Решил я взять себе Macbook Pro. Меня привлекает культура создания ПО на этой платформе, BSD-основа, приличные возможности автоматизации, удобный софт, а также значительно меньшее количество всяких лишних и ненужных штук.
Само собой, перед таким серьезным шагом, как смена платформы, я детально изучаю обстановку. Выписал свои задачи, подобрал аналоги софта, в том числе и для мобильного использования. Одна из задач — обеспечение сохранности и безопасности информации.
Я уделяю большое внимание вопросам безопасности. Поэтому важная информация на моем жестком диске зашифрована, а еще я каждый день делаю бекапы. Они тоже зашифрованы. Если кто-то стырит мой ноут или внешний диск с бекапами, я могу быть спокоен за свои пароли, переписку, базы данных, аккаунты, доступы клиентов и прочую информацию, которую не надо распространять.
Фанаты Apple утверждают, что весь софт от Apple работает отлично. Мол, один поставщик железа и софта и все такое.
Я не привык верить на слово сектанутым фанатам марки, мол, «все у Apple продумано и просто». Как оказалось, не зря.
1. Бекапы, создаваемые хваленой Time Machine, никак не шифруются? Вообще никак. Кто угодно может взять ваш внешний диск, подключить его к своему компу и все слить себе. Офигеть, правда?
2. Если вы включаете встроенную в MacOS систему шифрования FileVault (логично предположить, что система, созданная разработчиками ОС, работать будет надежнее и быстрее, так что и выбрать, возможно, стоит именно ее), то вы не сможете нормально делать резервные копии встроенным же в MacOS средством Time Machine.
Система просто не будет бекапить зашифрованные файлы, если пользователь залогинен. Бекап начнется только тогда, когда вы… внимание… присоедините диск и начнете разлогиниваться! В процессе разлогинивания она бекапит.
Офигеть можно. Я не представляю, в чем проблема бекапить файлы, когда пользователь, обладающий доступом к ним, находится в системе. Что за феерический идиотизм!
Хуже только глянцевые экраны (но тут трезвым потребителям продукции Apple, наконец, удалось сломить сопротивление сектантов, и они соизволили дать матовый экран 15-дюймовым «макбукам про», хотя бы в качестве опции).
3. Но и это еще не все. Хваленое эппловское удобство на этом не оканчивается. Сделав-таки через задницу резервные копии зашифрованной домашней директории, вы не сможете средствами TimeMachine просматривать их содержимое.
![](https://habrastorage.org/r/w1560/getpro/geektimes/post_images/3c6/eac/586/3c6eac586dfad6d0b82549b2f093db58.png)
Восстанавливать сможете только все сразу. Даже если вам нужен только один файл. Чтобы восстановить один файл, нужно смонтировать образ с Time Machine и воспользоваться Finder'ом.
Так вот ты какое, хваленое, распиаренное, распрезентованное и растасканное слепо-восторженными фанатами удобство продуктов Apple!
Зато, драть их через колено, сделали визуально-дрочибельный интерфейсик. И, конечно, не забыли выпустить очередной дебиловатый ролик Mac vs PC, где у Mac показана куча клонов. Забыли только показать геморрой с восстановлением бекапа зашифрованной директории.
Похоже, что для нормального решения повседневной задачи, возникающей у любого пользователя, хранящего сколь-нибудь серьезную деловую информацию на своем ноуте, встроенные в MacOS решения Apple не подойдут.
Придется для бекапов покупать внешний винт с аппаратным шифрованием (предпочтительно, иначе надо будет заморачиваться с программным шифрованием на компе), а сами резервные копии делать программным обеспечением сторонних производителей.
Ведь если документы, хранящиеся в зашифрованной домашней папке пользователя, доступны после логина всем программам, то они будут доступны и любому ПО для резервного копирования. Ах да, не любому. В Apple сделали такую программу, которая не сможет работать нормально. Time Machine называется.
На десерт: в Time Machine нет нормальных средств контроля бекапов. Нельзя, скажем, исключить файлы по маске. Они там, видимо, в Купертино, совсем сдвинулись на почве think different. Да, и еще до недавнего времени Time Machine тупо не видела диски, подключенные по USB к яббловскому же AirPort!
1. Для бекапов — внешний диск с аппаратным шифрованием, что предпочтительно, либо создание раздела TrueCrypt с последующим его монтированием каждый раз, что меня уже малость утомило под виндами. Казалось бы, дело трех секунд, но напрягает. А я не люблю напрягаться.
2. Информация на ноуте шифроваться будет встроенным в MacOS механизмом FileVault. Я все еще наивно предполагаю, что работать будет он быстрее и надежнее. Надеюсь, что Apple через жопу слепила только Time Machine, а FileVault работает нормально.
3. Само резервное копирование — программами сторонних производителей. Если я залогинен, все эти программы увидят мои файлы в зашифрованной домашней директории. И, в отличие от гребаной-перегребаной Time Machine, при описанном мной раскладе я смогу просматривать содержимое бекапов и восстанавливать файлы поштучно.
Если кому-нибудь очень нравится Time Machine, можно вместо шифрования FileVault использовать, скажем, True Crypt или программные FDE-решения от Checkpoint или PGP. Монтировать при логине шифрованный раздел, а в нем уже держать пользовательские файлы. И тогдасраная странная Time Machine будет видеть и бекапить не нарезку из sparse bundle, а расшифрованные файлы, поштучно.
Идеальным вариантом было бы использование прозрачного аппаратного шифрования и на внешних дисках для бекапов, и на внутренних дисках. Стоял бы специальный контроллер, который запрашивал бы пароль при загрузке компа, еще до старта операционной системы. И чтобы работал этот контроллер, не нагружая CPU. И тогда были бы не нужны ни FileVault'ы, ни TrueCrypt'ы.
Пока что для пользователей «маков» доступна только одна часть этой системы: внешние диски с аппаратным шифрованием и биометрической идентификацией либо USB-токеном.
Для PC существуют решения вроде Seagate Momentus FDE. Это жесткий диск с аппаратным AES-шифрованием, чтобы «запаролить» его и «распаролить», нужно, чтобы BIOS компьютера поддерживал его. Но я так и не нашел информацию, поддерживает ли EFI на Macbook Pro корректную работу с такими винчестерами. Скорее нет, чем да. Apple скорее удавится, чем пойдет навстречу пользователям. Они дважды удавились, прежде чем вернуть матовый экран 15-дюймовым «прошкам».
Кстати, никто не знает, есть ли в грядущем релизе Snow Leopard какие-то изменения в этой гребаной Time Machine, кроме возможности копирования изменившихся частей файлов?
И стоит ли пользоваться FileVault? Или выбрать другую систему?
… посмотритесь в зеркало ;-)
![](https://habrastorage.org/getpro/habr/comment_images/9c4/f9c/063/9c4f9c0636fef2102b3f7bfbe228065c.gif)
Само собой, перед таким серьезным шагом, как смена платформы, я детально изучаю обстановку. Выписал свои задачи, подобрал аналоги софта, в том числе и для мобильного использования. Одна из задач — обеспечение сохранности и безопасности информации.
Я уделяю большое внимание вопросам безопасности. Поэтому важная информация на моем жестком диске зашифрована, а еще я каждый день делаю бекапы. Они тоже зашифрованы. Если кто-то стырит мой ноут или внешний диск с бекапами, я могу быть спокоен за свои пароли, переписку, базы данных, аккаунты, доступы клиентов и прочую информацию, которую не надо распространять.
Фанаты Apple утверждают, что весь софт от Apple работает отлично. Мол, один поставщик железа и софта и все такое.
Я не привык верить на слово сектанутым фанатам марки, мол, «все у Apple продумано и просто». Как оказалось, не зря.
Как налажала Apple, или знаете ли вы, что:
1. Бекапы, создаваемые хваленой Time Machine, никак не шифруются? Вообще никак. Кто угодно может взять ваш внешний диск, подключить его к своему компу и все слить себе. Офигеть, правда?
2. Если вы включаете встроенную в MacOS систему шифрования FileVault (логично предположить, что система, созданная разработчиками ОС, работать будет надежнее и быстрее, так что и выбрать, возможно, стоит именно ее), то вы не сможете нормально делать резервные копии встроенным же в MacOS средством Time Machine.
Система просто не будет бекапить зашифрованные файлы, если пользователь залогинен. Бекап начнется только тогда, когда вы… внимание… присоедините диск и начнете разлогиниваться! В процессе разлогинивания она бекапит.
Офигеть можно. Я не представляю, в чем проблема бекапить файлы, когда пользователь, обладающий доступом к ним, находится в системе. Что за феерический идиотизм!
Хуже только глянцевые экраны (но тут трезвым потребителям продукции Apple, наконец, удалось сломить сопротивление сектантов, и они соизволили дать матовый экран 15-дюймовым «макбукам про», хотя бы в качестве опции).
3. Но и это еще не все. Хваленое эппловское удобство на этом не оканчивается. Сделав-таки через задницу резервные копии зашифрованной домашней директории, вы не сможете средствами TimeMachine просматривать их содержимое.
![](https://habrastorage.org/getpro/geektimes/post_images/3c6/eac/586/3c6eac586dfad6d0b82549b2f093db58.png)
Восстанавливать сможете только все сразу. Даже если вам нужен только один файл. Чтобы восстановить один файл, нужно смонтировать образ с Time Machine и воспользоваться Finder'ом.
Так вот ты какое, хваленое, распиаренное, распрезентованное и растасканное слепо-восторженными фанатами удобство продуктов Apple!
Зато, драть их через колено, сделали визуально-дрочибельный интерфейсик. И, конечно, не забыли выпустить очередной дебиловатый ролик Mac vs PC, где у Mac показана куча клонов. Забыли только показать геморрой с восстановлением бекапа зашифрованной директории.
Похоже, что для нормального решения повседневной задачи, возникающей у любого пользователя, хранящего сколь-нибудь серьезную деловую информацию на своем ноуте, встроенные в MacOS решения Apple не подойдут.
Придется для бекапов покупать внешний винт с аппаратным шифрованием (предпочтительно, иначе надо будет заморачиваться с программным шифрованием на компе), а сами резервные копии делать программным обеспечением сторонних производителей.
Ведь если документы, хранящиеся в зашифрованной домашней папке пользователя, доступны после логина всем программам, то они будут доступны и любому ПО для резервного копирования. Ах да, не любому. В Apple сделали такую программу, которая не сможет работать нормально. Time Machine называется.
На десерт: в Time Machine нет нормальных средств контроля бекапов. Нельзя, скажем, исключить файлы по маске. Они там, видимо, в Купертино, совсем сдвинулись на почве think different. Да, и еще до недавнего времени Time Machine тупо не видела диски, подключенные по USB к яббловскому же AirPort!
Что делать?
1. Для бекапов — внешний диск с аппаратным шифрованием, что предпочтительно, либо создание раздела TrueCrypt с последующим его монтированием каждый раз, что меня уже малость утомило под виндами. Казалось бы, дело трех секунд, но напрягает. А я не люблю напрягаться.
2. Информация на ноуте шифроваться будет встроенным в MacOS механизмом FileVault. Я все еще наивно предполагаю, что работать будет он быстрее и надежнее. Надеюсь, что Apple через жопу слепила только Time Machine, а FileVault работает нормально.
3. Само резервное копирование — программами сторонних производителей. Если я залогинен, все эти программы увидят мои файлы в зашифрованной домашней директории. И, в отличие от гребаной-перегребаной Time Machine, при описанном мной раскладе я смогу просматривать содержимое бекапов и восстанавливать файлы поштучно.
Другой вариант
Если кому-нибудь очень нравится Time Machine, можно вместо шифрования FileVault использовать, скажем, True Crypt или программные FDE-решения от Checkpoint или PGP. Монтировать при логине шифрованный раздел, а в нем уже держать пользовательские файлы. И тогда
Идеальный вариант
Идеальным вариантом было бы использование прозрачного аппаратного шифрования и на внешних дисках для бекапов, и на внутренних дисках. Стоял бы специальный контроллер, который запрашивал бы пароль при загрузке компа, еще до старта операционной системы. И чтобы работал этот контроллер, не нагружая CPU. И тогда были бы не нужны ни FileVault'ы, ни TrueCrypt'ы.
Пока что для пользователей «маков» доступна только одна часть этой системы: внешние диски с аппаратным шифрованием и биометрической идентификацией либо USB-токеном.
Для PC существуют решения вроде Seagate Momentus FDE. Это жесткий диск с аппаратным AES-шифрованием, чтобы «запаролить» его и «распаролить», нужно, чтобы BIOS компьютера поддерживал его. Но я так и не нашел информацию, поддерживает ли EFI на Macbook Pro корректную работу с такими винчестерами. Скорее нет, чем да. Apple скорее удавится, чем пойдет навстречу пользователям. Они дважды удавились, прежде чем вернуть матовый экран 15-дюймовым «прошкам».
Кстати, никто не знает, есть ли в грядущем релизе Snow Leopard какие-то изменения в этой гребаной Time Machine, кроме возможности копирования изменившихся частей файлов?
И стоит ли пользоваться FileVault? Или выбрать другую систему?
Прежде, чем минусовать...
… посмотритесь в зеркало ;-)
![](https://habrastorage.org/getpro/habr/comment_images/9c4/f9c/063/9c4f9c0636fef2102b3f7bfbe228065c.gif)