¿Cómo puedo habilitar el cifrado de Time Machine en la línea de comandos?

¿Es posible habilitar el cifrado para un disco de destino de Time Machine con un script o usando la línea de comando?

¿Es un disco cifrado de Time Machine realmente lo mismo que un disco normal, cifrado de disco completo con FileVault?

Me gustaría automatizar tanto como sea conveniente al instalar una Mac para un nuevo usuario. Esto incluye copias de seguridad. Estamos usando OS X Mountain Lion.

Descubrimientos adicionales:

  • Puede pedirle a un objetivo que se cifre desde la GUI de preferencias de Time Machine. Esto no hace que se muestre como tal usando el fdesetupcomando. Sin embargo, aparecerá como encriptado usandodiskutil cs list
  • Si encripta una unidad por primera vez, la GUI de preferencias de Time Machine dirá "Cifrar copias de seguridad" para esa entrada. Esto respaldaría el método sugerido a continuación por Rene (excepto que sugiere hacerlo en una imagen cifrada colocada en un disco).
No he creado una cadena de herramientas completa, pero fdesetupes la herramienta para cifrar un volumen y, una vez hecho esto, tmutil setdestinationle permitiría establecer una unidad montada como destino para la máquina del tiempo.
También debería poder elegir un paquete disperso con tmutil inheritbackup [machine_directory | sparsebundle], que ha creado de antemano, tal vez encriptado conhdiutil -encryption [AES-128|AES-256]
@bmike: para averiguar si File Vault realmente es lo mismo que el cifrado de Time Machine, cifré mi disco de destino de Time Machine usando la GUI. Mientras sudo diskutil cs listmuestra que el volumen ahora está encriptado, sudo fdesetup statusme dice que FileVault está desactivado.
Tenga en cuenta que la bóveda de archivos significa un sistema operativo de arranque con claves dispuestas de modo que una o más cuentas de usuario puedan descifrar la imagen en el momento del arranque para ejecutar el sistema, mientras que Time Machine simplemente usa el mismo contenedor cifrado básico y la misma capa de almacenamiento central sin tener en cuenta las cuentas de usuario. o todo el proceso de arranque. Time Machine solo necesita montar el volumen una vez que el sistema ya se haya iniciado.
Lamento no tener una respuesta para usted, pero en este hilo se habla un poco sobre cómo hacer una copia de seguridad de una máquina del tiempo existente y cifrarla. discusiones.apple.com/thread/4520699
Los comentarios en el hilo sugieren que una copia de seguridad de Time Machine cifrada es lo mismo que una copia de seguridad de Time Machine en un almacenamiento central cifrado. Entonces, de hecho, no existe tal cosa como "Cifrar copias de seguridad"; más bien es "Cifrar disco de copia de seguridad".

Respuestas (2)

No, lo siento garbanzo, creo que te equivocas.

¿Es un disco cifrado de Time Machine realmente lo mismo que un disco normal, cifrado de disco completo con FileVault?

Sí. Está. Estamos hablando de "FileVault 2", también conocido como CoreStorage, el nuevo administrador de volumen lógico de Apple. Esto es diferente a las tecnologías TM y FileVault anteriores, que se basan en imágenes de disco de paquete disperso cifradas con AES (que todavía se usan para copias de seguridad de red, etc.). El proceso que comienza en las Preferencias del sistema (en estos días) cuando habilita el cifrado de disco (ya sea en un disco externo, para Time Machine o en la unidad de arranque para FileVault), siempre que el disco sea adecuado, realiza una conversión en línea de un disco tradicional. Tabla de particiones GPT a un único almacén de datos monolítico, con una partición muy pequeña para el firmware CS. Los volúmenes lógicos (en grupos de volúmenes lógicos) luego se separan de esto, y estos volúmenes (de software) luego se formatean y cifran con HFS.

Creo que el método más sencillo para hacer esto sería:

  • Adjunte el disco que va a usar, límpielo. Espacio libre o una única partición HFS+.
  • diskutil cs create/convert(no estaba/fue formateado; sin importancia) para inicializar y agregar un nuevo LVG
  • diskutil cs createVolume, cree un solo LV. Puede habilitar el cifrado en este punto, con diskutil cs encryptVolume, si conoce la frase de contraseña que va a utilizar; si no, déjalo sin cifrar por ahora.
  • diskutil partitionDisk diskX-- ver más abajo -- Los volúmenes de CS aparecen como si fueran discos completamente autónomos y separados, por lo que particionaDisk.

Luego: monte y desbloquee el volumen en la máquina de su nuevo usuario. Una vez que el disco está desbloqueado, no debería haber ningún problema para 'adoptarlo' para usarlo allí. Si desea ponerlo en un script de configuración, creo que es algo como tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Esta es la parte de la que estoy menos seguro, pero también estoy seguro de que es fácilmente factible. No he hecho esto para Time Machine en sí mismo, pero encripto previamente los discos para FileVault como este todo el tiempo, y el sistema operativo simplemente sabe qué hacer después de eso.

Un disco habilitado para CS adecuado aparecerá así en diskutil (aunque es posible que no tenga la tercera partición en el disco 0 si sabe que no será una unidad de arranque:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 nunca aparecerá como encriptado, ya que esto es lo que el administrador de volumen básicamente tiene que 'arrancar'. disk1 se cifrará y requerirá el código de acceso para montar.

Me arriesgaré a responder.

La copia de seguridad de Time Machine encriptada no es lo mismo que FileVault, en realidad es lo mismo que seleccionar "Mac OS Extended ([sensible a mayúsculas y minúsculas], registrado, encriptado)" en la Utilidad de Discos.

Entonces, para automatizarlo con una unidad externa, suponiendo que sea "disk1", ​​creo que lo siguiente debería funcionar (lo siento, no tengo una unidad USB de repuesto para probar):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
Tendré que comprobarlo cuando vuelva al trabajo. OSX no ha sido muy amable al decirme que las copias de seguridad están encriptadas.
Creo que las copias de seguridad de la máquina del tiempo cifradas basadas en la red también deberían ser bastante similares, excepto que se crea un nuevo paquete de imágenes de disco en lugar de particionar el disco.
<ya que todavía no tengo suficientes puntos de repetición para comentar sobre @G. La respuesta de Nix> Tanto un disco de arranque con FileVault 2 habilitado Y un disco de copia de seguridad cifrado de Time Machine son volúmenes lógicos de Core Storage... pero creo que FileVault 2 se refiere específicamente a la función de cifrado de disco completo donde, en lugar de que el usuario seleccione la frase de contraseña de cifrado , se genera la clave de recuperación aleatoria y solo las cuentas de usuario aprobadas pueden acceder a ella al iniciar sesión y descifrar el resto del disco.
¿Cómo puedo habilitar el cifrado de Time Machine en la línea de comandos?
RespuestasAquíPolítica de privacidad1y, 0v