如何在命令行上启用Time Machine加密?

13

是否可以使用脚本或使用命令行为Time Machine目标磁盘启用加密?

加密的Time Machine磁盘真的与使用FileVault进行全磁盘加密的普通磁盘相同吗?

为新用户安装Mac时,我想尽可能方便地实现自动化。这包括备份。我们正在使用OS X Mountain Lion。

其他发现:

  • 您可以从Time Machine首选项GUI中要求对目标进行加密。这不会使它显示为使用fdesetup命令。但是,它将使用diskutil cs list
  • 如果首先加密驱动器,则Time Machine prefs GUI将对该条目说“加密备份”。这将支持Rene提出的以下方法(除非他建议对放置在磁盘上的加密映像执行此操作)。
mountain-lion  time-machine  filevault  encryption 
劳伦
source
我尚未构建完整的工具链,但它fdesetup是用于加密卷的工具,一旦完成,tmutil setdestination就可以将已安装的驱动器设置为时间机器的目的地。
bmike
您还应该能够选择带有tmutil inheritbackup [machine_directory | sparsebundle]预先创建的sparsebundle- 可能使用hdiutil -encryption [AES-128|AES-256]
Rene Larsen 2013年
@bmike-为了弄清楚File Vault是否确实与Time Machine加密相同,我使用GUI加密了Time Machine目标磁盘。尽管sudo diskutil cs list显示该卷已加密,但sudo fdesetup status告诉我FileVault已关闭。
llaurén
1
请紧记-文件库是指可配置密钥的可引导操作系统,以便一个或多个用户帐户可以在引导时解密映像以运行系统,而Time Machine仅使用相同的基本加密容器和核心存储层,而无需考虑用户帐户或整个引导过程。一旦系统已经启动,Time Machine仅需要装载卷。
bmike
抱歉,我没有答案,但是此线程中有一些关于进行现有时间机器备份并对其进行加密的讨论。discussions.apple.com/thread/4520699
阿尼尔Natha

Answers:

3

不,对不起小妞,我相信你是不对的。

加密的Time Machine磁盘真的与使用FileVault进行全磁盘加密的普通磁盘相同吗?

是。它是。这就是我们正在谈论的“ FileVault 2”,又名CoreStorage,这是苹果公司最新的逻辑卷管理器。这与以前的TM和FileVault技术不同,后者基于AES加密的稀疏捆绑磁盘映像(仍用于网络备份等)。如果启用了磁盘加密功能(无论是在外部磁盘上,对于Time Machine还是在FileVault的引导驱动器上),只要启用了磁盘加密,该过程就会在系统偏好设置中(最近)开始,如果磁盘适合,它将从传统模式进行联机转换GPT分区表到单个整体数据存储,其中CS固件的分区非常小。然后从中分出逻辑卷(在逻辑卷组中),然后对这些(软件)卷进行HFS格式化和加密。

我相信最简单的方法是:

  • 附加要使用的磁盘,然后擦拭。可用空间或单个HFS +分区。
  • diskutil cs create/convert (未/已格式化;不重要)以初始化并添加新的LVG
  • diskutil cs createVolume,创建一个LV。diskutil cs encryptVolume如果您知道将要使用的密码,则可以使用启用加密。如果不是,请暂时不加密。
  • diskutil partitionDisk diskX -见下文-CS卷看起来像是完全独立的独立磁盘,因此您对partitionDisk进行了分区。

然后:在新用户的计算机上安装并解锁该卷。磁盘解锁后,“采用”该磁盘在那里使用应该不会有任何麻烦。如果您想将其放入配置脚本中,我相信它就像tmutil -a /Volumes/Foo,一样tmutil startbackup -ad disk...。这是我最不确定的部分,但我也确信它很容易实现。我本人还没有为Time Machine做到这一点,但是我一直都这样为FileVault预先加密磁盘,而OS只是知道在此之后该怎么做。

适当合适的启用CS的磁盘将在diskutil中显示为这样(尽管您可能在disk0上没有第三个分区,但它知道它不会成为引导驱动器:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0永远不会显示为加密状态,因为这是卷管理器基本上必须“启动”的。disk1 被加密,并且需要安装密码。

杰夫·尼克松
source
1

我会得到答案的。

加密的Time Machine备份与FileVault不同,实际上与在“磁盘工具”中选择“ Mac OS Extended([区分大小写],已记录日志,已加密)”相同。

因此,使用一个外部驱动器(假设它是“ disk1”)使其自动化,我认为以下方法应该可以工作(对不起,没有备用的USB驱动器可以测试):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
Chikpee
source
当我重新上班时,我需要检查一下。OSX并不是很友好地告诉我备份实际上是加密的。
llaurén
我认为,基于网络的加密时间机器备份也应该非常相似,只是创建新的磁盘映像包而不是对磁盘进行分区。
drfrogsplat
<因为我没有足够的代表积分来对@G进行评论。Nix的答案>启用了FileVault 2的启动磁盘和加密的Time Machine备份磁盘都是Core Storage逻辑卷...但是我认为FileVault 2特别指的是全盘加密功能,而不是用户选择加密密码短语,将生成随机恢复密钥,并且只有批准的用户帐户才能在登录时访问它并解密磁盘的其余部分。
chikpee
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.