Lion中的FileVault 2与旧版本（系统的先前版本中的FileVault）相比是否有其他区别？使用新版本还有其他好处吗？

从John Siracusa的《狮子》评论中大量借...

FileVault 2是一个全盘加密系统，而不是仅将“主文件夹存储在加密的磁盘映像中”解决方案。它被实现为在系统引导时解锁的实际卷之下的文件系统层。如果您熟悉LVM，则方法几乎相同。每当您越过密码锁时，系统其余部分看起来都一样。

正如史蒂夫（Steve）所提到的，加密工作可以由专门的处理器指令来辅助，并且完全在后台运行。很好的是，您可以在完整的驱动器上启用磁盘加密，并且一切都将在闲暇时完成（您可以将其关闭，重新备份等，然后一切都会继续进行）。

没有密码的“来宾”帐户无法再创建，因为整个磁盘已加密，而不仅仅是用户的主目录。令人遗憾的是，我在Apple的kb文章中找不到有关此的任何信息。

与旧版本相比，新的Filevault似乎对您的约束要少得多。例如，您无需注销即可运行时间机器，并且所有共享守护程序似乎都可以正常工作（如果我没记错的话，其中的一些在启用filefault时已被禁用。我认为其中包括Web共享）使我的笔记本电脑作为Web应用程序的开发平台没有用:)）。

Filevault 2的一个问题是，您必须在本地输入密码后才能进入计算机，因为启动过程只有在加密驱动器解锁后才能开始。

• 它支持AES-NI，它可以减轻支持的CPU（某些核心i5和i7）上的加密和解密。
• 您可以使用Apple存储加密密钥。

我敢肯定还有其他一些。此Apple支持文章应回答您的其余问题。

http://support.apple.com/kb/HT4790

FileVault 2 LVG故障可能无法修复

从手册页fsck_cs：

fsck_cs实用程序将验证并修复CoreStorage逻辑卷组元数据。

...

臭虫

fsck_cs不会执行详尽的验证，也无法修复它确实检测到的许多不一致之处。

FileVault 1的问题

fsck_hfs（由Disk Utility使用）已经开发了十多年，并且能够修复FileVault 1使用的大多数与JHFS +有关的问题。

如果遇到fsck_hfs无法修复的问题，则可以使用多种替代的第三方实用程序。

FileVault 2的核心存储问题

fsck_cs（也由磁盘实用程序使用）与CoreStorage一起首次出现在Mac OS X 10.7.0中。不一致可能是无法弥补的。

在没有fsck_cs的替代方案的情况下

如果发生LVG故障并且fsck_cs无法进行必要的维修，则将不会挂载启动卷。在这种情况下，您可能会破坏性地重新格式化磁盘，然后重新安装Mac OSX。（单独使用Recovery OS Time Machine将无法提供FileVault 2所需的Apple_Boot Recovery HD。）

我看到的一个缺点是，在您可以加密单个用户帐户之前，而现在您只能对整个磁盘进行加密。如果加密整个磁盘，则每次使用计算机时也必须解密整个磁盘。这意味着一旦启动计算机，整个磁盘就可以被恶意软件访问，而在您分别登录（很快又再次退出）安全关键帐户之前。

我想您仍然可以在FileVault顶部使用加密的磁盘映像来存储真正重要的数据。

另一个问题可能是Time Machine。以前，FileVault用户目录还以加密方式存储在备份卷上，但现在似乎不再如此了。

有谁知道Time Machine现在是否还支持全磁盘加密（从到目前为止的报告来看，似乎没有为外部驱动器启用，至少没有通过GUI启用）？

更新：显然，Time Machine不支持全磁盘加密：可以使用FileVault 2轻松加密Time Machine卷吗？

对于多个管理员：仅FileVault 2的安全性不如FileVault 1 

与Thilo提供的答案相似。此逻辑适用于具有两个或更多管理员的任何计算机。

雪豹和狮子中的FileVault 1

有一个很好的安全级别，可以防止没有主密码的人访问任何其他人的数据。

单独使用FileVault 2

任何管理员都可以查看，复制，编辑所有其他用户的数据。

例

两个业务伙伴共享一台计算机，都是管理员。这两个合作伙伴之一可能希望将某些内容保密。拥有主密码的伙伴希望将其保密，不会将该密码提供给另一伙伴。

在这种情况下，仅使用FileVault 2即可轻松忽略安全性和隐私-sudo马上浮现在脑海。

比较方式

Oracle Solaris中的ZFS加密，可以应用于用户的主目录。

解决方法

如果在上述情况下FileVault 2的用户需要额外的安全性，则该人可以：

1. 添加单独的磁盘，内部或外部
2. 在该磁盘上，拥有一个核心存储加密逻辑卷（LV），其磁盘密码不同于（a）操作系统启动卷的磁盘密码和（b）启动卷的所有用户密码
3. 将其主目录存储在单独磁盘上的LV上
4. 将其用户帐户的密码与LV的磁盘密码匹配。

另外，该人员可能只使用现有磁盘的一部分……但是，coreStorage领域及其周围的分区管理很困难，因此，为了长期简便起见：我建议您投资一个额外的/分离的磁盘。

/ var /文件夹

期望将某些用户数据写入到的子目录中 /private/var/folders-所有管理员都可以访问此数据。一个解决方案超出了这个问题的范围。

coreStorage世界及其周围地区的分区管理很困难

对于使用FileVault 2的磁盘-或Core Storage的任何其他应用程序-可能无法使用“磁盘工具”添加或调整分区大小。

在超级用户中：

• 如何调整FileVault 2加密分区的大小下的答案？
• 在OS X Lion中的加密卷上创建新分区下的答案。

预计苹果的diskutil（8）Mac OS X手册页将在适当时候更新为10.7。同时，如果您已经安装了Lion，请阅读Terminal中的手册页。

可以为个人禁用FileVault 1

对于使用FileVault 1的任何用户：

• 如果有足够的可用空间，则系统偏好设置可让您单独禁用该用户的FileVault。

无法禁用FileVault 2的已启用用户

在Mac OS X 10.7（内部版本11A511）中，您可以允许用户解锁启动卷，但一旦启用：

• 该用户不能被禁用
• 只能完全禁用FileVault 2。

在启动/登录时禁用用户解锁FileVault 2卷的功能

Lion Recovery Disk Assistant缺少对FileVault 2的支持

在Mac OS X 10.7（内部版本11A511）中与FileVault 2一起使用的助手的1.0版确实会在USB闪存驱动器上生成Recovery OS。然而：

• 计算机无法从该恢复操作系统启动。

我在两台不同的计算机上发现了此问题。

FileVault 1对性能的影响

以我的经验，这种影响通常是可以接受的。我想查看相关的基准。

性能比较

在Ask Different中：旧Filevault与新Lion全盘加密的速度

• 我的回答（正在进行中）包括一些技术数据。

FileVault 2对性能的影响

苹果建议：

FileVault 2实时加密和解密您的数据，对性能没有明显的影响。

— 页面缓存2011-07-28。

AnandTech —返回Mac：OS X 10.7 Lion评估：FileVault的性能观察到：

…总体而言，纯I / O性能的损失在20％到30％之间。它引人注目，但不足以超过全盘加密的好处。…

我希望AnandTech的审稿人能够更广泛地权衡一下，至少包括：

• FileVault 1代替FileVault 2。

在Re：[Fed-Talk] Lion FileVault（2011-07-22）中，有关CPU，kernel_task等的更多观察结果（突出显示）。

FileVault 2阻止远程重启

不要期望可以远程访问EFI登录窗口。

禁用FileVault 1可能会降低性能

与具有属性和目录B树的单个巨大卷相比，两个合理大小的卷（一个主目录）具有一组良好的B树，对于系统来说，管理它们可能更容易，并且几乎可以肯定地具有更好的性能。超大和零散。

说明

FileVault 1使用优化大小的条带。

根据主目录的内容，放弃这些频段而使用大量较小的文件可能会大大增加启动卷以下关键区域的大小和碎片：

• 属性B树
• 目录树
• 范围B树。

放大的B树可能出乎意料的问题

接下来的内容毫无疑问是超出了开头问题的范围，并且相对来说是技术性的，但是对于具有（a）内存有限和（b）主目录内外大量文件的计算机用户，值得在此之前进行思考放弃FileVault 1。

如果B树的大小之和太大，并且需要修复，则计算机上的第三方实用程序可能无法修复损坏。

如果fsck_hfs无法修复该卷（最明显的是使用磁盘实用程序，而当系统遇到脏文件系统时则不那么明显），用户可以使用受人尊敬的第三方实用程序。

例

我遇到了这样一种情况，即B树的总和（与物理内存有关）太大，以至于第三方实用程序无法按不能使用的Core Storage加密备份卷进行工作fsck_hfs。由于我的MacBookPro5,2最多只能占用8 GB，因此一段时间以来该卷是只读的。

在具有更多内存的环境中，无论是否安装计算机，我都可能会将其分发给服务提供商以引起注意。但是出于安全性考虑，我不应该向任何第三方（无论其信任度如何）提供某些类型的卷的密码或密钥。

最终，出乎意料的是，fsck_hfs在我无法使用Disk Utility的情况下，in Lion确实修复了该卷，这可能要归功于我实验（危险吗？）在处于无法修复且易读的状态下从coreStorage世界中删除了该卷（还原，完全向后转换）。对于我来说，这是一个令人愉悦的结果，也是苹果对10.7（内部版本11A511）的质量和功能的赞许，但这对其他读者应该是一个警告。

某些安装不能使用FileVault 2

并非所有的Lion安装都获得FileVault 2所需的隐藏的Apple_Boot Recovery HD — OS X Lion：在安装期间出现“磁盘（卷名）不支持Mac OS X Lion的某些功能”（2011-07-21） 。

…您将无法使用FileVault…

如果发生这种情况-如果在升级到Lion之前放弃了FileVault 1，则Mac和Lion的安全性将降低。

在狮子发布之前通过Macworld大会发表的意见仍然建议用户要禁用的FileVault 1  之前安装狮子。Macworld提出有争议的建议是最不寻常的，但是在这种情况下，我强烈不同意。

Lion使FileVault 1住宅的创建变得不那么容易

升级到Lion之前，最容易在Snow Leopard中创建FileVault 1主页。

如果没有Snow Leopard：您可以使用Lion创建房屋，但是需要执行一些步骤。

禁用Filevault 1后，是否可以在Lion中再次启用它？

通过将FileVault 2与FileVault 1结合使用，您可以拥有双层安全性。请注意，这将引起TimeMachine和共享的麻烦。因此，只有在关闭TimeMachine的帐户中才建议使用这种双层安全性！

在我的计算机上，我有一个日常工作帐户，一个FileVault 1帐户（TimeMachine除外）和一个管理员帐户。当我从日常工作帐户（使用管理员帐户的密码）激活FileVault 2时，我期望FileVault 1会消失，因为苹果在OS X Lion上说：关于FileVault 2：«如果关闭Legacy FileVault，Legacy FileVault选项卡将消失然后您可以选择启用OS X Lion的FileVault 2»。

设置FileVault 2时，我很惊讶我的FileVault 1继续使用FileVault 1加密。因此，我具有双重安全性：FileVault 2计算机中的旧FileVault 1帐户。我需要的是一个非FileVault 1帐户，可从该帐户打开FileVault 2。

最终，我再次关闭了FileVault 2。我喜欢能够从Bootcamp Windows系统访问OS X文件系统。使用FileVault 2不再可能。我仍然保留FileVault 1帐户，即使在10.8.1中也可以正常工作。