답변:
존 시라쿠사 (John Siracusa)의 라이온 리뷰 에서 크게 차용 ...
FileVault 2는 '암호화 된 디스크 이미지에 홈 폴더 저장'솔루션과 달리 전체 디스크 암호화 시스템입니다. 시스템 부팅시 잠금을 해제하는 실제 볼륨 아래의 파일 시스템 계층으로 구현됩니다. LVM에 익숙하다면 거의 같은 방식입니다. 암호 잠금을 지나갈 때마다 모든 것이 시스템의 나머지 부분과 동일하게 보입니다.
Steve가 언급했듯이 암호화 작업은 특수한 프로세서 명령으로 도움을받을 수 있으며 완전히 백그라운드에서 실행됩니다. 좋은 점은 전체 드라이브에서 디스크 암호화를 켤 수 있으며 모든 것이 여가 시간에 완료됩니다 (종료하고 다시 가져올 수 있으며 모든 것이 계속됨).
전체 디스크가 사용자의 홈 디렉토리보다 암호화되어 있으므로 암호가 적은 '게스트'계정을 더 이상 만들 수 없습니다. 애플의 KB 기사에 대한 정보를 찾을 수 없다는 것은 슬픈 일입니다.
새로운 Filevault는 이전 버전보다 훨씬 적은 제약을받는 것으로 보입니다. 예를 들어 타임머신이 작동하기 위해 로그 아웃 할 필요가 없으며 모든 공유 데몬이 제대로 작동하는 것으로 보입니다 (올바로 다시 불러 오면 파일 오류가 활성화되면 일부가 비활성화 된 것입니다. 내 랩톱을 웹 응용 프로그램 개발 플랫폼으로 쓸모 없게 만들었습니다. :)).
Filevault 2의 한 가지 문제점은 암호화 된 드라이브가 잠금 해제 될 때까지 시작 프로세스를 시작할 수 없으므로 로컬로 비밀번호를 입력 할 때까지 머신에 ssh 할 수 없다는 것입니다.
나는 다른 몇 가지가 확신합니다. 이 Apple 지원 기사는 나머지 질문에 답변해야합니다.
보내는 사람 에 대한 매뉴얼 페이지fsck_cs :
fsck_cs 유틸리티는 CoreStorage 논리 볼륨 그룹 메타 데이터를 확인하고 복구합니다.
...
버그
fsck_cs는 철저한 유효성 검사를 수행하지 않으며 감지하는 많은 불일치를 수정할 수 없습니다.
fsck_hfs (디스크 유틸리티에서 사용)는 10 년 이상 개발되었으며 FileVault 1에서 사용되는 JHFS +의 대부분의 문제를 복구 할 수 있습니다.
fsck_hfs복구 할 수없는 문제가 발생하면 여러 가지 다른 타사 유틸리티가 있습니다.
fsck_cs(디스크 유틸리티에서도 사용됨)는 Mac OS X 10.7.0에서 CoreStorage와 함께 처음 나타났습니다. 불일치가 복구 불가능할 수 있습니다.
LVG 오류가 발생 fsck_cs하여 필요한 수리를 할 수없는 경우 시동 볼륨이 마운트되지 않습니다. 이 경우 디스크를 파괴적으로 재 포맷하고 Mac OS X을 다시 설치해야합니다. (복구 OS Time Machine 만 사용하면 FileVault 2에 필요한 Apple_Boot Recovery HD가 제공되지 않습니다.)
내가 볼 수있는 한 가지 단점은 개별 사용자 계정을 암호화하기 전에 전체 디스크 만 암호화 할 수 있다는 것입니다. 전체 디스크를 암호화하는 경우 컴퓨터를 사용할 때마다 전체 디스크의 암호를 해독해야합니다. 즉, 컴퓨터가 부팅되면 전체 디스크에 맬웨어가 액세스 할 수 있지만 보안에 중요한 계정에 별도로 로그인하기 전에 다시 디스크에서 멀웨어에 액세스 할 수 있습니다.
정말 중요한 데이터를 위해 FileVault 위에 암호화 된 디스크 이미지를 계속 사용할 수 있다고 가정합니다.
다른 문제는 Time Machine 일 수 있습니다. FileVault 사용자의 디렉토리가 백업 볼륨에 암호화되어 저장되기 전에는 더 이상 그렇지 않습니다.
Time Machine이 이제 전체 디스크 암호화도 지원하는지 여부를 아는 사람이 있습니까?
업데이트 : Time Machine은 전체 디스크 암호화를 지원하지 않습니다. Time Machine 볼륨을 FileVault 2로 쉽게 암호화 할 수 있습니까?
Thilo의 답변과 비슷합니다. 이 논리는 둘 이상의 관리자가있는 모든 컴퓨터에 적용됩니다.
마스터 비밀번호가없는 사람이 다른 사람의 데이터에 액세스하지 못하도록하는 보안 수준이 우수합니다.
모든 관리자는 다른 모든 사용자의 데이터를보고, 복사하고, 편집 할 수 있습니다.
예
두 명의 비즈니스 파트너가 관리자와 컴퓨터를 공유합니다. 두 파트너 중 하나가 개인 정보를 유지하려고 할 수 있습니다. 개인 비밀번호를 유지하려는 마스터 비밀번호를 보유한 파트너는 해당 비밀번호를 다른 파트너에게 제공하지 않습니다.
이러한 시나리오에서 FileVault 2 만 사용하면 보안 및 개인 정보가 쉽게 무시 됩니다. sudo 는 즉시 생각납니다.
비교
Oracle Solaris의 ZFS 암호화는 사용자의 홈 디렉토리에 적용 할 수 있습니다.
위 상황에서 FileVault 2 사용자에게 추가 보안이 필요한 경우 해당 담당자는 다음을 수행 할 수 있습니다.
또는 그 사람이 기존 디스크의 일부만 사용할 수도 있지만 핵심 스토리지 세계와 그 주변의 파티션 관리가 어려우 므로 장기적으로 간단하게하려면 추가 / 별도의 디스크에 투자하는 것이 좋습니다.
일부 사용자 데이터가 하위 디렉토리에 기록 될 것으로 예상합니다. /private/var/folders모든 관리자는이 데이터에 액세스 할 수 있습니다. 이에 대한 해결책은이 질문의 범위를 벗어납니다.
FileVault 2 또는 다른 Core Storage 응용 프로그램을 사용하는 디스크의 경우 디스크 유틸리티를 사용하여 파티션을 추가하거나 크기를 조정할 수 없습니다.
슈퍼 유저 :
Apple의 diskutil (8) Mac OS X 매뉴얼 페이지 가 10.7로 업데이트 될 것으로 예상됩니다. 그 동안 Lion을 이미 설치 한 경우 터미널의 맨 페이지를 읽으십시오.
FileVault 1을 사용하는 모든 사용자의 경우 :
Mac OS X 10.7 (빌드 11A511)에서는 사용자가 시동 볼륨을 잠금 해제 할 수 있지만 일단 활성화하면 다음을 수행 할 수 있습니다.
Mac OS X 10.7 (빌드 11A511)에서 FileVault 2와 함께 사용되는 도우미 버전 1.0은 USB 플래시 드라이브에서 복구 OS를 생성합니다. 하나:
두 대의 컴퓨터에서이 문제를 발견했습니다.
내 경험상 일반적으로 그 영향은 허용됩니다. 관련 벤치 마크를보고 싶습니다.
다른 질문 : Filevault 속도 대 새로운 Lion 전체 디스크 암호화
애플은 다음과 같이 제안합니다.
AnandTech — Mac으로 돌아 가기 : OS X 10.7 Lion 검토 : FileVault 성능 관찰 :
… 순수한 I / O 성능에 대한 전체적인 히트는 20-30 % 범위 입니다. 전체 디스크 암호화의 이점을 능가 할만큼 눈에 띄지 만 크지는 않습니다. …
AnandTech 검토 자들이 최소한 다음을 포함하여 더 넓게 무게를 측정하고 싶습니다.
Re : [Fed-Talk] Lion FileVault (2011-07-22) 에서 kernel_task 등의 CPU에 대한 추가 관찰 ( 하이라이트 ).
EFI 로그인 창에 대한 원격 액세스를 기대하지 마십시오.
적절한 B- 트리 세트가있는 두 개의 합리적인 크기의 볼륨 (하나의 홈 디렉토리)은 속성 및 카탈로그 B- 트리가있는 단일 거대한 볼륨보다 시스템이 관리하기가 더 쉽고 아마도 거의 더 나은 성능을 제공합니다. 대형 및 조각화.
FileVault 1은 최적화 된 크기의 밴드를 사용합니다.
홈 디렉토리의 내용에 따라 더 많은 수의 작은 파일을 선호하는 밴드를 포기하면 시작 볼륨의 다음 중요 영역의 크기와 조각화가 크게 증가 할 수 있습니다.
다음은 시작 질문의 범위를 넘어서고 비교적 기술적 인 것이지만, (a) 메모리가 제한되어 있고 (b) 홈 디렉토리 내부 및 외부에 상당한 수의 파일이있는 컴퓨터 사용자는 이전에 생각할 가치가 있습니다. FileVault 포기
B- 트리 크기의 합계가 너무 커서 수리가 필요한 경우 컴퓨터의 타사 유틸리티가 손상을 복구하지 못할 수 있습니다.
fsck_hfs 로 볼륨 을 복구 할 수없는 경우 ( 가장 명백히 디스크 유틸리티 사용, 시스템에서 더티 파일 시스템이 발견 될 때마다 덜 분명함) 사용자는 존경받는 타사 유틸리티를 사용할 수 있습니다.
실제 메모리와 관련하여 B- 트리 크기의 합이 너무 커서 타사 스토리지가 복구 할 수없는 코어 스토리지 암호화 된 백업 볼륨에 필요한대로 작동 하기 에 너무 큰 상황이 발생했습니다 fsck_hfs. 내 MacBookPro5,2는 8GB를 넘을 수 없으므로 한동안이 볼륨은 읽기 전용입니다.
더 많은 메모리가있는 환경에서주의를 끌기 위해 컴퓨터 유무에 관계없이 볼륨을 서비스 제공 업체에 가져 갔을 수 있습니다. 그러나 보안을 위해 제 3 자에게 (신뢰할 수는 있지만) 일부 유형의 암호 또는 키를 제공해서는 안됩니다.
결국 fsck_hfsLion에서 디스크 유틸리티를 사용하지 않고 볼륨을 복구했습니다. 실험적으로 (위험하게도) 덕분에 돌이킬 수없고 읽기 어려운 상태 인 동안 코어 스토리지 세계에서 볼륨을 제거하고 (되돌아 가기, 완전히 거꾸로 전환) 가능할 것입니다 . 그것은 나에게 유쾌한 결과였으며, 10.7 (빌드 11A511)의 품질과 기능에 대한 애플의 승인이었다. 그러나 이것은 다른 독자들에게주의를 기울여야한다.
모든 Lion 설치가 FileVault 2에 필요한 숨겨진 Apple_Boot 복구 HD 를 얻지 는 않습니다. — OS X Lion : 설치 중에 "디스크 (볼륨 이름)에 대해 Mac OS X Lion의 일부 기능이 지원되지 않습니다"가 표시됨 (2011-07-21) .
… FileVault를 사용할 수 없습니다…
이러한 상황이 발생하고 Lion으로 업그레이드하기 전에 FileVault 1을 포기한 경우 Lion이 설치된 Mac의 보안 수준 이 떨어 집니다.
사자의 출시 전에 맥 월드에서 출판 조언 에 사용자 조언을 계속 비활성화 FileVault를 1 전에 사자를 설치. Macworld가 논쟁의 여지가있는 조언을하는 것은 가장 드문 일이지만이 경우에는 매우 동의하지 않습니다.
Lion으로 업그레이드하기 전에 Snow Leopard에서 FileVault 1 홈을 만드는 것이 가장 쉽습니다.
Snow Leopard가없는 경우 Lion을 사용하여 집을 만들 수 있지만 몇 가지 단계가 있습니다.
FileVault 2와 FileVault 1을 결합하면 이중 레이어 보안을 유지할 수 있습니다. 이로 인해 TimeMachine 및 공유에 문제가 발생할 수 있습니다. 따라서이 더블 레이어 보안은 TimeMachine이 꺼져있는 계정에만 권장됩니다!
내 컴퓨터에는 일상적인 업무용 계정, FileVault 1 계정 (TimeMachine에서 제외) 및 관리자 계정이 있습니다. 일상적인 업무용 계정에서 관리자 계정의 암호를 사용하여 FileVault 2를 활성화 할 때 Apple이 OS X Lion에서 다음과 같이 말했기 때문에 FileVault 1이 사라질 것으로 예상했습니다 . FileVault 2 정보 :«레거시 FileVault를 끄면 레거시 FileVault 탭이 사라집니다 OS X Lion의 FileVault 2»를 활성화하도록 선택할 수 있습니다.
FileVault 2가 모두 설정되면 FileVault 1이 FileVault 1 암호화를 계속 유지한다는 것에 매우 놀랐습니다. FileVault 2 컴퓨터의 레거시 FileVault 1 계정이라는 이중 계층 보안이있었습니다. FileVault 2를 켜는 곳에서 FileVault 1이 아닌 계정 만 있으면됩니다.
결국 FileVault 2를 다시 끕니다. Bootcamp Windows 시스템에서 OS X 파일 시스템에 액세스하는 것을 좋아합니다. FileVault 2에서는 더 이상 불가능했습니다. 여전히 FileVault 1 계정을 유지하고 있으며 10.8.1에서도 계속 작동합니다.