Lion의 FileVault 2는 이전 버전의 시스템의 FileVault와 이전 버전에 비해 다른 차이점이 있습니까? 새 버전을 사용하면 추가적인 이점이 있습니까?
답변
존 시라쿠사 (John Siracusa)의 라이온 리뷰 에서 크게 차용 …
FileVault 2는 ‘암호화 된 디스크 이미지에 홈 폴더 저장’솔루션과 달리 전체 디스크 암호화 시스템입니다. 시스템 부팅시 잠금을 해제하는 실제 볼륨 아래의 파일 시스템 계층으로 구현됩니다. LVM에 익숙하다면 거의 같은 방식입니다. 암호 잠금을 지나갈 때마다 모든 것이 시스템의 나머지 부분과 동일하게 보입니다.
Steve가 언급했듯이 암호화 작업은 특수한 프로세서 명령으로 도움을받을 수 있으며 완전히 백그라운드에서 실행됩니다. 좋은 점은 전체 드라이브에서 디스크 암호화를 켤 수 있으며 모든 것이 여가 시간에 완료됩니다 (종료하고 다시 가져올 수 있으며 모든 것이 계속됨).
답변
전체 디스크가 사용자의 홈 디렉토리보다 암호화되어 있으므로 암호가 적은 ‘게스트’계정을 더 이상 만들 수 없습니다. 애플의 KB 기사에 대한 정보를 찾을 수 없다는 것은 슬픈 일입니다.
답변
새로운 Filevault는 이전 버전보다 훨씬 적은 제약을받는 것으로 보입니다. 예를 들어 타임머신이 작동하기 위해 로그 아웃 할 필요가 없으며 모든 공유 데몬이 제대로 작동하는 것으로 보입니다 (올바로 다시 불러 오면 파일 오류가 활성화되면 일부가 비활성화 된 것입니다. 내 랩톱을 웹 응용 프로그램 개발 플랫폼으로 쓸모 없게 만들었습니다. :)).
Filevault 2의 한 가지 문제점은 암호화 된 드라이브가 잠금 해제 될 때까지 시작 프로세스를 시작할 수 없으므로 로컬로 비밀번호를 입력 할 때까지 머신에 ssh 할 수 없다는 것입니다.
답변
- 지원되는 CPU (일부 코어 i5 및 i7)에서 암호화 및 암호 해독을 오프로드하는 AES-NI를 지원합니다.
- 암호화 키를 Apple과 함께 저장할 수 있습니다.
나는 다른 몇 가지가 확신합니다. 이 Apple 지원 기사는 나머지 질문에 답변해야합니다.
답변
FileVault 2 LVG 장애는 돌이킬 수 없습니다
보내는 사람 에 대한 매뉴얼 페이지fsck_cs :
fsck_cs 유틸리티는 CoreStorage 논리 볼륨 그룹 메타 데이터를 확인하고 복구합니다.
…
버그
fsck_cs는 철저한 유효성 검사를 수행하지 않으며 감지하는 많은 불일치를 수정할 수 없습니다.
FileVault 1 관련 문제
fsck_hfs (디스크 유틸리티에서 사용)는 10 년 이상 개발되었으며 FileVault 1에서 사용되는 JHFS +의 대부분의 문제를 복구 할 수 있습니다.
fsck_hfs복구 할 수없는 문제가 발생하면 여러 가지 다른 타사 유틸리티가 있습니다.
FileVault 2의 핵심 스토리지 문제
fsck_cs(디스크 유틸리티에서도 사용됨)는 Mac OS X 10.7.0에서 CoreStorage와 함께 처음 나타났습니다. 불일치가 복구 불가능할 수 있습니다.
fsck_cs에 대한 대안이없는 경우
LVG 오류가 발생 fsck_cs하여 필요한 수리를 할 수없는 경우 시동 볼륨이 마운트되지 않습니다. 이 경우 디스크를 파괴적으로 재 포맷하고 Mac OS X을 다시 설치해야합니다. (복구 OS Time Machine 만 사용하면 FileVault 2에 필요한 Apple_Boot Recovery HD가 제공되지 않습니다.)
답변
내가 볼 수있는 한 가지 단점은 개별 사용자 계정을 암호화하기 전에 전체 디스크 만 암호화 할 수 있다는 것입니다. 전체 디스크를 암호화하는 경우 컴퓨터를 사용할 때마다 전체 디스크의 암호를 해독해야합니다. 즉, 컴퓨터가 부팅되면 전체 디스크에 맬웨어가 액세스 할 수 있지만 보안에 중요한 계정에 별도로 로그인하기 전에 다시 디스크에서 멀웨어에 액세스 할 수 있습니다.
정말 중요한 데이터를 위해 FileVault 위에 암호화 된 디스크 이미지를 계속 사용할 수 있다고 가정합니다.
다른 문제는 Time Machine 일 수 있습니다. FileVault 사용자의 디렉토리가 백업 볼륨에 암호화되어 저장되기 전에는 더 이상 그렇지 않습니다.
Time Machine이 이제 전체 디스크 암호화도 지원하는지 여부를 아는 사람이 있습니까?
업데이트 : Time Machine은 전체 디스크 암호화를 지원하지 않습니다. Time Machine 볼륨을 FileVault 2로 쉽게 암호화 할 수 있습니까?
답변
여러 관리자의 경우 : FileVault 2만으로는 FileVault 1보다 안전하지 않습니다.
Thilo의 답변과 비슷합니다. 이 논리는 둘 이상의 관리자가있는 모든 컴퓨터에 적용됩니다.
Snow Leopard 및 Lion의 FileVault 1
마스터 비밀번호가없는 사람이 다른 사람의 데이터에 액세스하지 못하도록하는 보안 수준이 우수합니다.
FileVault 2 만
모든 관리자는 다른 모든 사용자의 데이터를보고, 복사하고, 편집 할 수 있습니다.
예
두 명의 비즈니스 파트너가 관리자와 컴퓨터를 공유합니다. 두 파트너 중 하나가 개인 정보를 유지하려고 할 수 있습니다. 개인 비밀번호를 유지하려는 마스터 비밀번호를 보유한 파트너는 해당 비밀번호를 다른 파트너에게 제공하지 않습니다.
이러한 시나리오에서 FileVault 2 만 사용하면 보안 및 개인 정보가 쉽게 무시 됩니다. sudo 는 즉시 생각납니다.
비교
Oracle Solaris의 ZFS 암호화는 사용자의 홈 디렉토리에 적용 할 수 있습니다.
해결 방법
위 상황에서 FileVault 2 사용자에게 추가 보안이 필요한 경우 해당 담당자는 다음을 수행 할 수 있습니다.
- 내부 또는 외부의 별도 디스크 추가
- 해당 디스크에 (a) OS 시작 볼륨의 디스크 비밀번호 및 (b) 시작 볼륨의 모든 사용자 비밀번호 와 다른 디스크 비밀번호를 사용 하는 코어 스토리지 암호화 논리 볼륨 (LV)이 있어야합니다.
- 홈 디렉토리를 별도의 디스크에있는 LV에 저장
- 사용자 계정의 비밀번호를 LV의 디스크 비밀번호와 일치시킵니다.
또는 그 사람이 기존 디스크의 일부만 사용할 수도 있지만 핵심 스토리지 세계와 그 주변의 파티션 관리가 어려우 므로 장기적으로 간단하게하려면 추가 / 별도의 디스크에 투자하는 것이 좋습니다.
/ var / 폴더
일부 사용자 데이터가 하위 디렉토리에 기록 될 것으로 예상합니다. /private/var/folders모든 관리자는이 데이터에 액세스 할 수 있습니다. 이에 대한 해결책은이 질문의 범위를 벗어납니다.