13 votes

llaurén avatar

Comment puis-je activer le cryptage Time Machine en ligne de commande ?

Demandé el 30 de Septembre, 2013
Quand la question a-t-elle été
3822 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Est-il possible d'activer le cryptage pour un disque cible Time Machine avec un script ou en utilisant la ligne de commande ?

Un disque Time Machine crypté est-il vraiment identique à un disque normal, entièrement crypté à l'aide de FileVault ?

J'aimerais automatiser autant que possible l'installation d'un Mac pour un nouvel utilisateur. Cela inclut les sauvegardes. Nous utilisons OS X Mountain Lion.

Découvertes supplémentaires :

  • Vous pouvez demander à une cible d'être chiffrée à partir de l'interface graphique des préférences Time Machine. Cela ne la fait pas apparaître comme telle à l'aide de la fonction de chiffrement de Time Machine. fdesetup commande. Il sera cependant listé comme crypté en utilisant diskutil cs list
  • Si vous cryptez d'abord un disque, l'interface graphique des préférences de Time Machine indiquera "Crypter les sauvegardes" pour cette entrée. Cela permettrait d'utiliser la méthode proposée ci-dessous par René (sauf qu'il suggère de le faire sur une image chiffrée placée sur un disque).
Demandé el 30 de Septembre, 2013 par llaurén

0 votes

Avatar de Oskar

Je n'ai pas construit une chaîne d'outils complète, mais fdesetup est l'outil pour crypter un volume et une fois que c'est fait, tmutil setdestination vous permettrait de définir un lecteur monté comme destination pour Time Machine.

Commenté el 30 de Septembre, 2013 par Oskar

0 votes

Avatar de Manrico Corazzi

Vous devriez également être en mesure de choisir un faisceau clairsemé avec tmutil inheritbackup [machine_directory | sparsebundle] que vous avez créé à l'avance - peut-être chiffré avec hdiutil -encryption [AES-128|AES-256]

Commenté el 30 de Septembre, 2013 par Manrico Corazzi

0 votes

Avatar de llaurén

@bmike - Pour savoir si File Vault est vraiment le même que Time Machine ecnryption, j'ai crypté mon disque cible Time Machine en utilisant l'interface graphique. Alors que sudo diskutil cs list montre que le volume est maintenant crypté, sudo fdesetup status me dit que FileVault est désactivé.

Commenté el 1 de Octobre, 2013 par llaurén
Afficher 3 autres commentaires

Réponses

Trop de publicités?

3voto

Geoff Nixon avatar
Geoff Nixon Points 3143

Non, désolé chickpee, je crois que tu as tort.

Un disque Time Machine crypté est-il vraiment identique à un disque normal ? normal, crypté sur tout le disque avec FileVault ?

Oui. C'est vrai. Il s'agit de "FileVault 2", alias CoreStorage, le tout nouveau gestionnaire de volumes logiques d'Apple. C'est différent des technologies TM et FileVault précédentes, qui sont basées sur des images de disques à faible densité de chiffrement AES (qui sont toujours utilisées pour les sauvegardes réseau, etc.). Le processus qui démarre dans les Préférences Système (de nos jours) lorsque vous activez le chiffrement du disque (que ce soit sur un disque externe, pour Time Machine, ou sur le lecteur de démarrage pour FileVault), à condition que le disque soit approprié, effectue une conversion en ligne d'une table de partition GPT traditionnelle en un seul magasin de données monolithique, avec une très petite partition pour le microprogramme CS. Des volumes logiques (dans des groupes de volumes logiques) sont ensuite découpés à partir de cette table, et ces volumes (logiciels) sont ensuite formatés et cryptés en HFS.

Je pense que la méthode la plus simple pour y parvenir serait de.. :

  • Attachez le disque que vous allez utiliser, essuyez-le. Espace libre ou une seule partition HFS+.
  • diskutil cs create/convert (n'était pas/était formaté ; sans importance) pour initialiser et ajouter un nouveau LVG
  • diskutil cs createVolume créer un seul LV. Vous pourriez activer le cryptage à ce stade, avec diskutil cs encryptVolume si vous connaissez la phrase de passe que vous allez utiliser ; sinon, laissez-le en clair pour le moment.
  • diskutil partitionDisk diskX -- voir ci-dessous -- Les volumes CS apparaissent comme s'ils étaient complètement autonomes, des disques séparés, donc vous partitionnezDisk.

Ensuite : montez et déverrouillez le volume sur la machine de votre nouvel utilisateur. Une fois que le disque est déverrouillé, il ne devrait pas y avoir de problème pour l'"adopter" pour l'utiliser là-bas. Si vous voulez le mettre dans un script de configuration, je crois que c'est juste quelque chose comme tmutil -a /Volumes/Foo , tmutil startbackup -ad disk... . C'est la partie dont je suis le moins sûr, mais je suis aussi certain qu'elle est facilement réalisable. Je n'ai pas fait cela pour Time Machine en soi, mais je pré-crypte des disques pour FileVault comme cela tout le temps, et le système d'exploitation sait en quelque sorte ce qu'il faut en faire après cela.

Un disque compatible CS correctement adapté apparaîtra comme ceci dans diskutil (bien que vous ne deviez pas avoir la troisième partition sur disk0 si vous savez qu'il ne s'agit pas d'un lecteur de démarrage) :

/dev/disk0
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                        *251.0 GB   disk0
   1:                        EFI EFI                     209.7 MB   disk0s1
   2:          Apple_CoreStorage                         250.1 GB   disk0s2
   3:                 Apple_Boot Boot OS X               250.0 MB   disk0s3
/dev/disk1
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:                  Apple_HFS Macintosh LV           *249.8 GB   disk1

le disque0 n'apparaîtra jamais comme crypté, puisque c'est sur ce disque que le gestionnaire de volume doit "démarrer". disque1 sera seront cryptées et nécessiteront le code d'accès pour être montées.

Répondu el 21 de Décembre, 2013 par Geoff Nixon (3143 Points )

1voto

Mike avatar
Mike Points 643

Je vais tenter une réponse.

La sauvegarde cryptée Time Machine n'est pas la même que FileVault, c'est en fait la même chose que de sélectionner "Mac OS Extended ([Case-sensitive], Journaled, encrypted)" dans Disk Utility.

Donc, pour automatiser le processus avec un disque externe, en supposant qu'il s'agisse de "disk1", je pense que ce qui suit devrait fonctionner (désolé, je n'ai pas de disque USB de rechange pour le tester) :

diskutil partitionDisk disk1 1 GPT JHFS+ TimeMachine *X*G [X=size of partition]
sudo tmutil setdestination /Volumes/TimeMachine
diskutil cs convert disk1s2 -passphrase *xxxx* [or -stdinpassphrase if you prefer]
Répondu el 17 de Décembre, 2013 par Mike (643 Points )

0 votes

Avatar de llaurén

Je vais devoir vérifier ça quand je serai de retour au travail. OSX n'a pas été très amical en me disant que les sauvegardes sont en fait cryptées.

Commenté el 20 de Décembre, 2013 par llaurén

0 votes

Avatar de Shuft

Les sauvegardes cryptées de Time Machine basées sur le réseau devraient être assez similaires aussi, je pense, sauf qu'il faut créer un nouveau paquet d'images disque plutôt que de partitionner le disque.

Commenté el 21 de Décembre, 2013 par Shuft

0 votes

Avatar de Mike

<puisque je n'ai pas encore assez de points de rep pour commenter la réponse de @G. Nix> Un disque de démarrage avec FileVault 2 activé ET un disque de sauvegarde Time Machine crypté sont tous deux des volumes logiques Core Storage... mais je pense que FileVault 2 fait spécifiquement référence à la fonction de cryptage complet du disque où, au lieu que l'utilisateur sélectionne la phrase de passe de cryptage, la clé de récupération aléatoire est générée et seuls les comptes utilisateurs approuvés sont en mesure d'y accéder à la connexion et de décrypter le reste du disque.

Commenté el 22 de Décembre, 2013 par Mike

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X