О защите данных на съемных носителях

externalХранение данных на съёмных носителях, таких как внешние диски или флешки, дает возможность экономить место на загрузочном диске, а также получать доступ к нужной информации с любого компьютера, находящегося под рукой. Это очень удобно, но не всегда безопасно, ведь любой, в чьих руках может оказаться этот носитель, сможет получить доступ и к данным, которые на нем хранятся. Благо, для таких случаев есть несколько способов обезопасить файлы на внешних дисках. Можно зашифровать как весь диск, так и отдельные файлы, а можно сделать так, что для доступа к данным на одном съемном носителе необходимо будет подключить другой, что значительно снизит риск несанкционированного доступа к вашим данным при потере или краже одного из дисков.

Шифрование данных

В новых версиях OS X, таких как Yosemite или El Capitan, шифрование диска можно осуществить средствами самой системы. Для этого необходимо, чтобы внешний диск имел родную для Mac OS X схему разделов GUID, что легко можно организовать при помощи Дисковой утилиты.

  1. Запустите Дисковую утилиту из папки «Утилиты» и подключите внешний диск, для которого вы планируете использовать шифрование.
  2. В левом столбце выберите внешний диск и перейдите в вкладку «Раздел диска».
  3. В ниспадающем меню «Схема разделов» выберите нужное вам количество логических томов, которые бы вы хотели видеть на диске.
  4. Нажмите кнопку «Параметры» и отметьте пункт «Схема разделов GUID», после чего нажмите кнопку «ОК».
  5. Наконец, выберите в ниспадающем меню «Формат» выберите значение «Mac OS Extended (журнальный)» и нажмите кнопку «Применить».

Обратите внимание, что в результате описанных выше действий, вся информация на диске будет стерта, поэтому настоятельно рекомендуем предварительно сделать резервную копию своих данных. Если ваш внешний диск ранее уже был отформатирован как Mac OS Extended (журнальный) с Схемой разделов GUID, то пункт «Зашифровать» будет активен и без предварительного форматирования диска. В этом случае можно включить шифрование без стирания данных. Однако резервная копия никогда не помешает.

После этого откройте Finder, найдите в левом столбце свой внешний диск, щелкните по нему правой клавишей мыши и выберите пункт «Зашифровать». Вам будет предложено указать пароль шифрования, который необходимо будет вводить при каждом подключении внешнего диска для получения к нему доступа.

Это, пожалуй, самый быстрый и простой способ обезопасить данные на внешнем носителе. К тому же для простоты вы можете добавить в свою связку ключей пароль от внешнего диска, чтобы при подключении его к компьютерам, которыми вы пользуетесь чаще всего, доступ к нему предоставлялся автоматически.

Помимо полного шифрования диска можно шифровать отдельные группы файлов при помощи образов. Образ – это файл, который играет роль виртуального диска. При открытии он монтируется файловой системой и отображается, как подключенный к компьютеру съёмный носитель. Использование образов дает пользователю дополнительные возможности обработки и хранения данных, включая их шифрование. Для того чтобы создать образ диска необходимо запустить Дисковую утилиту из папки «Утилиты» и перейти в меню Файл → Новый → Пустой образ диска (или нажать сочетание клавиш ⌥Alt/Option + ⌘Command + N). В результате появится окно, в котором вам будет предложено указать имя образа, его формат, размер, количество разделов, а также выбрать способ его шифрования, после чего вас попросят ввести пароль для доступа к этому образу.

После создания образа вы можете сохранить его в удобное вам место, включая внешний носитель. Используя образы, вы сможете с большей степенью безопасности выкладывать данные в сеть или передавать их между устройствами. Минусом такого варианта является тот факт, что образ нужно монтировать. Таким образом, если вы храните зашифрованный образ на внешнем носителе, вам сначала нужно подключить сам накопитель, а затем найти и открыть файл образа.

Использование нескольких дисков

Шифрование – не единственный способ обезопасить данные на внешних дисках (хотя в большинстве случаев его может оказаться достаточно). Некоторые производители выпускают внешние диски, доступ к которым возможен только при подключении к компьютеру специального ключа (обычно представленного в виде USB-флешки), что повышает уровень безопасности ваших данных. Если у вас есть несколько внешних дисков вы можете сделать нечто подобное и своими силами, хотя принцип работы будет несколько иным. Для этого вы можете объединить несколько физических внешних носителей в один логический том, используя одну из поддерживаемых в Mac OS X технологий: AppleRAID и CoreStorage.

AppleRAID – технология, которая на протяжении многих лет поддерживается в Mac OS и позволяет объединить несколько физических дисков в RAID-массив и представить в виде одного логического тома. У этой технологии есть ряд ограничений (например, все физические носители должны быть одного объема), но с её помощью можно сделать так, чтобы доступ к данным не был возможен, пока к компьютеру не будут подключены все внешние носители, входящие в состав RAID-массива.

Для того чтобы реализовать такой сценарий потребуется как минимум два носителя одинакового объема.

  1. Подключите носители к вашему компьютеру Mac.
  2. Откройте Терминал из папки «Утилиты»
  3. Ввведите команду diskutil list В результате в окне Терминала должен быть выведен список накопителей, подключенных в компьютеру, каждому из которых присвоен уникальный идентификатор вида «disk1», «disk2» и так далее. Найдите в списке внешние диски, которые вы планируете объединить, и запомните их идентификаторы.
  4. Введите следующую команду diskutil appleRAID create concat MyRAID jhfs+ disk1 disk2 где disk1 disk2 – идентификаторы дисков, которые вы планируете объединить в RAID массив.

В последней команде мы используем «concat» для простого объединения физических носителей в одно дисковое пространство. Вместо этого вы можете указать «mirror» или «stripe» для использования альтернативных видов RAID-массивов для большей отказоустойчивости или объема. Вы также можете указать вместо «MyRAID» любое удобное вам имя диска.

В результате в системе отобразится диск с указанным вами именем, объем которого будет равен сумме объемов используемых накопителей. Вы можете отключить его в Finder, как обычный съемный носитель, после чего отсоединить от компьютера. Если после этого вы подключите только один из внешних накопителей, он определится в системе, но не сможет быть смонтирован. Только после подключения второго носителя система увидит RAID-массив и вы сможете получить доступ к данным.

Стоит заметить, что Apple RAID не предусматривает шифрования стандартными средствами Mac OS X (хотя, при особом желании зашифровать его всё же возможно, но об этом мы расскажем в другой раз), поэтому, обладая определенными навыками и средствами, можно считать данные, которые хранятся на носителе, даже если доступ будет не к полному “комплекту” дисков (пускай и не все).

В качестве альтернативы вы можете объединить несколько носителей в один логический том с помощью технологии CoreStorage, по аналогии с Fusion Drive, которая используется в некоторых устройствах Mac для объединения HDD и SSD. Преимуществом этого варианта является тот факт, что, в отличии от Apple RAID, для CoreStorage поддерживается шифрование штатными средствами Дисковой утилиты. Подробнее об этих технологиях и принципах их работы вы можете прочитать в одной из наших предыдущих статей.

  1. На всякий случай отключите от компьютера все внешние накопители, кроме тех, которые планируете объединить.
  2. Запустите Терминал из папки «Утилиты»
  3. Введите команду diskutil list
  4. Найдите в выведенной идентификаторы первого используемого вами внешнего диска (например, disk1) и тома на втором диске (он имеет вид disk2s1)
  5. Введите следующую команду, чтобы объединить первый диск с разделом второго: diskutil cs create GROUPNAME disk3 disk4s2 где disk3 и disk4s2 – идентификаторы диска и раздела, а GROUPNAME – имя созданной в результате группы. Это системный параметр и он не будет отображаться как имя тома при подключении носителей, но оно понадобится нам в следующем пункте.
  6. Введите команду diskutil cs createVolume GROUPNAME jhfs+ "VOLUME NAME" 100% где GROUPNAME – имя созданной группы, а “VOLUME NAME” – имя, которое вы хотите дать создаваемому логическому тому (если имя состоит из нескольких слов, разделенных пробелами, не забудьте заключить его в кавычки).

 

Некоторые компоненты этой команды могут быть изменены в зависимости от ваших предпочтений и потребностей. Например, вместо 100% можно ввести 50%, чтобы использовать только половину доступного для создания раздела объема. Используя команду в том виде, в котором она показана выше, мы выбираем группу дисков, созданную нами на предыдущем шаге (GROUPNAME),  указываем формат, который будет использоваться на созданном из группы логическом томе (jhfs+ для формата Mac OS Extended (журнальный)), присваиваем нашему тому имя и выбираем какой объем этот том должен занимать (в нашем случае 100% от доступного).

Если вы хотите сразу создать зашифрованный том, вы можете слегка изменить команду: diskutil cs createVolume GROUPNAME jhfs+ "VOLUME NAME" 100% -stdinpassphrase
После этого необходимо в окне Терминала дважды указать пароль для доступа к тому.

В результате, при подключении съемных носителей в любой последовательности система распознает в них диски, использующие CoreStorage и смонтирует соответствующий логический том.

Стоит заметить, что использование подобных конфигураций повышает риск потери данных. Если один из дисков будет утерян или выйдет из строя, получить доступ к информации не удастся. Поэтому при использовании нескольких накопителей стоит регулярно делать резервные копии данных, которые на них хранятся.

Большое спасибо Кристоферу Кесслеру за оригинальный материал, послуживший основой для данной статьи.

Об авторе Дмитрий Архипов

Специалист технической поддержки пользователей.
Метки: , , , , , , . Закладка Постоянная ссылка.