Безопасное резервное копирование на Time Capsule

Posted on by

Вчера в обсуждении возникло несколько вопросов по поводу того, как сделать так, чтобы Time Capsule, этот полезный гаджет от Apple, стал еще более полезным. Time Capsule, напомню, это комбинированное устройство, которое содержит в себе WiFi роутер и жесткий диск, доступный по сети для Маков. Соответственно, и основных предназначений у устройства два — хранить в себе резервные копии, создаваемые Time Machine, и раздавать WiFi-сигнал для компьютеров и прочих устройств.
С WiFi проще всего — Time Capsule умеет получать интернет от провайдера (с Ethernet или PPPoE, поднятие VPN-соединения, как у Билайна, не поддерживается), и раздавать его по всевозможным стандартам 802.11abgn. Более того, у современной версии Time Capsule (как и у Airport Extreme) встроены сразу две антенны, для поддержки старых (медленных) и новых (быстрых) стандартов. Это удобно, если дома есть устройства, не поддерживающие новые стандарты, тогда из-за них не нужно “занижать” вид подключения для всех остальных устройств. У меня так получилось, что дома вообще три WiFi-сети, одну раздает NetGear (там g), а две — 802.11n и 802.11n 5GHz — Airport Extreme. Очень удобно 🙂 С бекапной частью чуть интереснее.

Если вы планируете использовать Time Capsule исключительно для хранения нешифрованных бекапов Time Machine или в качестве простой файловой свалки, то никаких других телодвижений делать не надо, устройство прекрасно послужит и в том виде, в котором оно доступно из коробки. Я же преследовал две цели, планируя использование Time Capsule.
[ad#intext-inside]
1. Безопасность
Никогда нельзя быть слишком осторожным, тем более в нашем мире, где достаточно всевозможных мудаков. Поэтому и диск на своем компьютере обязательно шифрую с помощью FileVault, и другие данные, по возможности, стараюсь защищать, так что и бекапы должны тоже быть защищены. По умолчанию, даже несмотря на то, что данные копируются с зашифрованного диска, на Time Capsule они уже лежат незащищенными, и меня это беспокоило. Кстати, если вы делаете бекап Time Machine на локально подключенный по USB/Firewire/Thunderbolt, то на OS X 10.7 вы можете его тоже зашифровать с помощью FileVault, и не переживать за свои данные.
2. Хранение других данных
Когда у компьютера всего 256ГБ дискового пространства, начинаешь очень внимательно подходить к тому, что хранится у тебя на компьютере. В этом плане 70ГБ не самой большой музыкальной коллекции выглядят неким грузом, существенно мешающим соблюдать экономный режим хранения данных на компьютере. Всегда найдется еще какой-то контент — фото, видео — который занимает много места, и при этом хочется, чтобы он был оперативно доступен. Оставлять его на диске Time Capsule, куда бекапится Time Machine, как-то стремно, поскольку всегда есть риск потери этих данных.
Исходя из этих двух соображений хотелось найти решение, которое позволило бы использовать Time Capsule, и при этом удовлетворяло всем необходимым условиям по хранению данных. И такое решение было найдено, пусть и нетривиальное, зато работает. Не я его придумал, по ссылке выше — оригинал, а в блоге — упрощенная версия на понятном многим языке.
1. Выясните имя компьютера. Это можно сделать в Системных настройках, в разделе Sharing:

Мой MacBook Air называется Beauty, потому что он очень красивый, да 🙂 Важно, чтобы имя компьютера НЕ содержало пробелов.
2. Выясните MAC-адрес вашей сетевой карты. В инструкции фигурировало, что нужен MAC-адрес основной Ethernet-карты, но поскольку в MacBook Air Ethernet отсутствует, то нужен MAC-адрес адаптера WiFi. Что делать в случае с, скажем, iMac, где Ethernet все-таки присутствует, я не знаю, но я бы начал все-таки с MAC-адреса Ethernet-адаптера. Обнаружить MAC-адрес можно, зайдя во все те же System Preferences, раздел Network, затем в колонке слева выбираете WiFi, нажимаете кнопку Advanced…

…после чего вам открывается окошко, где внизу будет написан MAC-адрес вашей WiFi-карты:

Запишите его себе, он вам дальше понадобится.
3. Дальше мы исходим из того, что диск из Time Capsule смонтирован у вас на Маке, потому что нам нужно будет создать пустой зашифрованный образ диска и сохранить его на диск с Time Capsule. Для этого вам нужно открыть приложение Disk Utility, и выбрать команду для создания нового образа диска. У вас откроется вот такой диалог по умолчанию:

4. Дальше нужно будет провести следующие шаги:
а) вписать название для имени этого образа диска, которое должно содержать ИмяКомпьютера_MAC-адрес. (MAC-адрес указывается без двоеточий).
б) в поле Name вписать имя компьютера
в) Указать размер образа диска. Зависит от объема диска вашего компьютера и объема диска Time Capsule. Для обычного домашнего пользователя 300-500ГБ вполне достаточно
г) Формат образа диска — Mac OS X Extended (Journaled)
д) Шифрование — 128бит AES. Он достаточно безопасен и при этом обеспечивает приемлемую производительность.
е) Partition — не меняем, оставляем Single Partition, Apple Partition Map
ж) Image Format — указываем “sparse bundle disk image”.

Формат образа диска sparse bundle disk image подразумевает, что этот образ диска первоначально не будет занимать много места, но по мере его заполнения будет расти, пока не достигнет максимально указанного вами значения. После этого Time Machine поймет, что “диск полный”, и предложит вам удалять наиболее старые бекапы по своему алгоритму. При желании, используя командную строку, размер образа диска можно будет увеличить.
При сохранении этого образа диска Disk Utility попросит вас, чтобы вы указали пароль для него — обычно его надо вводить при подключении образа диска. Сохраните пароль в Keychain. Не забудьте, что сохранить этот образ диска надо на диск из Time Capsule!
5. Откройте приложение Keychain Access — это приложение, в котором хранятся ваши пароли. Вам нужно будет найти в списке паролей тот, который вы указали для подключения образа диска. Он находится в вашем пользовательском keychain, который, скорей всего, называется login (мой называется login_renamed_1, так исторически сложилось, не обращайте внимания). Важно то, что вам нужно перенести этот объект из вашего пользовательского login в связку ключей system — просто схватите и перетяните этот объект на system и отпустите кнопку мыши.

6. Теперь осталась ерунда — указать в настройках Time Machine диск из Time Capsule как диск для сохранения бекапов Time Machine.

Обратите внимание, что в качестве диска для бекапа в настройках фигурирует именно диск из Time Capsule. Однако, в дело вступает уличная магия — система сама монтирует образ диска, заливает на него бекап (в первый раз процесс занимает достаточно много времени, хотя все, конечно, зависит от того, сколько данных у вас на компьютере), и по завершению отмонтирует диск. При этом данные хранятся на шифрованном образе диска, так что даже если кто-то получит физический доступ к жесткому диску из Time Capsule, ему придется очень хорошо постараться, чтобы увидеть ваши файлы. При этом вы получаете гарантию, что Time Machine, бекаплясь, не увлечется и не снесет ваши данные, оставаясь в рамках выделенного ей пространства на образе диска.
[ad#intext-inside]
Есть еще один дополнительный совет, которым я тоже воспользовался. По умолчанию, Time Machine делает резервные копии данных каждый час. Это, конечно, полезно, но у меня необходимости в такой частоте сохранения бекапов нет. Поэтому можно воспользоваться утилитой TimeMachineEditor, которая позволяет настроить интервал создания бекапов Time Machine так, как вам это нравится. Мне лично достаточно это делать один раз в сутки. Надеюсь, вам эти советы тоже помогут.

48 thoughts on “Безопасное резервное копирование на Time Capsule

  4. рекомендую ознакомиться с комментариями к исходной статье. там каждый второй пишет что у него не проходит трюк с созданием образа диска вручную, и тайм машина каждый раз начинает создавать новый образ с таким же именем. плюс нужно указать что если вдруг пользователь забудет пароль к своему зашифрованному образу, то все его бэкапы окажутся лишь многогигабайтным мусором. 
    т.е. не все так безоблачно как кажется на первый взгляд. я читал исходную статью месяца 2 назад, и, взвесив все за и против, отказался от подобного метода.
     

    • я уже два раза запускал такое решение и у меня не было проблем. подозреваю, что дело в следовании инструкциям — и касательно имени компьютера, и MAC-адреса. а что касается пароля — то а) это касается ВСЕГО, что защищено паролями, и б) пароль находится в Keychain, где его можно посмотреть и вспомнить. 

    • более того, в источнике есть приписка, которая как бы намекает нам, что до этого инструкция была не такой полной и могла вызывать разночтения, приводящие к тому, что решение не работало:
      Update: On August 31 I updated this post with a more detailed description that should always work

  5. Вся эта красота живёт только по afp или smb тоже полюбит?
    Просто у меня 10.6 бекапился на расшаренную в винде папочку, а Лёва забраковал этот способ 🙁

  6. Alexmak, у меня пока нет капсулы, но планируется. Поясни плз этот момент “Оставлять его на диске Time Capsule, куда бекапится Time Machine, как-то стремно, поскольку всегда есть риск потери этих данных.” 
    В чем причина?

  7. Alex знает толк в извращениях)
    При полном крахе системы(а бывает и такое) необходимо загрузиться с установщика(диска или флешки) и в нём восстановиться с копии в time machine. Самое интересное, что если поместить эту самую копию в зашифрованный файл-образ, то его фиг примонтируешь в установщике. Для меня и думаю не только, это важно.

    • я как-то не задумывался по этому поводу. для меня безопасность данных важнее возможности восстановиться — в крайнем случае, это можно сделать “ручками”, хотя я подозреваю, что если замонтировать образ, то с него можно и автоматом восстановиться.

    • действительно, очень хороший вопрос: а как восстановиться на новый мак из такого зашифрованного образа? не припоминаю в процессе установки Lion’а с Тайм Машины пункта где можно смонтировать диск. если ответ “никак” то данное решение просто бессмысленно (безопасность есть, а быстро и просто “переехать” со старого мака на новый через Тайм Капсулу – не выйдет)

      • В Lion, Time Capsule поддерживает шифрование данных без ухищрений, если Time Capsule подключена через шнурок (опция “использовать шифрование данных” доступна в настройках Time Machine). Это как минимум означает то, что шифрованный образ, будет доступен для восстановления. Apple запретила шифрование по воздуху лишь исходя из опасности воровства данных передаваемых по воздуху, это много раз обсуждалось на форумах. Метод предложенный alexmak адекватен и актуален.

  8. Есть два вопроса. Про TimeCapsule, но не про секурный бекап.
    1. Умеет ли она раздавать диски по smb или nfs?
    2. Два ли там диска (в 2Tb и 3Tb) версии и умеет ли она их зеркалировать?
    Просто сдох винт в сторадже, вот и думаю, толи два новых винта купить, толи TimeCapsule

  11. Тайм-капсулой я так и не обзавёлся, но её функции с гаком выполняет сервачок на Win 7 на полу в углу комнаты 🙂
    настроил бэкапирование во Льве на сетевой диск
    ну и сервачок виден по AFP-протоколу, удобно 🙂 и семёрки известный геморрой в сети, не мне рассказыватьшифровку не делал… а может она и не нужна 🙂

    • Time Capsule это несколько больше чем WiFi NAS.
      У меня дома роутер, но с одной антенной и небольшой Linux сервер на Atom, часть задач перекрывает, часть делает то, что TC не умеет, но стоит дороже TC. 

  13. Алекс статья прикольная и полезная, но я хотел бы прокомментировать, а ведь можно было завести пользователя на TC  и делать backup под этим пользователем, соответственно этот пользователь только вам и доступен. TC не затирает лежащие рядом с backup данные пользователя, TC перезатирает данные только в backup образе. 

      • С шифрованием не решает, но и образ не лежит в открытом доступе, а для большинства пользователей уже этой защиты будет предостаточно (+ исключило бы проблемы с восстановлением системы). Да и в вашем случае шифровать диск на TC уже не обязательно было бы… но это конечно моё частное мнение. Каждый решает свою безопасность смотря со своей колокольни. 

        • у меня основное беспокойство — что диск попадет в чьи-то руки физически. и тут как раз важно шифрование.

  14. А почему у меня на этапе, когда Дисковая утилита создает новый образ диска, выскакивает окошко Связки ключей,  начинаю вводить пароль (не успеваю его набрать), как Связку ключей выбивает и …. все… “Дисковая утилита не смогла создать новый образ диска. Ошибка такая-то…”
    Почему так происходит? Может, ТС изначально должна быть полностью чистой или что-то другое?

  15. “Тайм Капсула не может завершить резервное копирование – нет доступа к образу резервного диска … (ошибка   -1)”  – вот что пишет……

  16. Добрые люди, а помогите с вопросом.
    Если  во льве сделать полный бэкап при помощи time machine,  затем все стереть и поставить с нуля льва, то можно будет уже после установки системы восстановить только те папки и файлы, которые хочется, при помощи той же time machine? Или она работает только в варианте развертывания полного образа/копии?

    • не совсем так. Она восстановит только файлы, созданные при существовании этого пользователя. системные файлы она не затрет.

Leave a Reply