Apakah FileVault 2 di Lion memiliki perbedaan lain dibandingkan dengan versi lama, FileVault dalam rilis sistem sebelumnya? Apakah ada manfaat tambahan untuk menggunakan versi baru?
sumber
Apakah FileVault 2 di Lion memiliki perbedaan lain dibandingkan dengan versi lama, FileVault dalam rilis sistem sebelumnya? Apakah ada manfaat tambahan untuk menggunakan versi baru?
Meminjam banyak dari ulasan John Siracusa's Lion ...
FileVault 2 adalah sistem Enkripsi Disk Utuh, bukan hanya solusi 'simpan folder rumah Anda dalam disk image yang dienkripsi'. Ini diimplementasikan sebagai lapisan sistem berkas di bawah volume aktual yang Anda buka pada saat boot sistem. Jika Anda terbiasa dengan LVM , caranya juga sama. Setiap kali Anda melewati kunci kata sandi, semuanya terlihat sama untuk seluruh sistem.
Seperti yang disebutkan Steve, pekerjaan enkripsi dapat dibantu oleh instruksi prosesor khusus, dan sepenuhnya berjalan di latar belakang. Yang menyenangkan adalah Anda dapat mengaktifkan enkripsi disk pada drive penuh, dan semuanya akan dilakukan dengan santai (Anda dapat mematikannya, membawanya kembali, dll. Dan semuanya akan berlanjut).
Sandi lebih sedikit dari akun 'Tamu' tidak dapat lagi dibuat karena seluruh disk dienkripsi dari hanya direktori home Pengguna. Sangat menyedihkan bahwa saya tidak dapat menemukan informasi tentang artikel kb di Apple tentang hal ini.
Filevault baru tampaknya memberikan batasan yang jauh lebih sedikit pada Anda daripada versi yang lama. Anda tidak perlu keluar untuk mesin waktu untuk bekerja, misalnya, dan semua daemon berbagi tampaknya berfungsi dengan baik (beberapa dari mereka dinonaktifkan ketika filefault diaktifkan jika saya ingat dengan benar. Saya pikir berbagi web adalah di antara mereka, yang membuat laptop saya agak tidak berguna sebagai platform pengembangan untuk aplikasi web :)).
Satu masalah dengan Filevault 2 adalah Anda tidak dapat ssh ke dalam mesin sampai Anda memasukkan kata sandi secara lokal, karena proses startup tidak dapat dimulai sampai drive yang dienkripsi telah dibuka kuncinya.
sumber
Saya yakin ada beberapa lainnya. Artikel dukungan Apple ini harus menjawab sisa pertanyaan Anda.
http://support.apple.com/kb/HT4790
sumber
FileVault 2 kegagalan LVG mungkin tidak dapat diperbaiki
Dari halaman manual untuk
fsck_cs
:...
Masalah dengan FileVault 1
fsck_hfs (digunakan oleh Disk Utility) telah dikembangkan selama lebih dari sepuluh tahun dan mampu memperbaiki sebagian besar masalah dengan JHFS + seperti yang digunakan oleh FileVault 1.
Jika Anda menemukan masalah yang
fsck_hfs
tidak dapat diperbaiki, ada beberapa utilitas pihak ketiga alternatif.Masalah Penyimpanan Inti dengan FileVault 2
fsck_cs
(juga digunakan oleh Disk Utility) pertama kali muncul bersama dengan CoreStorage di Mac OS X 10.7.0. Inkonsistensi mungkin tidak dapat diperbaiki.Dengan tidak adanya alternatif untuk fsck_cs
Jika kegagalan LVG terjadi dan
fsck_cs
tidak dapat melakukan perbaikan yang diperlukan, maka volume startup Anda tidak akan meningkat. Dalam situasi ini, Anda dapat memformat ulang disk secara destruktif dan menginstal ulang Mac OS X. (Menggunakan Recovery OS Time Machine saja tidak akan memberikan Apple_Boot Recovery HD yang diperlukan untuk FileVault 2.)sumber
Satu kekurangan yang bisa saya lihat adalah sebelum Anda bisa mengenkripsi akun pengguna individu, sedangkan sekarang Anda hanya bisa mengenkripsi seluruh disk. Jika Anda mengenkripsi seluruh disk, Anda juga harus mendekripsi seluruh disk setiap kali Anda menggunakan komputer. Ini berarti bahwa begitu komputer di-boot, seluruh disk dapat diakses oleh malware, sedangkan sebelum Anda dapat masuk (dan segera keluar dari) ke akun yang sangat penting keamanan secara terpisah.
Saya kira Anda masih dapat menggunakan gambar disk terenkripsi di atas FileVault untuk data yang sangat penting.
Masalah lain adalah Time Machine. Sedangkan sebelum direktori pengguna FileVault juga disimpan dienkripsi pada volume cadangan, yang tampaknya tidak menjadi masalah lagi.
Apakah ada yang tahu jika Time Machine sekarang mendukung enkripsi seluruh disk (dari laporan sejauh ini tampaknya tidak diaktifkan untuk drive eksternal, setidaknya tidak melalui GUI)?
Pembaruan: Rupanya, Time Machine tidak mendukung enkripsi seluruh disk: Dapatkah volume Time Machine dengan mudah dienkripsi dengan FileVault 2?
sumber
Untuk beberapa administrator: FileVault 2 saja kurang aman daripada FileVault 1
Mirip dengan jawaban yang ditawarkan oleh Thilo. Logika ini berlaku untuk komputer mana pun dengan dua atau lebih administrator.
FileVault 1 di Snow Leopard dan di Lion
Ada tingkat keamanan yang baik untuk mencegah seseorang tanpa kata sandi utama mengakses data orang lain.
FileVault 2 saja
Administrator mana pun dapat melihat, menyalin, mengedit semua data pengguna lain.
Contoh
Dua mitra bisnis berbagi komputer, keduanya adalah administrator. Salah satu dari dua mitra mungkin ingin merahasiakan sesuatu. Mitra yang memegang kata sandi utama, yang ingin merahasiakan sesuatu, tidak memberikan kata sandi itu kepada mitra lain.
Dengan FileVault 2 saja dalam skenario seperti itu, keamanan dan privasi mudah diabaikan - sudo langsung terlintas dalam pikiran.
Perbandingan
Enkripsi ZFS di Oracle Solaris , yang dapat diterapkan ke direktori home pengguna.
Penanganan masalah
Jika pengguna FileVault 2 dalam situasi di atas membutuhkan keamanan ekstra, orang itu dapat:
Sebagai alternatif, orang itu mungkin menggunakan hanya sebagian dari disk yang ada ... tetapi manajemen partisi di dalam dan di sekitar dunia CoreStorage sulit , jadi untuk kesederhanaan jangka panjang: Saya akan merekomendasikan investasi dalam disk tambahan / terpisah.
/ var / folder
Harapkan beberapa data pengguna untuk ditulis ke subdirektori dari
/private/var/folders
- semua administrator akan memiliki akses ke data ini. Solusi untuk ini berada di luar cakupan pertanyaan ini.sumber
Manajemen partisi di dalam dan sekitar dunia coreStorage sulit
Untuk disk yang menggunakan FileVault 2 - atau aplikasi Core Storage lainnya - mungkin tidak mungkin untuk menambah atau mengubah ukuran partisi menggunakan Disk Utility.
Di Super User:
Harapkan Apple manual diskutil (8) Halaman OS X akan diperbarui untuk 10,7 pada waktunya. Sementara itu, jika Anda sudah menginstal Lion, baca halaman manual di Terminal.
sumber
FileVault 1 dapat dinonaktifkan untuk individu
Untuk setiap pengguna yang menggunakan FileVault 1:
Pengguna FileVault 2 yang diaktifkan tidak dapat dinonaktifkan
Di Mac OS X 10.7 (Build 11A511) Anda dapat mengizinkan pengguna untuk membuka kunci volume startup, tetapi begitu diaktifkan:
Nonaktifkan kemampuan pengguna untuk membuka kunci volume FileVault 2 pada saat startup / login
sumber
Lion Recovery Disk Assistant tidak memiliki dukungan untuk FileVault 2
Versi 1.0 dari asisten yang digunakan dengan FileVault 2 di Mac OS X 10.7 (Build 11A511) memang menghasilkan OS Pemulihan pada USB flash drive. Namun:
Saya menemukan masalah ini dengan dua komputer yang berbeda.
sumber
FileVault 1 berdampak pada kinerja
Dalam pengalaman saya, dampaknya biasanya dapat diterima. Saya ingin melihat tolok ukur yang relevan.
Perbandingan kinerja
Di Ask Different: Kecepatan filevault lama vs. enkripsi Lion full disk baru
FileVault 2 berdampak pada kinerja
Apple menyarankan:
- halaman di-cache 2011-07-28 .
AnandTech - Kembali ke Mac: Ulasan OS X 10.7 Lion: Kinerja FileVault mengamati:
Saya ingin peninjau AnandTech mempertimbangkan hal-hal lagi secara lebih luas, termasuk setidaknya:
Lebih banyak pengamatan tentang CPU, kernel_task dan lain-lain di Re: [Fed-Talk] Lion FileVault (2011-07-22) ( highlight ).
sumber
FileVault 2 mencegah restart jarak jauh
Jangan berharap akses jarak jauh ke jendela masuk EFI.
sumber
Menonaktifkan FileVault 1 dapat memperburuk kinerja
Dua volume berukuran cukup (satu direktori home), dengan seperangkat B-tree yang baik, mungkin lebih mudah bagi sistem untuk mengelola - dan hampir pasti berkinerja lebih baik - daripada volume kolosal tunggal dengan atribut dan katalog B-tree yang kebesaran dan terfragmentasi.
Penjelasan
FileVault 1 menggunakan pita ukuran yang dioptimalkan.
Bergantung pada konten direktori home, meninggalkan band-band yang mendukung jumlah file kecil yang lebih besar dapat secara signifikan meningkatkan ukuran dan fragmentasi area kritis berikut dari volume startup:
Pohon-B yang diperbesar bisa menimbulkan masalah yang tidak terduga
Berikut ini dapat diperdebatkan di luar cakupan pertanyaan pembukaan, dan relatif teknis, tetapi untuk setiap pengguna komputer dengan (a) memori terbatas dan (b) sejumlah besar file di dalam dan di luar direktori home mereka, ada baiknya dipikirkan sebelumnya meninggalkan FileVault 1.
Jika jumlah ukuran B-tree terlalu besar, dan jika perbaikan diperlukan, utilitas pihak ketiga di komputer Anda mungkin tidak dapat memperbaiki kerusakan.
Jika volume tidak dapat diperbaiki oleh fsck_hfs - yang paling jelas menggunakan Disk Utility, kurang jelas setiap kali sistem menemukan sistem file yang kotor - pengguna dapat beralih ke utilitas pihak ketiga yang disegani.
Contoh
Saya menghadapi situasi di mana jumlah ukuran pohon-B - dalam kaitannya dengan memori fisik - terlalu besar untuk utilitas pihak ketiga untuk bekerja sebagaimana diperlukan untuk volume cadangan terenkripsi Penyimpanan Inti yang tidak dapat diperbaiki oleh
fsck_hfs
. Karena MacBookPro5,2 saya dapat mengambil tidak lebih dari 8 GB, jadi untuk beberapa waktu volume ini hanya dapat dibaca.Saya mungkin telah mengambil volume, dengan atau tanpa komputer, ke penyedia layanan untuk mendapat perhatian di lingkungan dengan lebih banyak memori. Namun untuk keamanan, saya tidak boleh memberikan kata sandi atau kunci untuk pihak ketiga - betapapun tepercaya - untuk beberapa jenis volume.
Akhirnya dan tanpa disangka
fsck_hfs
Lion in memperbaiki volume tanpa saya menggunakan Disk Utility, mungkin berkat saya secara eksperimental (berisiko?) Menghapus volume dari dunia coreStorage ( membalikkan , sepenuhnya mengubah mundur) sementara dalam keadaan tidak dapat diperbaiki dan read-ony . Itu adalah hasil yang menyenangkan bagi saya, dan acungan jempol untuk Apple untuk kualitas dan kemampuan 10.7 (Build 11A511), tetapi ini harus menjadi peringatan bagi pembaca lain.sumber
Beberapa instalasi tidak dapat menggunakan FileVault 2
Tidak semua instalasi Lion mendapatkan
Apple_Boot
Recovery HD tersembunyi yang diperlukan untuk FileVault 2 - OS X Lion: "Beberapa fitur Mac OS X Lion tidak didukung untuk disk (nama volume)" muncul selama instalasi (2011-07-21) .Jika ini terjadi - dan jika Anda meninggalkan FileVault 1 sebelum memutakhirkan ke Lion - Mac Anda dengan Lion akan menjadi kurang aman .
The saran diterbitkan oleh Macworld sebelum rilis dari Lion terus menyarankan pengguna untuk menonaktifkan FileVault 1 sebelum menginstal Lion. Ini paling tidak lazim bagi Macworld untuk memberikan saran yang kontroversial tetapi dalam kasus ini, saya sangat tidak setuju.
sumber
Lion membuat rumah FileVault 1 lebih mudah dibuat
Cara termudah untuk membuat rumah FileVault 1 di Snow Leopard sebelum meningkatkan ke Lion.
Jika tanpa Snow Leopard: Anda dapat menggunakan Lion untuk membuat rumah, tetapi ada beberapa langkah untuk rutin.
Setelah menonaktifkan Filevault 1, apakah mungkin untuk mengaktifkannya lagi di Lion?
sumber
Dengan menggabungkan FileVault 2 dengan FileVault 1, Anda dapat memiliki keamanan lapisan ganda. Perhatikan bahwa ini akan menyebabkan masalah dengan TimeMachine dan berbagi. Oleh karena itu, keamanan lapis ganda ini hanya disarankan untuk akun di mana TimeMachine dimatikan!
Di komputer saya, saya memiliki akun pekerjaan sehari-hari, akun FileVault 1 (dikecualikan dari TimeMachine) dan akun administrator. Ketika saya mengaktifkan FileVault 2 dari akun pekerjaan sehari-hari saya (menggunakan kata sandi akun administrator), saya berharap FileVault 1 menghilang karena Apple mengatakan di OS X Lion: Tentang FileVault 2 : «Jika Anda mematikan Legacy FileVault, tab Legacy FileVault akan hilang dan Anda kemudian dapat memilih untuk mengaktifkan FileVault 2 »OS X Lion.
Ketika FileVault 2 sudah diatur, saya sangat terkejut bahwa FileVault 1 saya terus memiliki enkripsi FileVault 1. Jadi saya memiliki keamanan lapisan ganda: Akun FileVault 1 lama dalam komputer FileVault 2. Yang saya butuhkan adalah akun non-FileVault 1 dari mana untuk mengaktifkan FileVault 2.
Akhirnya, saya mematikan FileVault 2 lagi. Saya suka bisa mengakses sistem file OS X dari sistem Bootcamp Windows. Dengan FileVault 2, itu tidak mungkin lagi. Saya masih menyimpan akun FileVault 1 dan terus berfungsi dengan baik, bahkan di 10.8.1.
sumber