LionのFileVault 2には、旧バージョンのシステムの以前のリリースのFileVaultと比較して、他の違いがありますか?新しいバージョンを使用することで追加の利点はありますか?
LionのFileVault 2には、旧バージョンのシステムの以前のリリースのFileVaultと比較して、他の違いがありますか?新しいバージョンを使用することで追加の利点はありますか?
回答:
ジョン・シラクーサのライオンのレビューから多くを借りて...
FileVault 2は、「ホームフォルダを暗号化されたディスクイメージに保存する」ソリューションとは異なり、Whole Disk Encryptionシステムです。これは、システムのブート時にロック解除する実際のボリュームの下のファイルシステム層として実装されます。LVMに精通している場合は、ほぼ同じ方法です。パスワードロックを超えると、システムの他の部分から見るとすべてが同じように見えます。
スティーブが述べたように、暗号化作業は専用のプロセッサ命令によって支援され、完全にバックグラウンドで実行されます。良い点は、フルドライブでディスク暗号化を有効にできることです。そして、すべてがゆっくりと行われます(シャットダウン、再起動などができ、すべてが続行されます)。
パスワードなしの「ゲスト」アカウントは、ユーザーのホームディレクトリよりもディスク全体が暗号化されるため、作成できなくなりました。これについてAppleのkb記事に情報が見つからなかったのは悲しいことです。
新しいFilevaultは、古いバージョンよりもはるかに少ない制約をあなたに課しているようです。たとえば、タイムマシンを動作させるためにログアウトする必要はなく、すべての共有デーモンは正常に動作しているように見えます(正しく思い出すと、filefaultが有効になっている場合、それらの一部は無効になりました。ラップトップをWebアプリケーションの開発プラットフォームとして少し役に立たなくしました:))。
Filevault 2の1つの問題は、暗号化されたドライブのロックが解除されるまでスタートアッププロセスを開始できないため、ローカルでパスワードを入力するまでマシンにsshできないことです。
他にもいくつかあると思います。このAppleサポート記事は、残りの質問に答えるはずです。
fsck_csユーティリティは、CoreStorage論理ボリュームグループメタデータを検証および修復します。
...
バグ
fsck_csは徹底的な検証を実行せず、検出する多くの不整合を修正することもできません。
fsck_hfs(Disk Utilityで使用)は10年以上開発されており、FileVault 1で使用されているJHFS +のほとんどの問題を修復できます。
fsck_hfs修復できない問題が発生した場合は、複数の代替サードパーティユーティリティがあります。
fsck_cs(Disk Utilityでも使用されます)は、Mac OS X 10.7.0でCoreStorageとともに最初に登場しました。矛盾は取り返しのつかないことがあります。
LVG障害が発生し、fsck_cs必要な修復を行えない場合、起動ボリュームはマウントされません。この状況では、ディスクを破壊的に再フォーマットし、Mac OS Xを再インストールできます(Recovery OS Time Machineのみを使用しても、FileVault 2に必要なApple_Boot Recovery HDは提供されません)。
欠点の1つは、個々のユーザーアカウントを暗号化する前に、ディスク全体しか暗号化できないことです。ディスク全体を暗号化する場合は、コンピューターを使用するたびにディスク全体を復号化する必要もあります。これは、コンピューターを起動すると、ディスク全体がマルウェアにアクセスできるのに対し、セキュリティが重要なアカウントに個別にログインする(すぐに再びログアウトする)ことができることを意味します。
本当に重要なデータには、FileVaultの上で暗号化されたディスクイメージを引き続き使用できると思います。
もう1つの問題はTime Machineです。FileVaultユーザーのディレクトリも暗号化されてバックアップボリュームに保存されていましたが、それはもはや事実ではないようです。
Time Machineがディスク全体の暗号化もサポートするようになったことを誰もが知っていますか?
更新:どうやら、Time Machineはディスク全体の暗号化をサポートしていないようです:Time MachineボリュームはFileVault 2で簡単に暗号化できますか?
ティロが提供する答えに似ています。このロジックは、2人以上の管理者がいるコンピューターに適用されます。
マスターパスワードを持たない人が他の人のデータにアクセスするのを防ぐための適切なレベルのセキュリティがあります。
すべての管理者は、他のすべてのユーザーのデータを表示、コピー、編集できます。
例
2人のビジネスパートナーがコンピューターを共有し、両方の管理者がいます。2人のパートナーのうちの1人は、何かを秘密にしておきたいと思うかもしれません。マスターパスワードを保持しているパートナーは、何かを非公開にしたいため、そのパスワードを他のパートナーに提供しません。
このようなシナリオでFileVault 2を単独で使用すると、セキュリティとプライバシーは簡単に無視されます。sudoはすぐに頭に浮かびます。
比較
Oracle SolarisのZFS暗号化。ユーザーのホームディレクトリに適用できます。
上記の状況でFileVault 2のユーザーが追加のセキュリティを必要とする場合、そのユーザーは次のことができます。
あるいは、その人は既存のディスクの一部だけを使用するかもしれませんが、coreStorageの世界とその周辺でのパーティション管理は難しいので、長期的な単純化のために、追加/別のディスクへの投資をお勧めします。
一部のユーザーデータがサブディレクトリに書き込まれることを期待し /private/var/foldersてください。すべての管理者がこのデータにアクセスできます。これに対する解決策は、この質問の範囲外です。
FileVault 2を使用するディスク、またはCore Storageのその他のアプリケーションの場合、ディスクユーティリティを使用してパーティションを追加またはサイズ変更することは不可能です。
スーパーユーザーの場合:
Appleを期待する diskutil(8)Mac OS Xマニュアルページが間もなく 10.7に更新されることを。それまでの間、Lionを既にインストールしている場合は、ターミナルのmanページを読んでください。
FileVault 1を使用するユーザーの場合:
Mac OS X 10.7(ビルド11A511)では、ユーザーに起動ボリュームのロック解除を許可することができますが、一度有効にすると:
Mac OS X 10.7(ビルド11A511)のFileVault 2で使用されるバージョン1.0のアシスタントは、USBフラッシュドライブにリカバリOSを作成します。しかしながら:
2台の異なるコンピューターでこの問題を発見しました。
私の経験では、影響は通常許容されます。関連するベンチマークをご覧ください。
In Ask Different:古いFilevaultと新しいLionフルディスク暗号化の速度
Appleの提案:
- ページには、2011年7月28日にキャッシュされました。
AnandTech — Macに戻る:OS X 10.7 Lionレビュー:FileVaultのパフォーマンスは以下を観察します:
…全体的に、純粋なI / Oパフォーマンスのヒットは20〜30%の範囲です。注目に値しますが、フルディスク暗号化の利点を上回るほど大きくはありません。…
AnandTechのレビュアーに、少なくとも次のものを含めて、より広く物事を再検討してほしい。
Re:[Fed-Talk] Lion FileVault(2011-07-22)(ハイライト)のCPU、kernel_taskなどの詳細な観察結果。
EFI loginwindowへのリモートアクセスを期待しないでください。
適切なBツリーのセットを備えた2つの適度なサイズのボリューム(1つはホームディレクトリ)は、属性とカタログBツリーを持つ単一の巨大なボリュームよりもシステムの管理が容易であり、ほぼ確実にパフォーマンスが向上します。特大および断片化。
FileVault 1は、最適化されたサイズのバンドを使用します。
ホームディレクトリのコンテンツによっては、これらのバンドを放棄してより多くの小さなファイルを優先することにより、起動ボリュームの次の重要な領域のサイズと断片化が大幅に増加する場合があります。
以下は議論の余地なく最初の質問の範囲を超えており、比較的技術的ですが、(a)限られたメモリと(b)ホームディレクトリ内外のかなりの数のファイルを持つコンピューターのユーザーにとっては、前に考える価値がありますFileVaultの放棄1。
Bツリーのサイズの合計が大きすぎる場合、および修復が必要な場合、コンピューター上のサードパーティのユーティリティは損傷を修復できない可能性があります。
ボリュームがfsck_hfsによって修復できない場合最も明らかにディスクユーティリティを使用し、システムがダーティなファイルシステムに遭遇するたびにはっきりしない)、ユーザーは尊敬されるサードパーティのユーティリティを使用できます。
物理メモリに関連するBツリーのサイズの合計が、で回復できないCore Storage暗号化バックアップボリュームに必要なサードパーティのユーティリティとして機能するには大きすぎる状況に遭遇しましたfsck_hfs。私のMacBookPro5,2は8 GB以下しか使用できないため、しばらくの間、このボリュームは読み取り専用でした。
メモリの多い環境で注意を払うために、コンピューターの有無にかかわらず、ボリュームをサービスプロバイダーに提供した可能性があります。ただし、セキュリティのために、一部の種類のボリュームのパスフレーズまたはキーをサードパーティに提供することはお勧めしません。
最終的に、そして予期せず、fsck_hfsLionでディスクユーティリティを使用せずにボリュームを修復しました。おそらく、回復不能で読み取り専用の状態で、coreStorageの世界からボリュームを(危険にさらして)実験的に削除(元に戻し、完全に逆変換)したおかげです。それは私にとっては喜ばしい結果であり、10.7(Build 11A511)の品質と機能についてはAppleに賛成でしたが、これは他の読者への注意として役立つはずです。
LionのすべてのインストールがFileVault 2に必要な非表示のApple_Boot Recovery HDを取得するわけではありません— OS X Lion:「Mac OS X Lionの一部の機能はディスク(ボリューム名)でサポートされていません」がインストール中に表示されます(2011-07-21) 。
…FileVaultを使用できなくなります…
これが発生した場合、およびLionへのアップグレード前にFileVault 1を放棄した場合、Lionを搭載したMacは安全性が低下します。
ライオンのリリース前のMacworldで発表されアドバイスに利用者に助言し続け無効FileVaultの1 の前にライオンをインストールします。Macworldが異議を唱えるアドバイスを与えることは最も珍しいことですが、この場合、私は強く反対します。
Lionにアップグレードする前に、Snow LeopardでFileVault 1ホームを最も簡単に作成できます。
Snow Leopardがない場合:Lionを使用して家を作成できますが、手順にはいくつかの手順があります。
FileVault 2とFileVault 1を組み合わせることで、二重層セキュリティを実現できます。これはTimeMachineと共有で問題を引き起こすことに注意してください。したがって、この二重層セキュリティは、TimeMachineがオフになっているアカウントにのみお勧めします!
私のコンピューターには、毎日の仕事用アカウント、FileVault 1アカウント(TimeMachineから除外)、および管理者アカウントがあります。(管理者アカウントのパスワードを使用して)日常の仕事用アカウントからFileVault 2をアクティブにしたとき、AppleがOS X Lionで次のように言っているため、FileVault 1が消えることを期待していました:FileVault 2について:そして、OS X LionのFileVault 2を有効にすることを選択できます。
FileVault 2がすべてセットアップされたとき、FileVault 1がFileVault 1暗号化を保持し続けていることに非常に驚きました。だから私は二重層のセキュリティを持っていた:FileVault 2コンピュータ内のレガシーFileVault 1アカウント。必要なのは、FileVault 2を有効にする場所であるFileVault 1以外のアカウントだけでした。
最終的に、FileVault 2を再びオフにしました。Bootcamp WindowsシステムからOS Xファイルシステムにアクセスできるのが好きです。FileVault 2では、それはもはや不可能でした。私はまだFileVault 1アカウントを保持しており、10.8.1でも引き続き機能します。