Comment puis-je activer le chiffrement Time Machine sur la ligne de commande?

13

Est-il possible d'activer le chiffrement pour un disque cible Time Machine avec un script ou en utilisant la ligne de commande?

Un disque Time Machine chiffré est-il vraiment identique à un disque normal, entièrement chiffré à l'aide de FileVault?

Je voudrais automatiser autant que possible lors de l'installation d'un Mac pour un nouvel utilisateur. Cela inclut les sauvegardes. Nous utilisons OS X Mountain Lion.

Découvertes supplémentaires:

  • Vous pouvez demander à une cible d'être chiffrée à partir de l'interface graphique des préférences de Time Machine. Cela ne le fait pas apparaître comme tel à l'aide de la fdesetupcommande. Il sera cependant répertorié comme chiffré à l'aide dediskutil cs list
  • Si vous cryptez d'abord un lecteur, l'interface graphique de Time Machine préfère «Crypter les sauvegardes» pour cette entrée. Cela soutiendrait la méthode suggérée ci-dessous par René (sauf qu'il suggère de le faire sur une image chiffrée placée sur un disque).
mountain-lion time-machine filevault encryption llaurén
la source
Je n'ai pas construit une chaîne d'outils complète, mais fdesetupc'est l'outil pour crypter un volume et une fois cela fait, tmutil setdestinationvous permettrait de définir un lecteur monté comme destination pour Time Machine.
bmike
Vous devriez également être en mesure de choisir un sparsebundle avec tmutil inheritbackup [machine_directory | sparsebundle]lequel vous avez créé à l'avance - peut-être chiffré avechdiutil -encryption [AES-128|AES-256]
Rene Larsen
@bmike - Pour savoir si File Vault est vraiment le même que le cryptage Time Machine, j'ai crypté mon disque cible Time Machine à l'aide de l'interface graphique. Alors que sudo diskutil cs listmontre que le volume est maintenant crypté, sudo fdesetup statusme dit que FileVault est désactivé.
llaurén
1
Gardez à l'esprit - le coffre-fort de fichiers signifie un système d'exploitation amorçable avec des clés disposées de sorte qu'un ou plusieurs comptes d'utilisateurs puissent déchiffrer l'image au démarrage pour exécuter le système, tandis que Time Machine utilise simplement le même conteneur chiffré de base et la même couche de stockage de base sans égard aux comptes d'utilisateurs. ou tout le processus de démarrage. Time Machine a juste besoin de monter le volume une fois que le système est déjà démarré.
bmike
Je suis désolé de ne pas avoir de réponse pour vous, mais il est question dans ce fil de prendre une sauvegarde Time Machine existante et de la crypter. discussions.apple.com/thread/4520699
Anil Natha

Réponses:

3

Non, désolé chickpee, je crois que tu as tort.

Un disque Time Machine chiffré est-il vraiment identique à un disque normal, entièrement chiffré à l'aide de FileVault?

Oui. Il est. Ce serait "FileVault 2" dont nous parlons, alias CoreStorage, le tout nouveau gestionnaire de volume logique d'Apple. Ceci est différent des technologies TM et FileVault précédentes, qui sont basées sur des images de disque groupées clairsemées AES (qui sont toujours utilisées pour les sauvegardes réseau, etc.). Le processus qui démarre dans les Préférences Système (ces jours-ci) lorsque vous activez le chiffrement du disque (que ce soit sur un disque externe, pour Time Machine ou sur le lecteur de démarrage pour FileVault), à condition que le disque soit approprié, il effectue une conversion en ligne à partir d'une version traditionnelle Table de partition GPT vers un seul magasin de données monolithique, avec une très petite partition pour le firmware CS. Les volumes logiques (dans les groupes de volumes logiques) sont ensuite découpés à partir de cela, et ces volumes (logiciels) sont ensuite formatés HFS et chiffrés.

Je crois que la méthode la plus simple pour ce faire serait de:

  • Fixez le disque que vous allez utiliser, essuyez-le. Espace libre ou une seule partition HFS +.
  • diskutil cs create/convert (n'était / n'a pas été formaté; sans importance) pour initialiser et ajouter un nouveau LVG
  • diskutil cs createVolume, créez un seul LV. Vous pouvez activer le cryptage à ce stade, avec diskutil cs encryptVolume, si vous connaissez la phrase secrète que vous allez utiliser; sinon, laissez-le non chiffré pour l'instant.
  • diskutil partitionDisk diskX - voir ci-dessous - les volumes CS apparaissent comme s'ils étaient complètement autonomes, des disques séparés, donc vous partitionnez le disque.

Ensuite: montez et déverrouillez le volume sur la machine de votre nouvel utilisateur. Une fois le disque déverrouillé, il ne devrait pas y avoir de problème à «l'adopter» pour l'utiliser là-bas. Si vous voulez le mettre dans un script de configuration, je crois qu'il est juste quelque chose comme tmutil -a /Volumes/Foo, tmutil startbackup -ad disk.... C'est la partie dont je suis le moins sûr, mais je suis également sûr que c'est facilement réalisable. Je n'ai pas fait cela pour Time Machine en soi, mais je pré-crypte les disques pour FileVault comme ça tout le temps, et le système d'exploitation sait juste quoi faire si après cela.

Un disque compatible CS adéquatement approprié apparaîtra comme ceci dans diskutil (bien que vous n'ayez peut-être pas la troisième partition sur disk0 s'il sait que ce ne sera pas un lecteur de démarrage:

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

disk0 n'apparaîtra jamais comme chiffré, car c'est ce dont le gestionnaire de volume doit essentiellement «démarrer». disk1 sera crypté et nécessitera le code d'accès pour être monté.

Geoff Nixon
la source
1

Je vais avoir une réponse.

La sauvegarde chiffrée de Time Machine n'est pas la même que FileVault, c'est en fait la même chose que la sélection de «Mac OS étendu ([sensible à la casse], journalisé, chiffré)» dans l'Utilitaire de disque.

Donc, pour l'automatiser avec un lecteur externe, en supposant qu'il s'agit de "disk1", ​​je pense que les éléments suivants devraient fonctionner (désolé, ne disposez pas d'un lecteur USB de rechange pour tester):

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
chikpee
la source
Je devrai vérifier cela quand je serai de retour au travail. OSX n'a ​​pas été très sympathique en me disant que les sauvegardes sont en fait cryptées.
llaurén
Les sauvegardes chiffrées de la machine temporelle basées sur le réseau devraient également être assez similaires, sauf que je crée un nouveau groupe d'images de disque plutôt que de partitionner le disque.
drfrogsplat
<car je n'ai pas encore assez de points de représentant pour commenter @G. Réponse de Nix> Un disque de démarrage avec FileVault 2 activé ET un disque de sauvegarde Time Machine chiffré sont des volumes logiques de stockage de base ... mais je pense que FileVault 2 fait spécifiquement référence à la fonction de chiffrement du disque complet où, au lieu de sélectionner l'utilisateur la phrase secrète de chiffrement , la clé de récupération aléatoire est générée et seuls les comptes d'utilisateurs approuvés peuvent y accéder lors de la connexion et déchiffrer le reste du disque.
chikpee