Bagaimana saya bisa mengaktifkan enkripsi Time Machine pada baris perintah?

13

Apakah mungkin untuk mengaktifkan enkripsi untuk disk target Time Machine dengan skrip atau menggunakan baris perintah?

Apakah disk Time Machine terenkripsi benar-benar sama dengan disk normal, disk penuh dienkripsi menggunakan FileVault?

Saya ingin mengotomatisasi sebanyak yang nyaman saat memasang Mac untuk pengguna baru. Ini termasuk cadangan. Kami menggunakan OS X Mountain Lion.

Penemuan tambahan:

  • Anda dapat meminta target untuk dienkripsi dari GUI preferensi Mesin Waktu. Ini tidak membuatnya muncul seperti itu menggunakan fdesetupperintah. Namun itu akan terdaftar sebagai terenkripsi menggunakandiskutil cs list
  • Jika pertama kali mengenkripsi drive, Time Machine lebih suka GUI akan mengatakan "Enkripsi cadangan" untuk entri itu. Ini akan mendukung metode yang disarankan di bawah ini oleh Rene (kecuali dia menyarankan melakukannya pada gambar terenkripsi yang ditempatkan pada disk).
llaurén
sumber
Saya belum membangun rantai alat lengkap, tetapi fdesetupalat untuk mengenkripsi volume dan setelah selesai, tmutil setdestinationakan memungkinkan Anda menetapkan drive yang dipasang sebagai tujuan untuk mesin waktu.
bmike
Anda juga harus dapat memilih sparsebundle dengan tmutil inheritbackup [machine_directory | sparsebundle], yang telah Anda buat sebelumnya - mungkin dienkripsi denganhdiutil -encryption [AES-128|AES-256]
Rene Larsen
@bmike - Untuk mengetahui apakah File Vault benar-benar sama dengan ecnryption Time Machine, saya mengenkripsi disk target mesin Time saya menggunakan GUI. Sementara sudo diskutil cs listmenunjukkan bahwa volume sekarang dienkripsi, sudo fdesetup statusberitahu saya FileVault tidak aktif.
llaurén
1
Perlu diingat - file vault berarti OS yang dapat di-boot dengan kunci yang diatur sehingga satu atau lebih akun pengguna dapat mendekripsi gambar pada saat boot untuk menjalankan sistem sedangkan Time Machine hanya menggunakan wadah terenkripsi dan lapisan penyimpanan inti dasar yang sama tanpa menghormati akun pengguna atau seluruh proses boot. Time Machine hanya perlu me-mount volume setelah sistem sudah boot.
bmike
Saya minta maaf saya tidak punya jawaban untuk Anda, tetapi ada beberapa pembicaraan di utas ini tentang mengambil cadangan mesin waktu yang ada dan mengenkripsi itu. discussion.apple.com/thread/4520699
Anil Natha

Jawaban:

3

Tidak, maaf anak ayam, saya yakin Anda salah.

Apakah disk Time Machine terenkripsi benar-benar sama dengan disk normal, disk penuh dienkripsi menggunakan FileVault?

Iya. Ini. Ini akan menjadi "FileVault 2" yang sedang kita bicarakan, alias CoreStorage, manajer volume logis baru Apple. Ini berbeda dengan teknologi TM dan FileVault sebelumnya, yang didasarkan pada gambar disk bundel-bundel AES-terenkripsi (yang masih digunakan untuk cadangan jaringan, dll.). Proses yang dimulai pada System Preferences (hari ini) ketika Anda mengaktifkan enkripsi disk (apakah pada disk eksternal, untuk Time Machine, atau pada boot drive untuk FileVault), asalkan disk cocok, itu melakukan konversi online dari tradisional GPT Partition Table ke penyimpanan data monolitik tunggal, dengan partisi yang sangat kecil untuk firmware CS. Volume logis (dalam grup volume logis) kemudian diukir dari ini, dan volume (perangkat lunak) ini kemudian diformat dan dienkripsi HFS.

Saya percaya metode paling mudah untuk melakukan ini adalah dengan:

  • Pasang disk yang akan Anda gunakan, bersihkan. Ruang kosong atau partisi HFS + tunggal.
  • diskutil cs create/convert (tidak / sudah diformat; tidak penting) untuk menginisialisasi dan menambahkan LVG baru
  • diskutil cs createVolume, buat satu LV. Anda dapat mengaktifkan enkripsi pada titik ini, dengan diskutil cs encryptVolume, jika Anda tahu frasa sandi yang akan Anda gunakan; jika tidak, biarkan tidak terenkripsi untuk saat ini.
  • diskutil partitionDisk diskX - lihat di bawah - Volume CS muncul seolah-olah mereka sepenuhnya otonom, disk terpisah, sehingga Anda partisiDisk.

Lalu: pasang dan buka kunci volume pada mesin pengguna baru Anda. Setelah disk dibuka, seharusnya tidak ada masalah 'mengadopsi' untuk digunakan di sana. Jika Anda ingin memasukkannya ke dalam script config, saya percaya itu hanya sesuatu seperti tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Ini adalah bagian yang paling tidak saya yakini, tetapi saya juga yakin ini mudah dilakukan. Saya belum melakukan ini untuk Time Machine sendiri, tetapi saya melakukan pra-enkripsi disk untuk FileVault seperti ini setiap saat, dan jenis OS hanya tahu apa yang harus dilakukan jika setelah itu.

Disk berkemampuan-CS yang cocok akan muncul seperti ini di diskutil (walaupun Anda mungkin tidak memiliki partisi ketiga di disk0 jika ia tahu itu tidak akan menjadi boot drive:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 tidak akan muncul sebagai terenkripsi, karena ini adalah apa yang pada dasarnya manajer volume harus 'boot' off. disk1 akan dienkripsi dan akan memerlukan kode sandi untuk dipasang.

Geoff Nixon
sumber
1

Saya akan memberi jawaban.

Pencadangan waktu mesin terenkripsi tidak sama dengan FileVault, sebenarnya sama dengan memilih "Mac OS Extended ([Case-sensitive], Journal, dienkripsi)" di Utilitas Disk.

Jadi untuk mengotomatiskannya dengan drive eksternal, dengan asumsi itu adalah "disk1", ​​saya pikir yang berikut ini akan berfungsi (maaf, tidak memiliki drive USB cadangan untuk diuji):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
chikpee
sumber
Saya harus memeriksa ketika saya kembali bekerja. OSX tidak terlalu ramah dalam mengatakan kepada saya bahwa cadangan sebenarnya dienkripsi.
llaurén
Cadangan mesin waktu terenkripsi berbasis jaringan harus sangat mirip juga, saya kira, kecuali membuat bundel disk image baru daripada mempartisi disk.
drfrogsplat
<karena saya belum punya cukup poin rep untuk mengomentari @G. Jawaban Nix> Kedua disk boot dengan FileVault 2 diaktifkan DAN disk cadangan Time Machine terenkripsi adalah volume logis Core Storage ... tapi saya pikir FileVault 2 secara khusus merujuk pada fitur enkripsi disk penuh di mana, alih-alih pengguna memilih frasa sandi enkripsi , kunci pemulihan acak dibuat dan hanya akun pengguna yang disetujui yang dapat mengaksesnya saat masuk dan mendekripsi sisa disk.
chikpee