Chiffrement des volumes de sauvegarde

Le
voir_le_reply-to
Dans la série "TOUT CHANGE" avec Apple, je souhaite attirer votre
attention sur une recommandation de CCC concernant l'utilisation du
chiffrement sur les volumes de sauvegarde :
<https://bombich.com/fr/kb/ccc5/working-filevault-encryption>

En gros,
- il ne FAUT PLUS chiffrer son volume de sauvegarde au moment de son
formatage (que je faisais jusque là comme pour tous mes disques),
- le chiffrage Filevault d'un volume de sauvegarde (qui serait à
préférer si on veut que la sauvegarde soit "mieux" bootable) se fait en
arrière-plan sans qu'Apple n'en indique la progression (ET ne se fait
pas instantanément comme je le croyais et comme ça le laisse supposer),
ET SURTOUT ça ne se ferait - ou ne se poursuivrait - que si on est
connecté à un compte administrateur ! À vérifier, la vérification de la
chose necessitant d'en passer par la commande terminal
diskutil cs list

Qui donc aura le mauvais esprit de faire la moindre remarque ! :-(

--
Gérald
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Patrick
Le #26502879
On 2018-12-24 09:49:57 +0000, Gerald said:
- il ne FAUT PLUS chiffrer son volume de sauvegarde au moment de son
formatage (que je faisais jusque là comme pour tous mes disques),
- le chiffrage Filevault d'un volume de sauvegarde (qui serait à
préférer si on veut que la sauvegarde soit "mieux" bootable) se fait en
arrière-plan sans qu'Apple n'en indique la progression (ET ne se fait
pas instantanément comme je le croyais et comme ça le laisse supposer),
ET SURTOUT ça ne se ferait - ou ne se poursuivrait - que si on est
connecté à un compte administrateur ! À vérifier, la vérification de la
chose necessitant d'en passer par la commande terminal
diskutil cs list
Qui donc aura le mauvais esprit de faire la moindre remarque ! :-(

Moi ! ;-)
Je n'ai jamais chiffré un disque (de sauvegarde ou pas) au moment de
son formatage. Certes, quand on procède ainsi le disque est crypté, ça
a l'apparence de Filevault mais ce n'est pas Filevault. Pour installer
Filevault, il faut passer par les Préférence système, onglet "Sécurité
et confidentialité".
Vérifie quand tu passes par les préférences système si l'état
d'avancement est indiqué.
Je ne comprends pas l'intérêt de passer par le terminal. De toute façon
l'onglet Sécurité et confidentialité des préférences système a depuis
longtemps nécessité un mot de passe admin pour être débloqué afin que
son contenu soit modifiable.
voir_le_reply-to
Le #26502893
Patrick
Je n'ai jamais chiffré un disque (de sauvegarde ou pas) au moment de
son formatage.

Ben... ce n'est pas la même chose dans l'un et l'autre cas quand même !
(disque de démarrage OU démarrable d'une part, autres disques de
sauvegarde non bootables d'autre part).
a l'apparence de Filevault mais ce n'est pas Filevault. Pour installer
Filevault, il faut passer par les Préférence système, onglet "Sécurité
et confidentialité".

Filevault n'est possible que sur un disque bootable. Et jusqu'à
récemment ça ne faisait pas de différence à l'utilisation pour les
clônes de sauvegarde de les formater chiffrés (puisque c'était proposé
d'entrée de jeu). Ça aurait changé depuis SSD-APFS, et c'est l'objet de
ce fil.
Vérifie quand tu passes par les préférences système si l'état
d'avancement est indiqué.

Expérience actuelle : trois disques trois comportements différents. Il
semblerait, quand on suit la procédure proposée par CCC "from the book"
qu'effectivement on peut voir la progression *a condition* de rester
dans la session.
Je ne comprends pas l'intérêt de passer par le terminal.

Voir où en est la progression quand elle se fait en arrière-plan et
qu'on n'a aucune autre manière de la visualiser !
Actualisation, d'ailleurs : je fais partie des utilisateurs pour qui le
chiffrement du clone externe se poursuit même en session utilisateur...
Ces trucs inconstants sont d'un énervant !
De toute façon
l'onglet Sécurité et confidentialité des préférences système a depuis
longtemps nécessité un mot de passe admin pour être débloqué afin que
son contenu soit modifiable.

Euh... quel rapport avec la choucroute ?
-------------
Autre info (témoignage) : le boot sur le clône était déjà possible quand
il était chiffré à l'avance, mais le comportement était différent
(logique d'ailleurs) : il fallait d'abord déverrouiller le disque en
"pré-boot" (sans aucun choix de session, donc avec mot de passe du
disque et non mot de passe de session), ensuite le boot se faisait comme
sur un disque déverrouillé pour aboutir sur le choix d'utilisateur.
Avec la procédure conseillée par CCC, on se retrouve avec un boot
absolument identique au boot sur le disque interne chiffré :
pré-démarrage sur la recovery, choix de l'utilisateur pour le
déverrouillage du disque, PUIS boot et atterrissage sur le finder de
l'utilisateur.
hth,
--
Gérald
Patrick
Le #26502937
On 2018-12-24 16:19:39 +0000, Gerald said:
Patrick
Je n'ai jamais chiffré un disque (de sauvegarde ou pas) au moment de
son formatage.

Ben... ce n'est pas la même chose dans l'un et l'autre cas quand même !
(disque de démarrage OU démarrable d'une part, autres disques de
sauvegarde non bootables d'autre part).
[...]


En effet, dans ton post initial, tu écrivais : « Il ne FAUT PLUS
chiffrer son volume de sauvegarde au moment de son formatage (que je
faisais jusque là comme pour tous mes disques) »
Je n'avais pas perçu que lorsque tu parlais de volume de sauvegarde tu
incluais dans cette catégorie les disques ne comportant pas de système
ce qui, à mon humble avis, est une grosse erreur. Pour moi, un disque
de sauvegarde comporte un système par nature. Afin de pouvoir démarrer
dessus en cas de problème. Dans le cas contraire, on peut parler de
clone mais sûrement pas de volume de sauvegarde.
Chiffrer un disque relève d'une logique très simple :
Le disque est bootable ? Une fois la sauvegarde de CCC terminée,
redémarrer sur le disque et installer Filevault via les préférences
système. On peut d'ailleurs installer Filevault plus tard, à tout
moment.
Le disque ne comportera pas de système et par conséquent ne sera pas
bootable ? Lors du formatage choisir "APFS chiffré" ou "Mac OS étendu
chiffré". Le disque sera crypté mais Filevault ne sera pas installé.
voir_le_reply-to
Le #26502945
Patrick
Je n'avais pas perçu que lorsque tu parlais de volume de sauvegarde tu
incluais dans cette catégorie les disques ne comportant pas de système
ce qui, à mon humble avis, est une grosse erreur. Pour moi, un disque
de sauvegarde comporte un système par nature. Afin de pouvoir démarrer
dessus en cas de problème. Dans le cas contraire, on peut parler de
clone mais sûrement pas de volume de sauvegarde.

Un peu de pédagogie ? (en fait pas vraiment : d'explication de ma
manière de faire, la considère comme utile qui veut !).
1/ sauvegarde vs archivage : juste circonstances différentes. Archivages
pour les données auxquelle on n'a pas besoin en permanence. Sauvegarde
pour pallier un éventuel problème matériel majeur (vol, incendie,
inondation... ou simple crash de l'ordi).
2/ sauvegarde toujours boutable : que neni ! Je travaille en effet
principalement sur un disque SSD "de travail" dépourvu de système, mais
qui a l'avantage d'être mobile entre mon ordi de bureau et mon Macbook.
L'intérêt est que ses données sont, par définition, toujours "à jour" :
aucun souci de synchronisation dans un sens ou dans l'autre de quoi que
ce soit. Les ordis ont, sur le disque interne, système, logiciels, et
dossiers par défaut, ce qui inclut des données de configuration par
nature différentes entre machines à destinées différentes.
C'est comme une sorte de "partitionnement" des données. Et il n'y a
*aucune* raison pour ajouter un système à ce disque de travail, pour la
même raison qu'il n'y aurait aucune raison à installer un système sur
*chaque* partition d'un disque interne partitionné.
Au niveau sauvegardes c'est ceintures et bretelles :
- un disque time machine pour chaque ordi, qui INCLUT la sauvegarde du
disque de travail,
- un clone pour chaque disque "sur site" et un clone "hors site".
Même logique de duplication sur site et hors site pour mes disques
d'archives.
Grosse erreur ? Vraiment ?
--
Gérald
Publicité
Poster une réponse
Anonyme