¿Por qué FileVault no funciona en un volumen RAID?

16

En el trabajo, le dije a mi colega que no era posible habilitar Filevault en un volumen RAID. Se sorprendió y me preguntó la razón técnica.

Entonces me gustaría saberlo. Es extraño porque Filevault está en el nivel de software mientras que RAID está en el nivel de hardware.

filevault raid Benoit
fuente
¿Está hablando de un volumen RAID creado por Disk Utility aquí, supongo?
nohillside
@patrix Sí, por ejemplo, 2 HDD internos configurados en RAID-1 en una Mac Mini.
Benoit

Respuestas:

2

Ambos usan la misma estructura de datos para crear un volumen dentro de un volumen.

Uno crea un contenedor y los datos que están en el disco se codifican / asignan a través de una función criptográfica para que los mismos datos escritos en dos bloques diferentes terminen físicamente diferentes en la unidad. Eso es FileVault 2.

El otro crea un contenedor y los datos en el disco se reflejan en otro lugar o se asignan a través de una función de suma de comprobación dividida o compartida para que los datos en el disco sean físicamente parte de una suma de verificación o una parte de un bloque lógico en el sistema de archivos. Esto es RAID.

Las herramientas de encriptación y RAID de Apple no son las únicas que podría usar, pero así es como están diseñadas actualmente: para ser mutuamente excluyentes. Espero que esto no cambie en los sistemas basados ​​en HFS + ya que Apple ha anunciado el nuevo APFS para Sierra (macOS 10.12) que permitirá un cifrado de almacenamiento significativamente más robusto y opciones de expansión de volumen físico como COW, instantáneas, cifrado por archivo, etc.

bmike
fuente
Realmente debería eliminar esta respuesta, ya que contiene casi ningún hecho en absoluto, y en su mayoría no tiene sentido. No estoy tratando de ser grosero, y me disculpo si lo tomo como tal, simplemente no puedo pensar en una forma más diplomática de decirlo. Perdón por la dureza.
DanielSmedegaardBuus
No se preocupe @DanielSmedegaardBuus ya que el almacenamiento central está listo y desaparecido y hay una buena respuesta. Creo que esto puede durar todo el tiempo que el OP quiera que se seleccione. No me siento cómodo cambiando la respuesta después de eso, a menos que cause daño y no veo una edición que pueda corregir la diferencia de opinión. Creo que nadie debería hacer esto, ni entonces ni ciertamente ahora. También estoy feliz por la respuesta integral de Maynard sobre lo que es posible, incluso si su uso es limitado o si algunas personas no están de acuerdo, vale la pena hacerlo.
bmike
26

La respuesta anterior que di aquí fue incorrecta (como es la respuesta de bmike).

La respuesta anterior que di fue que si tienes esto como un problema, una solución es crear una imagen de disco encriptada que cubra todo el conjunto AppleRaid. Esto funciona, en teoría, pero es tan terriblemente lento (como más de 10 veces más lento que el acceso al disco sin procesar) que básicamente no se puede usar, lo que me llevó a mirar la utilidad de línea de comandos diskutil con más detalle. ¿Y qué sabes? PUEDES hacer lo que quieras, solo requiere un poco de trabajo. Tienes que hacerlo a través de la línea de comandos, e incluso allí no puedes hacerlo con los comandos más simples, pero se puede hacer y es 100% legítimo compatible con Apple, no un truco extraño.

Entonces, supongamos que tiene su volumen Apple Raid, que ha creado de alguna manera, ya sea a través de la Utilidad de Discos o mediante la línea de comandos.

Nota: Este proceso formateará su RAID y lo cifrará. Haga una copia de seguridad de los datos que desee conservar (al menos dos veces) antes de continuar.

Lo primero que necesitamos es conocer el identificador del sistema operativo de bajo nivel para el volumen de interés de Apple Raid, así que escriba:

diskutil list

que le dará una lista de los diversos discos duros, particiones y discos duros lógicos (por ejemplo, volúmenes RAID de Apple) en su sistema. Mire la lista y descubra, según el nombre, el tamaño, lo que sea, cuál es el volumen RAID de Apple que deseamos cifrar. Asegúrese de obtener el identificador DERECHO; de lo contrario, destruirá otro volumen. Es aconsejable, al hacer esto, desconectar (manualmente --- ¡extraiga los cables!) Todos los discos duros que no sean relevantes para el problema, ¡incluyendo, obviamente, sus unidades de respaldo!

Entonces, la lista nos dice que el dispositivo de interés es, digamos, el disco 7

A continuación, queremos crear un contenedor Core Storage LVG (Logical Volume Group) alrededor del dispositivo. No voy a afirmar que entiendo la terminología de Core Storage, y por qué usan una palabra diferente para todo en comparación con Apple RAID, pero por lo que puedo decir, el LVG es esencialmente la versión de Core Storage de un disco duro lógico. Entonces escribe:

diskutil cs createLVG BackupImacLVG disk7

BackupImacLVG es el nombre que le estamos dando al disco duro lógico que estamos creando. Este comando tomará unos segundos, luego escupe una larga cadena que es el "nombre" (el UUID) del LVG que hemos creado. Lo usamos en el siguiente paso.

No hemos terminado Ahora necesitamos crear el equivalente de una partición (que Core Storage llama un volumen lógico) en este disco duro lógico. Aquí está el siguiente comando:

diskutil cs createLV 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B JHFS+ BackupImac 100% -stdinpassphrase

En el comando anterior: 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B es el UUID de LVG que acabamos de decir (asegúrese de usar el suyo), y JHFS + es el sistema de archivos que queremos crear en la partición. BackupImac será el nombre del volumen creado en esta partición. 100% dice cuánto espacio queremos dar a esta partición. (Hay algunas formas diferentes de especificar tamaños, pero la mayoría de las personas probablemente usarán el 100%). -stdinpassphrase dice que queremos usar el cifrado.

La línea de comando mostrará un mensaje de:

Passphrase for new volume:

Ingresas la contraseña y listo. (¡No tenga en cuenta ninguna de las útiles UI de Apple FileVault aquí! ¡No se ofrece guardar su contraseña con Apple, no hay una segunda solicitud de contraseña para asegurarse de haberla escrito correctamente!)

El resultado final de todo esto es exactamente lo que esperarías y esperarías. Un volumen cifrado con todo el rendimiento del volumen AppleRAID anterior. (Y si observa la página de manual de diskutil, verá que enumeran explícitamente los volúmenes RAID de Apple como objetivos admitidos para diskutil cs createLVG, por lo que este no es un caso extraño que no sea oficialmente compatible).

Disk Utility.app no ​​actualiza su interfaz de usuario (es realmente malo a este respecto, ha sido un problema continuo en OSX), así que ciérrelo y reinícielo. Ahora verá, junto con sus segmentos RAID, un nuevo "disco duro" llamado BackupImacLVG (o como se llame) junto con una partición llamada BackupImac (o como se llame), con un formato de "Partición lógica cifrada" .

Una cosa a tener en cuenta. El disco se monta durante el proceso de creación sin solicitar una contraseña (usted proporcionó la contraseña en la línea de comando).

Justo después de que haya terminado, es posible que desee desmontar el volumen, apagar los discos duros del volumen AppleRAID, encenderlos nuevamente y ver qué sucede. Si ha hecho todo correctamente, una vez que todos los segmentos del RAID de Apple se hayan activado y hayan sido detectados por el sistema operativo, debería aparecer una ventana en la pantalla pidiéndole la contraseña para poder montar el disco.

Maynard Handley
fuente
Sobresaliente que hayas identificado un método. He estado esperando esto por bastante tiempo. No estoy seguro de que actualmente esté dispuesto a crear imágenes de mi conjunto RAID para poder formatearlo y luego copiarlo, es una especie de conjunto masivo. Hmmm ..
James T Snell
Al ingresar la frase de contraseña en la línea de comando no hay confirmación. Esto es un poco espeluznante, pero luego puede ingresar a la GUI DiskUtility y hacer clic en "Borrar" en la partición para obtener el aviso de doble contraseña agradable con el medidor de complejidad. ¡Gracias por documentar este proceso!
dacc
@Maynard Handley: ¿esto funcionará para RAID0 en Yosemite? Gracias.
thepen
Puedo confirmar, para todos los interesados, que esto funciona en El Capitán (10.11), y para los volúmenes de Time Machine.
Matt
3
Confirmo el éxito de macOS 10.12 Sierra (probado en una Mac Pro). Creé un espejo AppleRAID, HFSX encriptado (HFSX distingue entre mayúsculas y minúsculas HFS +). Disk Utility se colgaría poco después de completar estos pasos, así que terminé: 1.) reiniciando Mac, 2.) iniciando sesión en Finder, 3.) iniciando Disk Utility con éxito. También eliminé un miembro (unidad física) del espejo RAID y probé para confirmar que el miembro restante (unidad) se comportó como se esperaba. Lo hizo: al reiniciar la Mac e iniciar sesión, el único miembro no pudo montar hasta que ingresé la frase de contraseña correcta. Gracias.
user3051849