Wie kann ich die Time Machine-Verschlüsselung in der Befehlszeile aktivieren?

Ist es möglich, die Verschlüsselung für eine Time Machine-Zielfestplatte mit einem Skript oder über die Befehlszeile zu aktivieren?

Ist eine verschlüsselte Time Machine-Festplatte wirklich genauso wie eine normale Festplatte, die mit FileVault vollständig verschlüsselt wurde?

Ich möchte so viel wie möglich automatisieren, wenn ich einen Mac für einen neuen Benutzer installiere. Dies schließt Sicherungen ein. Wir verwenden OS X Mountain Lion.

Zusätzliche Entdeckungen:

  • Sie können ein Ziel über die Benutzeroberfläche der Time Machine-Einstellungen zur Verschlüsselung auffordern. Dies führt nicht dazu, dass es mit dem fdesetupBefehl als solches angezeigt wird. Es wird jedoch als verschlüsselt mit aufgeführtdiskutil cs list
  • Wenn Sie ein Laufwerk zum ersten Mal verschlüsseln, sagt die Time Machine-Einstellungs-GUI für diesen Eintrag „Backups verschlüsseln“. Dies würde die unten von Rene vorgeschlagene Methode unterstützen (außer er schlägt vor, dies auf einem verschlüsselten Image zu tun, das auf einer Festplatte abgelegt ist).
Ich habe keine vollständige Toolkette erstellt, aber fdesetupes ist das Tool zum Verschlüsseln eines Volumes, und sobald dies erledigt ist , können tmutil setdestinationSie ein bereitgestelltes Laufwerk als Ziel für die Zeitmaschine festlegen.
Sie sollten auch in der Lage sein, ein Sparsebundle mit auszuwählen tmutil inheritbackup [machine_directory | sparsebundle], das Sie zuvor erstellt haben - möglicherweise verschlüsselt mithdiutil -encryption [AES-128|AES-256]
@bmike - Um herauszufinden, ob File Vault wirklich mit der Time Machine-Verschlüsselung identisch ist, habe ich meine Time Machine-Zielfestplatte mit der GUI verschlüsselt. Zeigt zwar an sudo diskutil cs list, dass das Volume jetzt verschlüsselt ist, sudo fdesetup statussagt mir aber, dass FileVault ausgeschaltet ist.
Denken Sie daran – Dateitresor bedeutet ein bootfähiges Betriebssystem mit Schlüsseln, die so angeordnet sind, dass ein oder mehrere Benutzerkonten das Image beim Booten entschlüsseln können, um das System auszuführen, während Time Machine lediglich denselben grundlegenden verschlüsselten Container und dieselbe zentrale Speicherebene ohne Rücksicht auf Benutzerkonten verwendet oder den gesamten Bootvorgang. Time Machine muss das Volume nur mounten, sobald das System bereits hochgefahren ist.
Es tut mir leid, dass ich keine Antwort für Sie habe, aber in diesem Thread wird darüber gesprochen, ein vorhandenes Time-Machine-Backup zu erstellen und es zu verschlüsseln. Discussions.apple.com/thread/4520699
Die Kommentare im Thread deuten darauf hin, dass ein verschlüsseltes Time-Machine-Backup dasselbe ist wie ein Time-Machine-Backup auf einem verschlüsselten Kernspeicher. Tatsächlich gibt es so etwas wie „Backups verschlüsseln“ nicht; vielmehr ist es "Sicherungsfestplatte verschlüsseln".

Antworten (2)

Nein, sorry Kichererbse, ich glaube, du liegst falsch.

Ist eine verschlüsselte Time Machine-Festplatte wirklich genauso wie eine normale Festplatte, die mit FileVault vollständig verschlüsselt wurde?

Ja. Es ist. Dies wäre „FileVault 2“, von dem wir sprechen, auch bekannt als CoreStorage, Apples neuer logischer Volume-Manager. Dies unterscheidet sich von den vorherigen TM- und FileVault-Technologien, die auf AES-verschlüsselten Sparse-Bundle-Disk-Images basieren (die immer noch für Netzwerk-Backups usw. verwendet werden). Der Prozess, der (heutzutage) in den Systemeinstellungen beginnt, wenn Sie die Festplattenverschlüsselung aktivieren (ob auf einer externen Festplatte, für Time Machine oder auf dem Startlaufwerk für FileVault), sofern die Festplatte geeignet ist, führt sie eine Online-Konvertierung von einer herkömmlichen aus GPT-Partitionstabelle in einen einzigen monolithischen Datenspeicher mit einer sehr kleinen Partition für die CS-Firmware. Daraus werden dann logische Volumes (in logischen Volume-Gruppen) herausgeschnitten, und diese (Software-)Volumes werden dann HFS-formatiert und verschlüsselt.

Ich glaube, die einfachste Methode, dies zu tun, wäre folgende:

  • Schließen Sie die Festplatte an, die Sie verwenden möchten, und löschen Sie sie. Freier Speicherplatz oder eine einzelne HFS+-Partition.
  • diskutil cs create/convert(war nicht/war formatiert; unwichtig), um eine neue LVG zu initialisieren und hinzuzufügen
  • diskutil cs createVolume, erstellen Sie ein einzelnes LV. Sie können die Verschlüsselung an dieser Stelle mit aktivieren diskutil cs encryptVolume, wenn Sie die zu verwendende Passphrase kennen; Wenn nicht, lassen Sie es vorerst unverschlüsselt.
  • diskutil partitionDisk diskX-- siehe unten -- CS-Volumes erscheinen, als ob sie völlig autonome, separate Festplatten wären, also partitionDisk.

Dann: Mounten und entsperren Sie das Volume auf dem Computer Ihres neuen Benutzers. Sobald die Festplatte entsperrt ist, sollte es keine Probleme geben, sie für die Verwendung dort zu „übernehmen“. Wenn Sie es in ein Konfigurationsskript einfügen möchten, ist es meiner Meinung nach nur so etwas wie tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... Dies ist der Teil, bei dem ich mir am wenigsten sicher bin, aber ich bin mir auch sicher, dass er leicht machbar ist. Ich habe das für Time Machine per se nicht selbst gemacht, aber ich verschlüssele Festplatten für FileVault die ganze Zeit vorab, und das Betriebssystem weiß irgendwie, was damit zu tun ist, wenn danach.

Eine richtig geeignete CS-fähige Festplatte wird in diskutil so angezeigt (obwohl Sie möglicherweise nicht die dritte Partition auf disk0 haben, wenn sie weiß, dass sie kein Startlaufwerk sein wird:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 wird niemals als verschlüsselt erscheinen, da der Volume-Manager im Grunde davon "booten" muss. disk1 wird verschlüsselt und erfordert den Passcode zum Mounten.

Ich wage eine Antwort.

Verschlüsselte Time Machine-Sicherung ist nicht dasselbe wie FileVault, es ist tatsächlich dasselbe wie die Auswahl von „Mac OS Extended ([Groß-/Kleinschreibung], Journaled, verschlüsselt)“ im Festplattendienstprogramm.

Um es also mit einem externen Laufwerk zu automatisieren, vorausgesetzt, es ist "disk1", ​​sollte Folgendes funktionieren (sorry, ich habe kein Ersatz-USB-Laufwerk zum Testen):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
Das muss ich überprüfen, wenn ich wieder auf der Arbeit bin. OSX war nicht sehr freundlich, als es mir sagte, dass die Backups tatsächlich verschlüsselt sind.
Netzwerkbasierte verschlüsselte Time-Machine-Backups sollten meiner Meinung nach auch ziemlich ähnlich sein, außer dass ein neues Disk-Image-Bundle erstellt wird, anstatt die Festplatte zu partitionieren.
<da ich noch nicht genug Wiederholungspunkte habe, um @G zu kommentieren. Antwort von Nix> Sowohl eine Startfestplatte mit aktiviertem FileVault 2 als auch eine verschlüsselte Time Machine-Sicherungsfestplatte sind logische Core Storage-Volumes ... aber ich denke, FileVault 2 bezieht sich speziell auf die Funktion zur vollständigen Festplattenverschlüsselung, bei der der Benutzer nicht die Verschlüsselungspassphrase auswählt , wird der zufällige Wiederherstellungsschlüssel generiert und nur die genehmigten Benutzerkonten können bei der Anmeldung darauf zugreifen und den Rest der Festplatte entschlüsseln.
Wie kann ich die Time Machine-Verschlüsselung in der Befehlszeile aktivieren?
AntwortenHierDatenschutz-Bestimmungen1y, 0v