为什么FileVault无法在RAID卷上工作?

16

在工作中,我对同事说不可能在RAID卷上启用Filevault。他很惊讶,问我技术原因。

所以我想知道。这很奇怪,因为Filevault在软件级别,而RAID在硬件级别。

filevault  raid 
贝努瓦
source
我假设您是在说磁盘实用程序创建的RAID卷?
nohillside
@patrix是的,例如,在Mac Mini的RAID-1中设置了2个内部HDD。
Benoit

Answers:

2

两者都使用相同的数据结构在一个卷内创建一个卷。

创建一个包装器,然后通过加密功能对磁盘上的数据进行加扰/映射,以使写入两个不同块的相同数据在驱动器上物理上不同。那就是FileVault 2。

另一个创建包装器,磁盘上的数据要么镜像到其他位置,要么通过拆分或共享校验和功能进行映射,以便驱动器上的数据实际上是校验和的一部分或文件系统中逻辑块的一部分。这是RAID。

Apple的RAID和加密工具不是唯一可以使用的工具,但这就是它们目前的设计方式-相互排斥。我希望这在基于HFS +的系统上不会改变,因为苹果已经宣布了适用于Sierra的新APFS(macOS 10.12),它将允许更强大的存储加密和物理卷跨度选项,例如COW,快照,每个文件加密等。

bmike
source
您确实应该删除此答案,因为它几乎不包含任何事实,而且几乎没有任何意义。我并不是想表现出粗鲁的态度,对此我深表歉意,我只是想不出一种更外交的方式来表达它。对不起,很抱歉。
DanielSmedegaardBuus19年
@DanielSmedegaardBuus不用担心,因为核心存储已经完成,并且有一个很好的答案,我认为只要OP希望选择它,它就可以保留。此后,我不满意更改答案,除非它会造成伤害,并且我看不到任何可以解决观点差异的修改。我相信没有人应该这样做,而不是那时,当然也不是现在。我也很高兴Maynard对所有可能的问题做出全面的回答,即使它的使用受到限制或有些人不同意它的价值。
bmike
26

我在这里给出的先前答案是错误的(bmike的答案也是如此)。

我先前给出的答案是,如果您有此问题,一种解决方法是创建一个覆盖整个AppleRaid集的加密磁盘映像。从理论上讲,这是可行的,但是它是如此之慢(几乎是原始磁盘访问速度的10倍),以致于根本无法使用,这使我更加详细地研究了diskutil命令行实用程序。而且您知道什么-您可以做想要的事情,这需要一些工作。您必须通过命令行执行此操作,即使使用最简单的命令也无法执行此操作,但是可以做到这一点,而且它是100%合法的Apple支持的,而不是一些奇怪的技巧。

因此,假设您拥有通过磁盘实用程序或命令行以某种方式创建的Apple Raid卷。

注意:此过程将格式化RAID并对其进行加密。在继续操作之前,请备份您要保留的任何数据(至少两次)。

我们需要做的第一件事是了解感兴趣的Apple Raid卷的低级操作系统标识符,因此键入:

diskutil list

这将为您提供系统上各种硬盘驱动器,分区和逻辑硬盘驱动器(例如Apple RAID卷)的列表。查看列表,然后根据名称,大小以及我们希望加密的Apple RAID卷进行计算。确保您获得了正确的标识符,否则您将销毁其他一些卷。这样做时,明智的做法是断开(手动---拔出电缆!)与该问题无关的所有硬盘驱动器,包括,最明显的是备份驱动器!

因此,列表告诉我们感兴趣的设备是disk7

接下来,我们要在设备周围创建一个核心存储LVG(逻辑卷组)包装。我不会声称我了解Core Storage术语,以及为什么它们与Apple RAID相比在所有内容上使用不同的词,但据我所知,LVG本质上是Core Storage的逻辑硬盘版本。所以输入:

diskutil cs createLVG BackupImacLVG disk7

BackupImacLVG是我们给正在创建的逻辑硬盘驱动器的名称。该命令将花费几秒钟,然后吐出一个长字符串,这是我们创建的LVG的“名称”(UUID)。我们将在下一步中使用它。

还没完成 现在,我们需要在此逻辑硬盘驱动器上创建等效的分区(Core Storage称为逻辑卷)。这是下一条命令:

diskutil cs createLV 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B JHFS+ BackupImac 100% -stdinpassphrase

在上面的命令中: 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B 是我们刚刚被告知的LVG UUID(确保您使用自己的),而 JHFS + 是我们要在分区中创建的文件系统。 BackupImac 将是在该分区中创建的卷的名称。 100% 表示要为此分区分配多少空间。(有几种不同的方式指定大小,但大多数人可能会使用100%)。 -stdinpassphrase 表示我们要使用加密。

然后,命令行将提示:

Passphrase for new volume:

输入密码,就完成了。(请注意,这里没有有用的Apple FileVault UI!没有提供使用Apple为您保存密码的服务,也没有第二次要求您输入密码以确保输入正确的信息!)

所有这些的最终结果正是您希望和期望的。具有先前AppleRAID卷的所有性能的加密卷。(并且,如果您查看diskutil手册页,您会看到它们明确列出Apple RAID卷作为diskutil cs createLVG的受支持目标,因此这并不是官方不支持的奇怪情况。)

Disk Utility.app不会更新其UI(在这方面确实很糟糕--- OSX中一直存在问题),请退出并重新启动它。现在你会看到,你的RAID切片一起,一个新的“硬盘”之称BackupImacLVG(或任何你叫吧)与一个叫做分区沿着BackupImac(或任何你叫吧),以“加密逻辑分区”的格式。

要注意的一件事。在创建过程中将安装磁盘,而无需输入密码(您在命令行中输入了密码)。

完成后,您可能想要卸载该卷,关闭AppleRAID卷的硬盘驱动器,再次打开电源,然后看看会发生什么。如果您正确完成了所有操作,一旦Apple RAID的所有片片都旋转起来并被操作系统检测到,屏幕上就会出现一个窗口,要求您输入密码,以便可以安装磁盘。

梅纳德·汉德利
source
您已经确定了一种方法。我已经很想要这个了一段时间。不确定我当前是否愿意对RAID集进行映像,以便可以对其进行格式化然后再复制回来,这有点庞大。嗯..
James T Snell 2014年
在命令行中输入密码时,没有确认。这有点麻烦,但是之后您可以进入GUI DiskUtility,然后在分区上单击“擦除”,以使用复杂度表获得漂亮的双密码提示。感谢您记录此过程!
dacc
@Maynard Handley-可以在优胜美地的RAID0使用吗?谢谢。
thepen 2015年
对于所有感兴趣的人,我可以确认它可以在El Capitan(10.11)和Time Machine卷中使用。
马特
3
我确认macOS 10.12 Sierra(在Mac Pro上测试)成功。我创建了一个AppleRAID镜像,加密了日记记录的HFSX(HFSX是区分大小写的HFS +)。完成这些步骤后,Disk Utility会挂起,所以我结束了:1.)重新启动Mac,2。登录到Finder,3。)成功启动Disk Utility。我还从RAID镜像中删除了一个成员(物理驱动器),并进行了测试以确认其余成员(驱动器)的行为符合预期。它做到了:重新启动Mac并登录后,直到我输入正确的密码短语后,单个成员才能挂载。谢谢。
user3051849 '16
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.