Pourquoi FileVault ne fonctionne-t-il pas sur un volume RAID?

16

Au travail, j'ai dit à mon collègue qu'il n'était pas possible d'activer Filevault sur un volume RAID. Il a été surpris et m'a demandé la raison technique.

J'aimerais donc savoir. C'est étrange car Filevault est au niveau logiciel alors que RAID est au niveau matériel.

Benoit
la source
Vous parlez d'un volume RAID créé par l'Utilitaire de disque ici, je suppose?
nohillside
@patrix Oui, par exemple, 2 disques durs internes définis en RAID-1 dans un Mac Mini.
Benoit

Réponses:

2

Les deux utilisent la même structure de données pour créer un volume dans un volume.

On crée un wrapper et les données qui se trouvent sur le disque sont brouillées / mappées via une fonction cryptographique afin que les mêmes données écrites sur deux blocs différents se retrouvent physiquement différentes sur le lecteur. C'est FileVault 2.

L'autre crée un wrapper et les données sur le disque sont soit mises en miroir ailleurs ou mappées via une fonction de fractionnement ou de somme de contrôle partagée afin que les données sur le lecteur fassent physiquement partie d'une somme de contrôle ou d'une partie d'un bloc logique dans le système de fichiers. C'est RAID.

Les outils de chiffrement et de RAID d'Apple ne sont pas les seuls que vous pourriez utiliser, mais c'est ainsi qu'ils sont actuellement conçus - pour s'exclure mutuellement. Je m'attends à ce que cela ne change pas sur les systèmes basés sur HFS + depuis qu'Apple a annoncé le nouvel APFS pour Sierra (macOS 10.12) qui permettra un cryptage de stockage beaucoup plus robuste et des options de répartition du volume physique comme COW, instantanés, cryptage par fichier, etc.

bmike
la source
Vous devriez vraiment supprimer cette réponse, car elle ne contient presque aucun fait et est principalement absurde. Je n'essaie pas d'être impoli, et je m'excuse si pris en tant que tel, je ne peux tout simplement pas penser à une façon plus diplomatique de le dire. Désolé pour la dureté.
DanielSmedegaardBuus
Pas de soucis @DanielSmedegaardBuus car le stockage de base est terminé et il y a une bonne réponse Je pense que cela peut rester aussi longtemps que l'OP le souhaite. Je ne suis pas à l'aise de changer la réponse après cela, à moins que cela ne cause du tort et que je ne vois pas de modification qui puisse corriger la différence d'opinion. Je crois que personne ne devrait le faire, pas à l'époque et certainement pas maintenant. Je suis également heureux de la réponse complète de Maynard sur ce qui est possible même si son utilisation est limitée ou si certaines personnes ne sont pas d'accord, cela vaut la peine de le faire.
bmike
26

La réponse précédente que j'ai donnée ici était fausse (tout comme la réponse de bmike).

La réponse précédente que j'ai donnée était que si vous rencontrez un problème, une solution de contournement consiste à créer une image disque chiffrée qui couvre l'ensemble de l'ensemble AppleRaid. Cela fonctionne, en théorie, mais est si horriblement lent (comme plus de 10 fois plus lent que l'accès au disque brut) qu'il est fondamentalement inutilisable, ce qui m'a amené à regarder l'utilitaire de ligne de commande diskutil plus en détail. Et que savez-vous --- vous POUVEZ faire ce que vous voulez, cela prend juste un peu de travail. Vous devez le faire via la ligne de commande, et même là, vous ne pouvez pas le faire avec les commandes les plus simples, mais cela peut être fait et c'est 100% légitime pris en charge par Apple, pas un hack bizarre.

Supposons donc que vous ayez votre volume Apple Raid, que vous avez créé d'une manière ou d'une autre, via l'Utilitaire de disque ou via la ligne de commande.

Remarque: Ce processus formatera votre RAID et le chiffrera. Sauvegardez toutes les données que vous souhaitez conserver (au moins deux fois) avant de continuer.

La première chose dont nous avons besoin est de connaître l'identifiant du système d'exploitation de bas niveau pour le volume d'intérêt d'Apple Raid, alors tapez:

diskutil list

qui vous donnera une liste des différents disques durs, partitions et disques durs logiques (par exemple les volumes RAID Apple) sur votre système. Regardez la liste et déterminez, en fonction du nom, de la taille, quel que soit le volume RAID Apple que nous souhaitons chiffrer. Assurez-vous d'obtenir l'identifiant DROIT, sinon vous détruirez un autre volume. Il est sage, lors de cette opération, de déconnecter (manuellement --- débranchez les câbles!) Tous les disques durs non concernés par le problème, y compris, bien entendu, vos disques de sauvegarde!

Donc, la liste nous dit que le périphérique d'intérêt est, disons, disk7

Ensuite, nous voulons créer un wrapper Core Storage LVG (Logical Volume Group) autour de l'appareil. Je ne vais pas prétendre comprendre la terminologie de Core Storage et pourquoi ils utilisent un mot différent pour tout par rapport à Apple RAID, mais pour autant que je sache, le LVG est essentiellement la version Core Storage d'un disque dur logique. Alors tapez:

diskutil cs createLVG BackupImacLVG disk7

BackupImacLVG est le nom que nous donnons au disque dur logique que nous créons. Cette commande prendra quelques secondes, puis crachera une longue chaîne qui est le "nom" (l'UUID) du LVG que nous avons créé. Nous l'utilisons à l'étape suivante.

Nous n'avons pas fini. Nous devons maintenant créer l'équivalent d'une partition (que Core Storage appelle un volume logique) sur ce disque dur logique. Voici la commande suivante:

diskutil cs createLV 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B JHFS+ BackupImac 100% -stdinpassphrase

Dans la commande ci - dessus: 8C5AED3-0CCF-4155-8E3D-DF7D9E68EE7B est l'UUID LVG qu'on nous a juste dit (assurez-vous d'utiliser le vôtre), et JHFS + est le système de fichiers que nous voulons créer dans la partition. BackupImac sera le nom du volume créé dans cette partition. 100% indique combien d'espace nous voulons donner à cette partition. (Il existe plusieurs façons de spécifier les tailles, mais la plupart des gens utiliseront probablement 100%). -stdinpassphrase indique que nous voulons utiliser le chiffrement.

La ligne de commande affichera alors une invite de:

Passphrase for new volume:

Vous entrez le mot de passe et vous avez terminé. (Notez qu'aucune des interfaces utiles d'Apple FileVault ici! Aucune offre de sauvegarde de votre mot de passe pour vous avec Apple, pas de deuxième demande de mot de passe pour vous assurer que vous l'avez correctement tapé!)

Le résultat final de tout cela est exactement ce que vous attendez et attendez. Un volume chiffré avec toutes les performances du précédent volume AppleRAID. (Et si vous regardez la page de manuel diskutil, vous verrez qu'ils répertorient explicitement les volumes RAID Apple comme cibles prises en charge pour diskutil cs createLVG, donc ce n'est pas un cas étrange qui n'est pas officiellement pris en charge.)

Disk Utility.app ne met pas à jour son interface utilisateur (c'est vraiment mauvais à cet égard --- a été un problème permanent dans OSX) alors quittez-le et redémarrez-le. Vous verrez maintenant, avec vos tranches RAID, un nouveau "disque dur" appelé BackupImacLVG (ou ce que vous l' appeliez ) avec une partition appelée BackupImac (ou ce que vous l' appeliez ), avec un format de "Partition logique cryptée" .

Une chose à savoir. Le disque est monté pendant le processus de création sans demander de mot de passe (vous avez donné le mot de passe dans la ligne de commande).

Juste après avoir terminé, vous souhaiterez peut-être démonter le volume, éteindre les disques durs du volume AppleRAID, les rallumer et voir ce qui se passe. Si vous avez tout fait correctement, une fois que toutes les tranches du RAID Apple ont tourné et ont été détectées par le système d'exploitation, une fenêtre devrait apparaître à l'écran vous demandant le mot de passe pour que le disque puisse être monté.

Maynard Handley
la source
Remarquable que vous ayez identifié une méthode. Je le voulais depuis un certain temps maintenant. Je ne suis pas sûr de vouloir imager mon ensemble RAID pour pouvoir le formater puis le recopier, c'est une sorte d'ensemble massif. Hmmm ..
James T Snell
Lorsque vous entrez la phrase secrète sur la ligne de commande, il n'y a aucune confirmation. C'est un peu exaspérant, mais après, vous pouvez aller dans le GUI DiskUtility et cliquer sur "Effacer" sur la partition pour obtenir la belle invite de double mot de passe avec compteur de complexité. Merci d'avoir documenté ce processus!
dacc
@ Maynard Handley - cela fonctionnera-t-il pour RAID0 à Yosemite? THX.
thepen
Je peux confirmer, pour tous les intéressés, que cela fonctionne dans El Capitan (10.11), et pour les volumes Time Machine.
Matt
3
Je confirme le succès de macOS 10.12 Sierra (testé sur un Mac Pro). J'ai créé un miroir AppleRAID, HFSX journalisé crypté (HFSX est sensible à la casse HFS +). L'Utilitaire de disque se bloque peu de temps après avoir terminé ces étapes, j'ai donc fini par: 1.) redémarrer le Mac, 2.) me connecter au Finder, 3.) lancer avec succès l'Utilitaire de disque. J'ai également supprimé un membre (lecteur physique) du miroir RAID et testé pour confirmer que le membre (lecteur) restant s'est comporté comme prévu. Il l'a fait: lors du redémarrage du Mac et de la connexion, le membre unique ne pouvait pas monter avant d'avoir entré la phrase de passe correcte. Je vous remercie.
user3051849