¿Es posible habilitar el cifrado para un disco de destino de Time Machine con un script o usando la línea de comando?
¿Es un disco cifrado de Time Machine realmente lo mismo que un disco normal, cifrado de disco completo con FileVault?
Me gustaría automatizar tanto como sea conveniente al instalar una Mac para un nuevo usuario. Esto incluye copias de seguridad. Estamos usando OS X Mountain Lion.
Descubrimientos adicionales:
fdesetup
comando. Sin embargo, aparecerá como encriptado usandodiskutil cs list
No, lo siento garbanzo, creo que te equivocas.
¿Es un disco cifrado de Time Machine realmente lo mismo que un disco normal, cifrado de disco completo con FileVault?
Sí. Está. Estamos hablando de "FileVault 2", también conocido como CoreStorage, el nuevo administrador de volumen lógico de Apple. Esto es diferente a las tecnologías TM y FileVault anteriores, que se basan en imágenes de disco de paquete disperso cifradas con AES (que todavía se usan para copias de seguridad de red, etc.). El proceso que comienza en las Preferencias del sistema (en estos días) cuando habilita el cifrado de disco (ya sea en un disco externo, para Time Machine o en la unidad de arranque para FileVault), siempre que el disco sea adecuado, realiza una conversión en línea de un disco tradicional. Tabla de particiones GPT a un único almacén de datos monolítico, con una partición muy pequeña para el firmware CS. Los volúmenes lógicos (en grupos de volúmenes lógicos) luego se separan de esto, y estos volúmenes (de software) luego se formatean y cifran con HFS.
Creo que el método más sencillo para hacer esto sería:
diskutil cs create/convert
(no estaba/fue formateado; sin importancia) para inicializar y agregar un nuevo LVGdiskutil cs createVolume
, cree un solo LV. Puede habilitar el cifrado en este punto, con diskutil cs encryptVolume
, si conoce la frase de contraseña que va a utilizar; si no, déjalo sin cifrar por ahora.diskutil partitionDisk diskX
-- ver más abajo -- Los volúmenes de CS aparecen como si fueran discos completamente autónomos y separados, por lo que particionaDisk.Luego: monte y desbloquee el volumen en la máquina de su nuevo usuario. Una vez que el disco está desbloqueado, no debería haber ningún problema para 'adoptarlo' para usarlo allí. Si desea ponerlo en un script de configuración, creo que es algo como tmutil -a /Volumes/Foo
, tmutil startbackup -ad disk...
. Esta es la parte de la que estoy menos seguro, pero también estoy seguro de que es fácilmente factible. No he hecho esto para Time Machine en sí mismo, pero encripto previamente los discos para FileVault como este todo el tiempo, y el sistema operativo simplemente sabe qué hacer después de eso.
Un disco habilitado para CS adecuado aparecerá así en diskutil (aunque es posible que no tenga la tercera partición en el disco 0 si sabe que no será una unidad de arranque:
/dev/disk0
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *251.0 GB disk0
1: EFI EFI 209.7 MB disk0s1
2: Apple_CoreStorage 250.1 GB disk0s2
3: Apple_Boot Boot OS X 250.0 MB disk0s3
/dev/disk1
#: TYPE NAME SIZE IDENTIFIER
0: Apple_HFS Macintosh LV *249.8 GB disk1
disk0 nunca aparecerá como encriptado, ya que esto es lo que el administrador de volumen básicamente tiene que 'arrancar'. disk1 se cifrará y requerirá el código de acceso para montar.
Me arriesgaré a responder.
La copia de seguridad de Time Machine encriptada no es lo mismo que FileVault, en realidad es lo mismo que seleccionar "Mac OS Extended ([sensible a mayúsculas y minúsculas], registrado, encriptado)" en la Utilidad de Discos.
Entonces, para automatizarlo con una unidad externa, suponiendo que sea "disk1", creo que lo siguiente debería funcionar (lo siento, no tengo una unidad USB de repuesto para probar):
diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
bmike
fdesetup
es la herramienta para cifrar un volumen y, una vez hecho esto,tmutil setdestination
le permitiría establecer una unidad montada como destino para la máquina del tiempo.René Larsen
tmutil inheritbackup [machine_directory | sparsebundle]
, que ha creado de antemano, tal vez encriptado conhdiutil -encryption [AES-128|AES-256]
llauren
sudo diskutil cs list
muestra que el volumen ahora está encriptado,sudo fdesetup status
me dice que FileVault está desactivado.bmike
Añil
llauren