Wie kann ich die Time Machine-Verschlüsselung in der Befehlszeile aktivieren?

13

Ist es möglich, die Verschlüsselung für eine Time Machine-Zieldiskette mit einem Skript oder über die Befehlszeile zu aktivieren?

Ist eine verschlüsselte Time Machine-Festplatte wirklich mit einer normalen Festplatte identisch, die mit FileVault vollständig verschlüsselt wurde?

Ich möchte so viel wie möglich automatisieren, wenn ich einen Mac für einen neuen Benutzer installiere. Dies schließt Backups ein. Wir verwenden OS X Mountain Lion.

Zusätzliche Entdeckungen:

  • Sie können ein Ziel über die Benutzeroberfläche der Time Machine-Voreinstellungen auffordern, verschlüsselt zu werden. Dies führt dazu, dass es mit dem fdesetupBefehl nicht als solches angezeigt wird . Es wird jedoch als verschlüsselt mit aufgelistetdiskutil cs list
  • Wenn Sie ein Laufwerk zum ersten Mal verschlüsseln, wird auf der Time Machine Prefs-Benutzeroberfläche für diesen Eintrag "Backups verschlüsseln" angezeigt. Dies würde die unten von Rene vorgeschlagene Methode unterstützen (außer er schlägt vor, dies mit einem verschlüsselten Image auf einer Festplatte zu tun).
llaurén
quelle
Ich habe keine vollständige Toolkette erstellt, sondern fdesetupist das Tool zum Verschlüsseln eines Volumes. Wenn dies erledigt ist tmutil setdestination, können Sie ein bereitgestelltes Laufwerk als Ziel für die Zeitmaschine festlegen.
bmike
Sie sollten auch in der Lage sein, ein Sparsebundle auszuwählen, mit tmutil inheritbackup [machine_directory | sparsebundle]dem Sie im Voraus - möglicherweise verschlüsselt mithdiutil -encryption [AES-128|AES-256]
Rene Larsen
@bmike - Um herauszufinden, ob File Vault wirklich mit Time Machine ecnryption identisch ist, habe ich meine Time Machine-Zieldiskette mithilfe der GUI verschlüsselt. Während sudo diskutil cs listzeigt, dass das Volume jetzt verschlüsselt ist, sudo fdesetup statussagt mir FileVault ist ausgeschaltet.
Laurén
1
Denken Sie daran, dass File Vault ein bootfähiges Betriebssystem mit Schlüsseln ist, die so angeordnet sind, dass ein oder mehrere Benutzerkonten das Image beim Booten entschlüsseln können, um das System auszuführen, während Time Machine ohne Rücksicht auf Benutzerkonten nur denselben grundlegenden verschlüsselten Container und dieselbe Kernspeicherschicht verwendet oder den gesamten Bootvorgang. Time Machine muss das Volume nur mounten, wenn das System bereits gestartet ist.
bmike
Es tut mir leid, dass ich keine Antwort für Sie habe, aber in diesem Thread wird darüber gesprochen, eine vorhandene Zeitmaschinensicherung zu erstellen und zu verschlüsseln. discussion.apple.com/thread/4520699
Anil Natha

Antworten:

3

Nein, sorry Chickpee, ich glaube du bist falsch.

Ist eine verschlüsselte Time Machine-Festplatte wirklich mit einer normalen Festplatte identisch, die mit FileVault vollständig verschlüsselt wurde?

Ja. Es ist. Hierbei handelt es sich um "FileVault 2", auch bekannt als CoreStorage, Apples neuester Manager für logische Volumes. Dies unterscheidet sich von den vorherigen TM- und FileVault-Technologien, die auf AES-verschlüsselten Festplattenimages mit Sparse-Bundle basieren (die weiterhin für Netzwerksicherungen usw. verwendet werden). Der Vorgang, der in den Systemeinstellungen (in diesen Tagen) gestartet wird, wenn Sie die Festplattenverschlüsselung aktivieren (ob auf einer externen Festplatte, für Time Machine oder auf dem Startlaufwerk für FileVault). Vorausgesetzt, die Festplatte ist geeignet, wird eine Online-Konvertierung von einer herkömmlichen durchgeführt GPT-Partitionstabelle für einen einzelnen monolithischen Datenspeicher mit einer sehr kleinen Partition für die CS-Firmware. Daraus werden dann logische Volumes (in logischen Volume-Gruppen) herausgearbeitet und diese (Software-) Volumes werden dann HFS-formatiert und verschlüsselt.

Ich glaube, die einfachste Methode dafür wäre:

  • Bringen Sie die zu verwendende Festplatte an und wischen Sie sie ab. Freier Speicherplatz oder eine einzelne HFS + -Partition.
  • diskutil cs create/convert (war / war nicht formatiert; unwichtig), um eine neue LVG zu initialisieren und hinzuzufügen
  • diskutil cs createVolume, erstellen Sie eine einzelne LV. Sie können die Verschlüsselung an dieser Stelle mit aktivieren diskutil cs encryptVolume, wenn Sie die zu verwendende Passphrase kennen. Wenn nicht, lassen Sie es vorerst unverschlüsselt.
  • diskutil partitionDisk diskX - siehe unten - CS-Volumes werden so angezeigt, als wären sie vollständig autonome, separate Datenträger, sodass Sie PartitionDisk verwenden.

Dann: Hängen Sie das Volume auf dem Computer Ihres neuen Benutzers ein und entsperren Sie es. Sobald die Festplatte entsperrt ist, sollte es keine Probleme mehr geben, sie für die Verwendung dort zu übernehmen. Wenn Sie es in einer Config - Skript setzen wollen, glaube ich , es ist nur so etwas wie tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Dies ist der Teil, bei dem ich mir am wenigsten sicher bin, aber ich bin mir auch sicher, dass er leicht zu realisieren ist. Ich habe dies nicht für Time Machine selbst getan, aber ich verschlüssele die ganze Zeit Festplatten für FileVault wie diese vor, und das Betriebssystem weiß nur, was zu tun ist, wenn danach.

Eine richtig geeignete CS-fähige Festplatte wird in diskutil so angezeigt (obwohl Sie möglicherweise nicht die dritte Partition auf disk0 haben, wenn Sie wissen, dass es sich nicht um ein Startlaufwerk handelt:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 wird niemals als verschlüsselt angezeigt, da der Volume-Manager grundsätzlich von dort aus booten muss. disk1 wird verschlüsselt und benötigt den Passcode, um eingehängt zu werden.

Geoff Nixon
quelle
1

Ich werde eine Antwort finden.

Verschlüsselte Time Machine-Sicherung ist nicht mit FileVault identisch, sondern entspricht der Auswahl von "Mac OS Extended ([Groß- und Kleinschreibung beachten], Journaled, encrypted)" im Festplatten-Dienstprogramm.

Um es mit einem externen Laufwerk zu automatisieren, sollte, vorausgesetzt, es ist "disk1", ​​Folgendes funktionieren (leider kein Ersatz-USB-Laufwerk zum Testen verfügbar):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
Chikpee
quelle
Ich muss das überprüfen, wenn ich wieder bei der Arbeit bin. OSX hat mir nicht sehr freundlich gesagt, dass die Backups tatsächlich verschlüsselt sind.
Laurén
Ich denke, dass netzwerkbasierte verschlüsselte Zeitmaschinensicherungen auch ziemlich ähnlich sein sollten, außer dass ein neues Festplatten-Image-Bundle erstellt wird, anstatt die Festplatte zu partitionieren.
Drfrogsplat
<da ich noch nicht genug Wiederholungspunkte habe, um @G zu kommentieren. Antwort von Nix> Sowohl eine Startdiskette mit aktiviertem FileVault 2 als auch eine verschlüsselte Time Machine-Sicherungsdiskette sind logische Core Storage-Volumes. Ich denke, FileVault 2 bezieht sich speziell auf die Verschlüsselungsfunktion für den gesamten Datenträger, bei der der Benutzer anstelle der Verschlüsselungspassphrase die Passphrase auswählt Wenn der zufällige Wiederherstellungsschlüssel generiert wird, können nur die genehmigten Benutzerkonten beim Anmelden darauf zugreifen und den Rest der Festplatte entschlüsseln.
Chikpee