Warum funktioniert FileVault auf einem RAID-Volume nicht?

16

Bei der Arbeit sagte ich meinem Kollegen, dass es nicht möglich sei, Filevault auf einem RAID-Volume zu aktivieren. Er war überrascht und fragte mich nach dem technischen Grund.

Also würde ich gerne wissen. Es ist seltsam, weil sich Filevault auf der Software-Ebene befindet, während sich RAID auf der Hardware-Ebene befindet.

Benoit
quelle
Sie sprechen hier von einem RAID-Volume, das von Disk Utility erstellt wurde, nehme ich an?
Nohillside
@patrix Ja, zum Beispiel 2 interne Festplatten in RAID-1 in einem Mac Mini.
Benoit

Antworten:

2

Beide verwenden dieselbe Datenstruktur, um ein Volume innerhalb eines Volumes zu erstellen.

Man erstellt einen Wrapper und die Daten, die sich auf der Festplatte befinden, werden durch eine kryptografische Funktion verschlüsselt / zugeordnet, so dass dieselben Daten, die in zwei verschiedene Blöcke geschrieben wurden, physisch unterschiedlich auf dem Laufwerk landen. Das ist FileVault 2.

Der andere erstellt einen Wrapper und die Daten auf der Festplatte werden entweder an einer anderen Stelle gespiegelt oder über eine Aufteilungs- oder gemeinsame Prüfsummenfunktion zugeordnet, sodass die Daten auf dem Laufwerk physisch Teil einer Prüfsumme oder eines Teils eines logischen Blocks im Dateisystem sind. Dies ist RAID.

Die RAID- und Verschlüsselungstools von Apple sind nicht die einzigen, die Sie verwenden können. Sie sind jedoch so konzipiert, dass sie sich gegenseitig ausschließen. Ich gehe davon aus, dass sich dies auf HFS + -basierten Systemen nicht ändern wird, da Apple das neue APFS für Sierra (macOS 10.12) angekündigt hat, das eine wesentlich robustere Speicherverschlüsselung und Optionen für das Überspannen des physischen Volumens wie COW, Snapshots, Per-File-Verschlüsselung usw. ermöglicht.

bmike
quelle
Sie sollten diese Antwort wirklich löschen, da sie fast keine Fakten enthält und größtenteils unsinnig ist. Ich versuche nicht, unhöflich zu sein, und ich entschuldige mich, wenn ich das so sehe. Ich kann mir keinen diplomatischeren Weg vorstellen, es auszudrücken. Entschuldigung für die Härte.
DanielSmedegaardBuus
Keine Sorge, @DanielSmedegaardBuus, da der Core-Speicher abgeschlossen ist und es eine gute Antwort gibt. Ich denke, dies kann so lange bleiben, wie das OP es ausgewählt haben möchte. Es ist mir unangenehm, die Antwort danach zu ändern, es sei denn, dies schadet und ich sehe keine Änderung, die den Meinungsunterschied beheben kann. Ich glaube, niemand sollte das tun, nicht damals und schon gar nicht jetzt. Ich freue mich auch über Maynards umfassende Antwort auf die Frage, was möglich ist, auch wenn die Nutzung begrenzt ist oder einige Leute anderer Meinung sind, dass es sich überhaupt lohnt, dies zu tun.
bmike
26

Die vorherige Antwort, die ich hier gegeben habe, war falsch (wie auch die Antwort von bmike).

Die vorherige Antwort, die ich gegeben habe, war, dass, wenn Sie dies als Problem haben, eine Problemumgehung darin besteht, ein verschlüsseltes Festplatten-Image zu erstellen, das den gesamten AppleRaid-Satz abdeckt. Theoretisch funktioniert dies, ist aber so schrecklich langsam (wie mehr als das 10-fache des Zugriffs auf die Raw-Festplatte), dass es im Grunde unbrauchbar ist, was mich veranlasste, das Befehlszeilen-Dienstprogramm diskutil genauer zu betrachten. Und was weißt du - du KANNST tun, was gewünscht wird, es braucht nur etwas Arbeit. Sie müssen es über die Befehlszeile tun, und selbst dort können Sie es nicht mit den einfachsten Befehlen tun, aber es kann getan werden und es wird zu 100% legitim von Apple unterstützt, nicht irgendein seltsamer Hack.

Nehmen wir also an, Sie haben Ihr Apple Raid-Volume, das Sie irgendwie erstellt haben, entweder über das Festplatten-Dienstprogramm oder über die Befehlszeile.

Hinweis: Durch diesen Vorgang wird Ihr RAID formatiert und verschlüsselt. Sichern Sie alle Daten, die Sie behalten möchten (mindestens zweimal), bevor Sie fortfahren.

Das erste, was wir brauchen, ist, die Betriebssystemkennung auf niedriger Ebene für das Apple Raid-Volume von Interesse zu kennen. Geben Sie also Folgendes ein:

diskutil list

Hier finden Sie eine Liste der verschiedenen Festplatten, Partitionen und logischen Festplatten (z. B. Apple RAID-Volumes) auf Ihrem System. Schauen Sie sich die Liste an und finden Sie anhand des Namens und der Größe heraus, welches Apple RAID-Volume verschlüsselt werden soll. Stellen Sie sicher, dass Sie die RIGHT-ID erhalten, da Sie sonst ein anderes Volume zerstören. Wenn Sie dies tun, ist es ratsam, alle Festplatten, die für das Problem nicht relevant sind, einschließlich Ihrer Backup-Laufwerke, zu trennen (manuell - ziehen Sie die Kabel heraus!).

Die Liste sagt uns also, dass das Gerät von Interesse beispielsweise disk7 ist

Als Nächstes möchten wir einen Core Storage LVG-Wrapper (Logical Volume Group) um das Gerät erstellen. Ich werde nicht behaupten, dass ich die Core Storage-Terminologie verstehe und warum sie für alles ein anderes Wort verwenden als Apple RAID, aber soweit ich das beurteilen kann, handelt es sich bei der LVG im Wesentlichen um die Core Storage-Version einer logischen Festplatte. Also tippe:

diskutil cs createLVG BackupImacLVG disk7

BackupImacLVG ist der Name, den wir der logischen Festplatte geben, die wir erstellen. Dieser Befehl dauert einige Sekunden und gibt dann einen langen String aus, der der "Name" (die UUID) der von uns erstellten LVG ist. Wir verwenden es im nächsten Schritt.

Wir sind noch nicht fertig. Wir müssen jetzt das Äquivalent einer Partition (von Core Storage als logisches Volume bezeichnet) auf dieser logischen Festplatte erstellen. Hier ist der nächste Befehl:

diskutil cs createLV 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B JHFS+ BackupImac 100% -stdinpassphrase

Im obigen Befehl: 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B ist die LVG-UUID, die uns soeben mitgeteilt wurde (stellen Sie sicher, dass Sie Ihre eigene verwenden), und JHFS + ist das Dateisystem, das wir in der Partition erstellen möchten. BackupImac ist der Name des Volumes, das in dieser Partition erstellt wurde. 100% gibt an, wie viel Platz wir dieser Partition geben möchten. (Es gibt verschiedene Möglichkeiten, Größen anzugeben, aber die meisten Leute werden wahrscheinlich 100% verwenden). -stdinpassphrase gibt an, dass wir die Verschlüsselung verwenden möchten.

Die Kommandozeile zeigt dann folgende Eingabeaufforderung an:

Passphrase for new volume:

Sie geben das Passwort ein und sind fertig. (Beachten Sie keines der hilfreichen Apple FileVault-Benutzeroberflächen hier! Kein Angebot, Ihr Kennwort bei Apple zu speichern, keine zweite Aufforderung zur Eingabe des Kennworts, um sicherzustellen, dass Sie es richtig eingegeben haben!)

Das Endergebnis von all dem ist genau das, was Sie hoffen und erwarten würden. Ein verschlüsseltes Volume mit der Leistung des vorherigen AppleRAID-Volumes. (Wenn Sie sich die Manpage diskutil ansehen, werden Sie feststellen, dass Apple RAID-Volumes explizit als unterstützte Ziele für diskutil cs createLVG aufgeführt werden. Dies ist also kein seltsamer Randfall, der offiziell nicht unterstützt wird.)

Disk Utility.app aktualisiert seine Benutzeroberfläche nicht (in dieser Hinsicht ist es wirklich schlimm - es war ein laufendes Problem in OSX), also beenden Sie es und starten Sie es neu. Zusammen mit Ihren RAID-Slices sehen Sie nun eine neue "Festplatte" mit dem Namen BackupImacLVG (oder wie auch immer Sie es nennen) sowie eine Partition mit dem Namen BackupImac (oder wie auch immer Sie es nennen) mit dem Format "Encrypted Logical Partition". .

Eine Sache, die Sie beachten sollten. Der Datenträger wird während des Erstellungsprozesses angehängt, ohne nach einem Kennwort zu fragen (Sie haben das Kennwort in der Befehlszeile eingegeben).

Unmittelbar nachdem Sie fertig sind, möchten Sie möglicherweise die Bereitstellung des Volumes aufheben, die Festplatten des AppleRAID-Volumes ausschalten, sie wieder einschalten und sehen, was passiert. Wenn Sie alles richtig gemacht haben, sollte ein Fenster auf dem Bildschirm erscheinen, in dem Sie nach dem Kennwort gefragt werden, damit die Festplatte eingehängt werden kann, sobald alle Slices des Apple RAID gestartet und vom Betriebssystem erkannt wurden.

Maynard Handley
quelle
Hervorragend, dass Sie eine Methode identifiziert haben. Ich habe das jetzt schon seit einiger Zeit ganz gewollt. Ich bin nicht sicher, ob ich derzeit bereit bin, ein Image für mein RAID-Set zu erstellen, damit ich es formatieren und dann zurückkopieren kann. Hmmm ..
James T Snell
Bei der Eingabe der Passphrase in der Befehlszeile erfolgt keine Bestätigung. Dies ist ein wenig haarsträubend, aber danach können Sie in die GUI DiskUtility gehen und auf "Erase" auf der Partition klicken, um die schöne doppelte Passwortabfrage mit Komplexitätsanzeige zu erhalten. Vielen Dank, dass Sie diesen Vorgang dokumentiert haben!
Dacc
@ Maynard Handley - Funktioniert dies für RAID0 in Yosemite? Danke.
Thepen
Ich kann für alle Interessierten bestätigen, dass dies in El Capitan (10.11) und für Time Machine-Volumes funktioniert.
Matt
3
Ich bestätige den Erfolg für macOS 10.12 Sierra (getestet auf einem Mac Pro). Ich habe einen AppleRAID-Spiegel mit verschlüsseltem Journal-HFSX erstellt (HFSX unterscheidet zwischen Groß- und Kleinschreibung in HFS +). Das Festplatten-Dienstprogramm blieb kurz nach Abschluss dieser Schritte hängen, sodass ich Folgendes erlebte: 1.) Neustarten des Mac, 2.) Anmelden beim Finder, 3.) Starten des Festplatten-Dienstprogramms erfolgreich. Ich habe auch ein Mitglied (physisches Laufwerk) aus dem RAID-Spiegel entfernt und getestet, ob sich das verbleibende Mitglied (Laufwerk) wie erwartet verhalten hat. Dies geschah folgendermaßen: Nach dem Neustart des Mac und dem Anmelden konnte das einzelne Mitglied erst aktiviert werden, nachdem ich die richtige Passphrase eingegeben hatte. Vielen Dank.
user3051849