy nhiên:
Tôi tìm thấy vấn đề này với hai máy tính khác nhau.
Theo kinh nghiệm của tôi, tác động thường được chấp nhận. Tôi muốn xem điểm chuẩn liên quan.
Trong Hỏi khác: Tốc độ của Filevault cũ so với mã hóa toàn bộ Lion mới
Apple gợi ý:
- trang được lưu trong bộ nhớ cache 2011 / 07-28 .
AnandTech - Quay lại máy Mac: Đánh giá Lion X 10.7 Lion: Hiệu suất FileVault quan sát:
Nói chung , cú đánh vào hiệu năng I / O thuần túy nằm trong khoảng 20 - 30% . Nó đáng chú ý nhưng không đủ lớn để vượt xa lợi ích của mã hóa toàn bộ đĩa. Giáo dục
Tôi muốn các nhà đánh giá AnandTech cân nhắc mọi thứ một cách rộng rãi hơn, bao gồm ít nhất:
Quan sát thêm về CPU, kernel_task et cetera trong Re: [Fed-Talk] Lion FileVault (2011-07-22) ( nổi bật ).
Đừng mong đợi quyền truy cập từ xa vào đăng nhập EFI.
Hai khối lượng có kích thước hợp lý (một thư mục chính), với một bộ cây B tốt, có thể dễ dàng quản lý hệ thống hơn - và gần như chắc chắn hoạt động tốt hơn - so với một khối khổng lồ với các thuộc tính và danh mục cây B quá khổ và phân mảnh.
FileVault 1 sử dụng các dải có kích thước được tối ưu hóa.
Tùy thuộc vào nội dung của thư mục chính, việc từ bỏ các băng tần đó để ưu tiên số lượng tệp nhỏ hơn có thể tăng đáng kể kích thước và phân mảnh của các khu vực quan trọng sau của khối lượng khởi động:
Những gì tiếp theo có thể gây tranh cãi vượt quá phạm vi của câu hỏi mở đầu và tương đối kỹ thuật, nhưng đối với bất kỳ người dùng máy tính nào có (a) bộ nhớ hạn chế và (b) một số lượng đáng kể các tệp trong và ngoài thư mục chính của họ, điều đó đáng để suy nghĩ trước đó từ bỏ FileVault 1.
Nếu tổng kích thước của cây B quá lớn và nếu cần sửa chữa, các tiện ích của bên thứ ba trên máy tính của bạn có thể không thể sửa chữa được thiệt hại.
Nếu fsck_hfs không thể sửa được âm lượng - rõ ràng nhất là sử dụng Disk Utility, thì rõ ràng là bất cứ khi nào hệ thống gặp phải một hệ thống tệp bị bẩn - người dùng có thể chuyển sang tiện ích bên thứ ba được tôn trọng.
Tôi đã gặp tình huống tổng các kích thước của cây B - liên quan đến bộ nhớ vật lý - quá tuyệt vời để tiện ích bên thứ ba hoạt động theo yêu cầu đối với khối lượng sao lưu được mã hóa Core Storage không thể khắc phục được fsck_hfs. Vì MacBookPro5,2 của tôi có thể mất không quá 8 GB, nên đôi khi âm lượng này chỉ được đọc.
Tôi có thể đã mang âm lượng, có hoặc không có máy tính, đến nhà cung cấp dịch vụ để được chú ý trong một môi trường có nhiều bộ nhớ hơn. Tuy nhiên, để bảo mật, tôi không nên cung cấp cho bất kỳ bên thứ ba nào - tuy nhiên rất đáng tin cậy - cụm mật khẩu hoặc khóa cho một số loại âm lượng.
Cuối cùng và bất ngờ, fsck_hfsLion đã sửa chữa âm lượng mà không cần tôi sử dụng Disk Utility, có thể nhờ tôi thử nghiệm ( rủi ro ?) Loại bỏ âm lượng khỏi thế giới coreStorage (hoàn nguyên, chuyển đổi ngược hoàn toàn) trong khi ở trạng thái không thể sửa chữa và đọc được . Đó là một kết quả làm hài lòng tôi và là ngón tay cái của Apple về phẩm chất và khả năng của 10.7 (Bản dựng 11A511), nhưng điều này sẽ là một sự thận trọng đối với các độc giả khác.
Không phải tất cả các cài đặt của Lion đều có Apple_Boot Recovery HD ẩn được yêu cầu cho FileVault 2 - OS X Lion: "Một số tính năng của Mac OS X Lion không được hỗ trợ cho đĩa (tên âm lượng)" xuất hiện trong khi cài đặt (2011-07-21) .
Bạn sẽ không thể sử dụng FileVault.
Nếu điều này xảy ra - và nếu bạn đã bỏ FileVault 1 trước khi nâng cấp lên Lion - máy Mac của bạn với Lion sẽ kém an toàn hơn .
Các lời khuyên được công bố bởi Macworld trước khi phát hành Lion tiếp tục tư vấn cho người sử dụng để vô hiệu hóa FileVault 1 trước khi cài đặt Lion. Điều lạ thường nhất là Macworld đưa ra lời khuyên gây tranh cãi nhưng trong trường hợp này, tôi không đồng ý mạnh mẽ.
Dễ nhất để tạo nhà FileVault 1 trong Snow Leopard trước khi nâng cấp lên Lion.
Nếu không có Snow Leopard: bạn có thể sử dụng Lion để tạo ngôi nhà, nhưng có một vài bước để tạo thói quen.
Sau khi vô hiệu hóa Filevault 1, có thể bật lại nó trong Lion không?
Bằng cách kết hợp FileVault 2 với FileVault 1, bạn có thể có bảo mật hai lớp. Lưu ý rằng điều này sẽ gây rắc rối với TimeMachine và chia sẻ. Do đó, bảo mật hai lớp này chỉ được khuyến nghị cho một tài khoản nơi TimeMachine bị tắt!
Trên máy tính của tôi, tôi có tài khoản công việc hàng ngày, tài khoản FileVault 1 (không bao gồm TimeMachine) và tài khoản quản trị viên. Khi tôi kích hoạt FileVault 2 từ tài khoản công việc hàng ngày của mình (sử dụng mật khẩu của tài khoản quản trị viên), tôi đã hy vọng FileVault 1 biến mất vì Apple nói tại OS X Lion: About FileVault 2 : «Nếu bạn tắt Legacy FileVault, tab Legacy FileVault sẽ biến mất và sau đó bạn có thể chọn bật FileVault 2 của OS X Lion.
Khi FileVault 2 được thiết lập xong, tôi rất ngạc nhiên khi FileVault 1 của tôi tiếp tục có mã hóa FileVault 1. Vì vậy, tôi đã có một bảo mật hai lớp: Tài khoản FileVault 1 cũ trong máy tính FileVault 2. Tất cả những gì tôi cần là một tài khoản không phải là FileVault 1 từ đó bật FileVault 2.
Cuối cùng, tôi tắt FileVault 2 một lần nữa. Tôi thích có thể truy cập hệ thống tập tin OS X từ hệ thống Windows Bootcamp. Với FileVault 2, điều đó không còn có thể. Tôi vẫn giữ tài khoản FileVault 1 và nó vẫn tiếp tục hoạt động tốt, ngay cả trong 10.8.1.