¿Cómo puedo habilitar el cifrado de Time Machine en la línea de comando?

13

¿Es posible habilitar el cifrado para un disco de destino de Time Machine con un script o usando la línea de comando?

¿Es realmente un disco encriptado de Time Machine exactamente igual que un disco normal, encriptado en disco completo usando FileVault?

Me gustaría automatizar todo lo que sea conveniente al instalar una Mac para un nuevo usuario. Esto incluye copias de seguridad. Estamos usando OS X Mountain Lion.

Descubrimientos adicionales:

  • Puede solicitar que se cifre un objetivo desde la GUI de preferencias de Time Machine. Esto no hace que aparezca como tal usando el fdesetupcomando. Sin embargo, aparecerá como encriptado usandodiskutil cs list
  • Si encripta una unidad por primera vez, la GUI de Time Machine prefiere "Cifrar copias de seguridad" para esa entrada. Esto respaldaría el método sugerido a continuación por Rene (excepto que sugiere hacerlo en una imagen cifrada colocada en un disco).
mountain-lion time-machine filevault encryption llaurén
fuente
No he creado una cadena de herramientas completa, pero fdesetupes la herramienta para cifrar un volumen y, una vez hecho, tmutil setdestinationle permitiría configurar una unidad montada como el destino de la máquina del tiempo.
bmike
También debería poder elegir un paquete disperso tmutil inheritbackup [machine_directory | sparsebundle], que haya creado de antemano, tal vez encriptado conhdiutil -encryption [AES-128|AES-256]
Rene Larsen
@bmike: para determinar si File Vault realmente es lo mismo que Time Machine ecnryption, cifré mi disco de destino de Time Machine usando la GUI. Mientras sudo diskutil cs listmuestra que el volumen ahora está encriptado, sudo fdesetup statusme dice que FileVault está apagado.
llaurén
1
Tenga en cuenta: la bóveda de archivos significa un sistema operativo de arranque con claves dispuestas para que una o más cuentas de usuario puedan descifrar la imagen en el momento del arranque para ejecutar el sistema, mientras que Time Machine simplemente usa el mismo contenedor cifrado básico y la capa de almacenamiento central sin tener en cuenta las cuentas de usuario o todo el proceso de arranque. Time Machine solo necesita montar el volumen una vez que el sistema ya se ha iniciado.
bmike
Lamento no tener una respuesta para usted, pero en este hilo se habla sobre tomar una copia de seguridad de máquina del tiempo existente y encriptarla. debates.apple.com/thread/4520699
Anil Natha

Respuestas:

3

No, lo siento chickpee, creo que eres incorrecta.

¿Es realmente un disco encriptado de Time Machine exactamente igual que un disco normal, encriptado en disco completo usando FileVault?

Si. Es. Estamos hablando de "FileVault 2", también conocido como CoreStorage, el nuevo administrador de volumen lógico de Apple. Esto es diferente a las tecnologías TM y FileVault anteriores, que se basan en imágenes de disco de paquete disperso cifradas con AES (que todavía se utilizan para copias de seguridad de red, etc.). El proceso que comienza en Preferencias del sistema (en estos días) cuando habilita el cifrado de disco (ya sea en un disco externo, para Time Machine o en la unidad de arranque para FileVault), siempre que el disco sea adecuado, realiza una conversión en línea de un disco tradicional Tabla de particiones GPT en un único almacén de datos monolíticos, con una partición muy pequeña para el firmware CS. Los volúmenes lógicos (en grupos de volúmenes lógicos) se eliminan de esto, y estos volúmenes (de software) se formatean y cifran con HFS.

Creo que el método más sencillo para hacer esto sería:

  • Adjunte el disco que va a utilizar, límpielo. Espacio libre o una sola partición HFS +.
  • diskutil cs create/convert (no estaba / estaba formateado; sin importancia) para inicializar y agregar un nuevo LVG
  • diskutil cs createVolume, cree un solo LV. Puede habilitar el cifrado en este punto, con diskutil cs encryptVolume, si conoce la frase de contraseña que va a usar; si no, déjalo sin encriptar por ahora.
  • diskutil partitionDisk diskX - vea a continuación - Los volúmenes CS aparecen como si fueran completamente autónomos, discos separados, de modo que particiona el disco.

Luego: monte y desbloquee el volumen en la máquina de su nuevo usuario. Una vez que el disco está desbloqueado, no debería haber ningún problema para 'adoptarlo' para su uso allí. Si desea ponerlo en un script de configuración, creo que es sólo algo así como tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Esta es la parte de la que menos estoy seguro, pero también estoy seguro de que es fácilmente factible. No he hecho esto para Time Machine per se yo mismo, pero preencripto discos para FileVault como este todo el tiempo, y el sistema operativo simplemente sabe qué hacer si después de eso.

Aparecerá un disco habilitado para CS adecuadamente adecuado en diskutil (aunque es posible que no tenga la tercera partición en disk0 si sabe que no será una unidad de arranque:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 no aparecerá como encriptado, ya que esto es lo que el administrador de volumen básicamente tiene que 'arrancar'. disk1 se cifrará y requerirá el código de acceso para montar.

Geoff Nixon
fuente
1

Tendré una respuesta.

La copia de seguridad cifrada de Time Machine no es lo mismo que FileVault, en realidad es lo mismo que seleccionar "Mac OS Extended ([mayúsculas y minúsculas], registrado, cifrado)" en la Utilidad de Discos.

Entonces, para automatizarlo con una unidad externa, suponiendo que sea "disk1", ​​creo que lo siguiente debería funcionar (lo siento, no tengo una unidad USB de repuesto disponible para probar):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
chikpee
fuente
Tendré que comprobar eso cuando vuelva a trabajar. OSX no ha sido muy amable al decirme que las copias de seguridad están encriptadas.
llaurén
Las copias de seguridad encriptadas de la máquina del tiempo basadas en la red también deberían ser bastante similares, creo, excepto crear un nuevo paquete de imágenes de disco en lugar de particionar el disco.
drfrogsplat
<ya que todavía no tengo suficientes puntos de representante para comentar en @G. La respuesta de Nix> Tanto un disco de arranque con FileVault 2 habilitado Y un disco de copia de seguridad cifrado de Time Machine son volúmenes lógicos de Core Storage ... pero creo que FileVault 2 se refiere específicamente a la función de cifrado de disco completo donde, en lugar de que el usuario seleccione la frase de cifrado , se genera la clave de recuperación aleatoria y solo las cuentas de usuario aprobadas pueden acceder a ella al iniciar sesión y descifrar el resto del disco.
chikpee