Mengapa FileVault tidak berfungsi pada volume RAID?

16

Di tempat kerja, saya berkata kepada kolega saya bahwa tidak mungkin untuk mengaktifkan Filevault pada volume RAID. Dia terkejut dan menanyakan alasan teknis.

Jadi saya ingin tahu. Aneh karena Filevault berada di level perangkat lunak sementara RAID di level perangkat keras.

Benoit
sumber
Anda berbicara tentang volume RAID yang dibuat oleh Disk Utility di sini saya kira?
nohillside
@patrix Ya, misalnya, 2 HDD internal diatur dalam RAID-1 di Mac Mini.
Benoit

Jawaban:

2

Keduanya menggunakan struktur data yang sama untuk membuat volume dalam volume.

Satu menciptakan pembungkus dan data yang ada di disk diacak / dipetakan melalui fungsi kriptografi sehingga data yang sama ditulis ke dua blok yang berbeda berakhir secara fisik berbeda pada drive. Itu FileVault 2.

Yang lain menciptakan pembungkus dan data pada disk dicerminkan di tempat lain atau dipetakan melalui fungsi pembagian atau berbagi checksum sehingga data pada drive secara fisik bagian dari jumlah cek atau sebagian dari blok logis di sistem file. Ini adalah RAID.

RAID Apple dan alat enkripsi bukan satu-satunya yang dapat Anda gunakan, tetapi ini adalah cara mereka direkayasa - untuk menjadi saling eksklusif. Saya berharap ini tidak berubah pada sistem berbasis HFS + karena Apple telah mengumumkan APFS baru untuk Sierra (macOS 10.12) yang akan memungkinkan enkripsi penyimpanan yang jauh lebih kuat dan opsi rentang volume fisik seperti SAP, foto, per enkripsi file, dll ...

bmike
sumber
Anda benar-benar harus menghapus jawaban ini, karena hampir tidak mengandung fakta sama sekali, dan sebagian besar tidak masuk akal. Saya tidak berusaha bersikap kasar, dan saya minta maaf jika dianggap demikian, saya tidak bisa memikirkan cara yang lebih diplomatis untuk mengatakannya. Maaf atas kekerasannya.
DanielSmedegaardBuus
Jangan khawatir @DanielSmedegaardBuus karena penyimpanan inti dilakukan dan hilang dan ada jawaban yang bagus Saya pikir ini bisa tetap selama OP ingin itu dipilih. Saya tidak nyaman mengubah jawaban setelah itu kecuali hal itu menyebabkan kerusakan dan saya tidak melihat hasil edit yang dapat memperbaiki perbedaan pendapat. Saya percaya tidak ada yang harus melakukan ini, saat itu dan tentu saja tidak sekarang. Saya juga senang dengan jawaban komprehensif Maynard tentang apa yang mungkin terjadi walaupun itu terbatas dalam penggunaan atau beberapa orang tidak setuju itu layak dilakukan sama sekali.
bmike
26

Jawaban sebelumnya yang saya berikan di sini salah (seperti jawaban bmike).

Jawaban sebelumnya yang saya berikan adalah bahwa jika Anda memiliki ini sebagai masalah, solusinya adalah membuat gambar disk terenkripsi yang mencakup seluruh rangkaian AppleRaid. Ini berfungsi, secara teori, tetapi sangat lambat (seperti lebih dari 10x lebih lambat dari akses disk mentah) sehingga pada dasarnya tidak dapat digunakan, yang membuat saya melihat utilitas command line diskutil lebih terinci. Dan apa yang Anda tahu --- Anda BISA melakukan apa yang diinginkan, itu hanya membutuhkan beberapa pekerjaan. Anda harus melakukannya melalui baris perintah, dan bahkan di sana Anda tidak dapat melakukannya dengan perintah yang paling sederhana, tetapi itu dapat dilakukan dan itu 100% didukung oleh Apple, bukan beberapa peretasan yang aneh.

Jadi, anggaplah Anda memiliki volume Apple Raid Anda, yang entah bagaimana Anda buat, baik melalui Disk Utility atau melalui baris perintah.

Catatan: Proses ini akan memformat RAID Anda dan mengenkripsi itu. Cadangkan data yang ingin Anda simpan (setidaknya dua kali) sebelum melanjutkan.

Hal pertama yang kita butuhkan adalah mengetahui pengenal OS tingkat rendah untuk volume minat Apple Raid, jadi ketik:

diskutil list

yang akan memberi Anda daftar berbagai hard drive, partisi, dan hard drive logis (mis. volume Apple RAID) di sistem Anda. Lihatlah daftar dan cari tahu, berdasarkan nama, ukuran, apa pun, yang merupakan volume Apple RAID yang ingin kita enkripsi. Pastikan Anda mendapatkan pengidentifikasi KANAN, jika tidak, Anda akan menghancurkan beberapa volume lainnya. Adalah bijaksana, ketika melakukan ini, untuk melepaskan (secara manual --- mencabut kabel!) Semua hard drive tidak relevan dengan masalah, termasuk, yang paling jelas, drive cadangan Anda!

Jadi daftar memberitahu kita perangkat yang menarik, katakanlah, disk7

Selanjutnya kita ingin membuat pembungkus Core Storage LVG (Logical Volume Group) di sekitar perangkat. Saya tidak akan mengklaim bahwa saya memahami terminologi Core Storage, dan mengapa mereka menggunakan kata yang berbeda untuk semuanya dibandingkan dengan Apple RAID, tetapi sejauh yang saya tahu, LVG pada dasarnya adalah versi Core Storage dari hard drive logis. Jadi ketik:

diskutil cs createLVG BackupImacLVG disk7

BackupImacLVG adalah nama yang kami berikan ke hard drive logis yang kami buat. Perintah ini akan memakan waktu beberapa detik, kemudian mengeluarkan string panjang yang merupakan "nama" (UUID) dari LVG yang telah kita buat. Kami menggunakannya di langkah berikutnya.

Kita belum selesai. Kita sekarang perlu membuat yang setara dengan partisi (yang Core Storage sebut sebagai Volume Logis) pada hard drive logis ini. Ini perintah selanjutnya:

diskutil cs createLV 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B JHFS+ BackupImac 100% -stdinpassphrase

Dalam perintah di atas: 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B adalah UUID LVG yang baru saja kami beri tahu (pastikan Anda menggunakan milik Anda sendiri), dan JHFS + adalah sistem file yang ingin kami buat di partisi. BackupImac akan menjadi nama volume yang dibuat di partisi ini. 100% mengatakan berapa banyak ruang yang ingin kita berikan ke partisi ini. (Ada beberapa cara berbeda untuk menentukan ukuran, tetapi kebanyakan orang mungkin akan menggunakan 100%). -stdinpassphrase mengatakan bahwa kita ingin menggunakan enkripsi.

Baris perintah kemudian akan menampilkan prompt:

Passphrase for new volume:

Anda memasukkan kata sandi, dan Anda selesai. (Catat tidak ada Apple FileVault UI yang membantu di sini! Tidak ada penawaran untuk menyimpan kata sandi Anda untuk Anda dengan Apple, tidak ada permintaan kedua untuk kata sandi untuk memastikan Anda mengetiknya dengan benar!)

Hasil akhir dari semua ini adalah persis apa yang Anda harapkan dan harapkan. Volume terenkripsi dengan semua kinerja volume AppleRAID sebelumnya. (Dan jika Anda melihat halaman manual diskutil, Anda akan melihat bahwa mereka secara eksplisit mencantumkan volume Apple RAID sebagai target yang didukung untuk diskutil cs createLVG, jadi ini bukan kasus tepi aneh yang tidak didukung secara resmi.)

Disk Utility.app tidak memperbarui UI-nya (benar-benar buruk dalam hal ini --- telah menjadi masalah yang sedang berlangsung di OSX) jadi keluar dan mulai kembali. Anda sekarang akan melihat, bersama dengan irisan RAID Anda, "hard drive" baru bernama BackupImacLVG (atau apa pun namanya) bersama dengan partisi bernama BackupImac (atau apa pun namanya), dengan format "Enkripsi Partisi Logis" .

Satu hal yang harus diperhatikan. Disk dipasang selama proses pembuatan tanpa meminta kata sandi (Anda memberikan kata sandi di baris perintah).

Segera setelah Anda selesai, Anda mungkin ingin melepas volume, mematikan hard drive volume AppleRAID, menyalakannya lagi, dan melihat apa yang terjadi. Jika Anda telah melakukan semuanya dengan benar, setelah semua irisan Apple RAID telah diputar dan terdeteksi oleh OS, sebuah jendela akan muncul di layar yang meminta Anda untuk memasukkan kata sandi sehingga disk dapat dipasang.

Maynard Handley
sumber
Luar biasa bahwa Anda telah mengidentifikasi suatu metode. Saya sudah cukup menginginkan ini untuk beberapa waktu sekarang. Tidak yakin saya saat ini bersedia untuk memetakan set RAID saya sehingga saya bisa memformatnya dan kemudian menyalin kembali, itu semacam set besar. Hmmm ..
James T Snell
Saat memasukkan frasa sandi di baris perintah tidak ada konfirmasi. Ini sedikit meningkatkan, tetapi setelah itu Anda bisa masuk ke GUI DiskUtility dan klik "Hapus" pada partisi untuk mendapatkan prompt kata sandi ganda yang bagus dengan pengukur kompleksitas. Terima kasih telah mendokumentasikan proses ini!
dacc
@ Maynard Handley - apakah ini akan berfungsi untuk RAID0 di Yosemite? Terima kasih.
thepen
Saya dapat mengkonfirmasi, untuk semua yang tertarik, bahwa ini berfungsi di El Capitan (10.11), dan untuk volume Time Machine.
Matt
3
Saya mengkonfirmasi kesuksesan untuk macOS 10.12 Sierra (diuji pada Mac Pro). Saya membuat cermin AppleRAID, HFSX terenkripsi yang dienkripsi (HFSX adalah case-sensitive HFS +). Disk Utility akan hang segera setelah menyelesaikan langkah-langkah ini, jadi saya akhirnya: 1.) me-reboot Mac, 2.) masuk ke Finder, 3.) meluncurkan Disk Utility dengan sukses. Saya juga menghapus anggota (drive fisik) dari mirror RAID dan diuji untuk mengkonfirmasi anggota (drive) yang tersisa berperilaku seperti yang diharapkan. Itu: setelah me-reboot Mac dan masuk, anggota tunggal tidak bisa me-mount sampai saya memasukkan frasa sandi yang benar. Terima kasih.
user3051849