¿FileVault 2 en Lion tiene alguna otra diferencia en comparación con la versión anterior, FileVault en versiones anteriores del sistema? ¿Hay algún beneficio adicional al usar la nueva versión?
¿FileVault 2 en Lion tiene alguna otra diferencia en comparación con la versión anterior, FileVault en versiones anteriores del sistema? ¿Hay algún beneficio adicional al usar la nueva versión?
Respuestas:
Tomando mucho prestado de la reseña del León de John Siracusa ...
FileVault 2 es un sistema de cifrado de disco completo, en lugar de solo una solución de "almacenar su carpeta de inicio en una imagen de disco cifrada". Se implementa como una capa del sistema de archivos por debajo del volumen real que desbloqueas en el momento del arranque del sistema. Si está familiarizado con LVM , es muy parecido. Cada vez que pasa el bloqueo de contraseña, todo se ve igual para el resto del sistema.
Como mencionó Steve, el trabajo de cifrado puede ser ayudado por instrucciones especializadas del procesador y se ejecuta completamente en segundo plano. Lo bueno es que puede activar el cifrado de disco en una unidad completa, y todo se hará a su gusto (puede apagarlo, volver a encenderlo, etc. y todo continuará).
Las cuentas "Invitado" sin contraseña ya no se pueden crear ya que todo el disco está encriptado que solo el directorio de inicio del Usuario. Es triste que no haya podido encontrar ninguna información sobre el artículo kb en Apple sobre esto.
El nuevo Filevault parece imponerle muchas menos restricciones que la versión anterior. No tiene que cerrar sesión para que la máquina del tiempo funcione, por ejemplo, y todos los demonios de uso compartido parecen funcionar bien (algunos de ellos se desactivaron cuando se activó la falla de archivo si recuerdo correctamente. Creo que el uso compartido de web estaba entre ellos, lo que hizo que mi computadora portátil fuera un poco inútil como plataforma de desarrollo para aplicaciones web :)).
Un problema con Filevault 2 es que no puede ingresar en una máquina hasta que haya ingresado una contraseña localmente, ya que el proceso de inicio no puede comenzar hasta que la unidad encriptada se haya desbloqueado.
Estoy seguro de que hay algunos otros. Este artículo de soporte de Apple debería responder el resto de sus preguntas.
Desde la páginafsck_cs del manual para :
La utilidad fsck_cs verifica y repara los metadatos del grupo de volúmenes lógicos CoreStorage.
...
LOCO
fsck_cs no realiza una validación exhaustiva, ni puede corregir muchas de las inconsistencias que detecta.
fsck_hfs (utilizado por la Utilidad de Discos ) se ha desarrollado durante más de diez años y es capaz de reparar la mayoría de los problemas con JHFS + tal como lo utiliza FileVault 1.
Si encuentra un problema que fsck_hfsno puede reparar, existen múltiples utilidades alternativas de terceros.
fsck_cs(también utilizado por Disk Utility) apareció por primera vez junto con CoreStorage en Mac OS X 10.7.0. Las inconsistencias pueden ser irreparables.
Si se produce un fallo de LVG y fsck_csno puede realizar las reparaciones necesarias, su volumen de inicio no aumentará. En esta situación, puede volver a formatear el disco de forma destructiva y reinstalar Mac OS X. (El uso de Recovery OS Time Machine solo no proporcionará Apple_Boot Recovery HD que se requiere para FileVault 2).
Un inconveniente que puedo ver es que antes podía cifrar cuentas de usuario individuales, mientras que ahora solo puede cifrar todo el disco. Si encripta todo el disco, también deberá desencriptarlo cada vez que use la computadora. Esto significa que una vez que la computadora se inicia, todo el disco es accesible para el malware, mientras que antes puede iniciar sesión (y pronto salir) de las cuentas críticas de seguridad por separado.
Supongo que aún puede usar imágenes de disco cifradas en la parte superior de FileVault para obtener datos realmente importantes.
Otro problema podría ser Time Machine. Mientras que antes los directorios de los usuarios de FileVault también se almacenaban encriptados en el volumen de la copia de seguridad, ese ya no parece ser el caso.
¿Alguien sabe si Time Machine ahora también admite el cifrado de disco completo (según los informes hasta ahora, parece que no está habilitado para unidades externas, al menos no a través de la GUI)?
Actualización: Aparentemente, Time Machine no admite el cifrado de disco completo: ¿pueden los volúmenes de Time Machine cifrarse fácilmente con FileVault 2?
Similar a la respuesta ofrecida por Thilo. Esta lógica se aplica a cualquier computadora con dos o más administradores.
Existe un buen nivel de seguridad para evitar que una persona sin la contraseña maestra acceda a los datos de otra persona.
Cualquier administrador puede ver, copiar y editar los datos de todos los demás usuarios.
Ejemplo
Dos socios comerciales comparten una computadora, ambos administradores. A uno de los dos socios le gustaría mantener algo privado. El socio que posee la contraseña maestra, que desea mantener algo privado, no le da esa contraseña al otro socio.
Con FileVault 2 solo en tales escenarios, la seguridad y la privacidad se ignoran fácilmente: sudo viene inmediatamente a la mente.
Comparación
Cifrado ZFS en Oracle Solaris , que puede aplicarse a los directorios de inicio de los usuarios.
Si un usuario de FileVault 2 en la situación anterior requiere seguridad adicional, esa persona puede:
Alternativamente, esa persona podría usar solo una parte de un disco existente ... pero la administración de particiones en y alrededor del mundo coreStorage es difícil , por lo que para la simplicidad a largo plazo: recomendaría invertir en un disco adicional / separado.
Espere que algunos datos del usuario se escriban en un subdirectorio de /private/var/folders: todos los administradores tendrán acceso a estos datos. Una solución para esto está más allá del alcance de esta pregunta.
Para un disco que usa FileVault 2, o cualquier otra aplicación de Core Storage, puede ser imposible agregar o cambiar el tamaño de las particiones usando Disk Utility.
En Super Usuario:
Espere que la página del manual diskutil (8) Mac OS X de Apple se actualice para 10.7 a su debido tiempo. Mientras tanto, si ya instaló Lion, lea la página de manual en Terminal.
Para cualquier usuario que use FileVault 1:
En Mac OS X 10.7 (compilación 11A511) puede permitir que un usuario desbloquee el volumen de inicio, pero una vez habilitado:
La versión 1.0 del asistente utilizado con FileVault 2 en Mac OS X 10.7 (Build 11A511) produce un sistema operativo de recuperación en una unidad flash USB. Sin embargo:
Encontré este problema con dos computadoras diferentes.
En mi experiencia, el impacto suele ser aceptable. Me gustaría ver puntos de referencia relevantes.
En Ask Different: velocidad del antiguo Filevault frente al nuevo cifrado de disco completo de Lion
Apple sugiere:
FileVault 2 cifra y descifra sus datos sobre la marcha con un impacto de rendimiento imperceptible.
- página en caché 2011-07-28 .
AnandTech - Volver a la Mac: Revisión de OS X 10.7 Lion: el rendimiento de FileVault observa:
... En general, el éxito en el rendimiento de E / S puro está en el rango del 20-30% . Es notable pero no lo suficientemente grande como para superar los beneficios del cifrado de disco completo. ...
Me gustaría que los revisores de AnandTech vuelvan a sopesar las cosas de manera más amplia, para incluir al menos:
Más observaciones sobre CPU, kernel_task, etc. en Re: [Fed-Talk] Lion FileVault (22-07-2011) ( destacados ).
No espere acceso remoto a la ventana de inicio de sesión de EFI.
Dos volúmenes de tamaño razonable (uno un directorio de inicio), con un buen conjunto de árboles B, son probablemente más fáciles de administrar para el sistema, y casi seguramente funcionan mejor, que un solo volumen colosal con atributos y árboles B de catálogo que son De gran tamaño y fragmentado.
FileVault 1 utiliza bandas de un tamaño que está optimizado.
Dependiendo del contenido de un directorio de inicio, abandonar esas bandas en favor de una mayor cantidad de archivos más pequeños puede aumentar significativamente los tamaños y la fragmentación de las siguientes áreas críticas del volumen de inicio:
Lo que sigue está discutiblemente más allá del alcance de la pregunta inicial, y es relativamente técnico, pero vale la pena pensar antes de cualquier usuario de una computadora con (a) memoria limitada y (b) un número considerable de archivos dentro y fuera de su directorio de inicio. abandonando FileVault 1.
Si la suma de los tamaños de los árboles B es demasiado grande, y si se requiere reparación, es posible que las utilidades de terceros en su computadora no puedan reparar el daño.
Si fsck_hfs no puede reparar un volumen , lo más obvio es que usa la Utilidad de Discos , y menos cuando el sistema encuentra un sistema de archivos que está sucio, un usuario puede recurrir a una respetada utilidad de terceros.
Encontré una situación en la que la suma de los tamaños de los árboles B, en relación con la memoria física, era demasiado grande para que una utilidad de terceros funcionara según lo requerido para un volumen de copia de seguridad cifrado de Core Storage que era irreparable fsck_hfs. Como mi MacBookPro5,2 no puede tomar más de 8 GB, durante algún tiempo este volumen fue de solo lectura.
Podría haber llevado el volumen, con o sin la computadora, a un proveedor de servicios para recibir atención en un entorno con más memoria. Sin embargo, por seguridad, no debería proporcionar a ningún tercero, por confiable que sea, la frase de contraseña o clave para algunos tipos de volumen.
Eventualmente e inesperadamente, fsck_hfsen Lion reparó el volumen sin mí usando Disk Utility, posiblemente gracias a que eliminé experimentalmente (¿arriesgado?) El volumen del mundo coreStorage (revertir, convertir completamente hacia atrás) mientras estaba en el estado irreparable y de lectura . Ese fue un resultado agradable para mí, y un reconocimiento a Apple por las cualidades y capacidades de 10.7 (Build 11A511), pero esto debería servir como una advertencia para otros lectores.
No todas las instalaciones de Lion obtienen el Apple_Boot Recovery HD oculto que se requiere para FileVault 2 - OS X Lion: "Algunas funciones de Mac OS X Lion no son compatibles con el disco (nombre del volumen)" aparece durante la instalación (2011-07-21) .
... No podrás usar FileVault ...
Si esto sucede, y si abandonó FileVault 1 antes de la actualización a Lion, su Mac con Lion será menos segura .
El consejo publicado por Macworld antes del lanzamiento de Lion continúa aconsejando a los usuarios que deshabiliten FileVault 1 antes de instalar Lion. Es muy inusual que Macworld brinde consejos que sean polémicos, pero en este caso, no estoy de acuerdo.
Es más fácil crear la casa FileVault 1 en Snow Leopard antes de actualizar a Lion.
Si no tiene Snow Leopard: puede usar Lion para crear el hogar, pero hay algunos pasos para la rutina.
Después de deshabilitar Filevault 1, ¿es posible habilitarlo nuevamente en Lion?
Al combinar FileVault 2 con FileVault 1, puede tener seguridad de doble capa. Tenga en cuenta que esto causará problemas con TimeMachine y el uso compartido. Por lo tanto, esta seguridad de doble capa solo es recomendable para una cuenta donde TimeMachine está desactivado.
En mi computadora, tengo una cuenta de trabajo diario, una cuenta FileVault 1 (excluida de TimeMachine) y una cuenta de administrador. Cuando activé FileVault 2 desde mi cuenta de trabajo diaria (usando la contraseña de la cuenta de administrador), esperaba que FileVault 1 desapareciera porque Apple dice en OS X Lion: Acerca de FileVault 2 : «Si apaga Legacy FileVault, la pestaña Legacy FileVault desaparecerá y luego puedes elegir habilitar OS X Lion's FileVault 2 ».
Cuando FileVault 2 estaba configurado, me sorprendió mucho que FileVault 1 siguiera teniendo el cifrado FileVault 1. Entonces tenía una seguridad de doble capa: una cuenta heredada de FileVault 1 dentro de una computadora FileVault 2. Todo lo que necesitaba era una cuenta que no fuera FileVault 1 desde donde activar FileVault 2.
Finalmente, apagué FileVault 2 nuevamente. Me gusta poder acceder al sistema de archivos OS X desde el sistema de Windows Bootcamp. Con FileVault 2, eso ya no era posible. Todavía mantengo la cuenta FileVault 1 y continúa funcionando bien, incluso en 10.8.1.