Escribe tu búsqueda

APFS: crear una “caja fuerte” para tus archivos

Compartir

Antes de macOS 10.13 High Sierra, para crear una zona segura y protegida con contraseña en tu disco tenías dos opciones:

  • Crear una partición y cifrarla: lo que era un problema porque tenías que asignar un espacio de disco reservado y quizás te quedabas corto, o sobre todo, te pasabas de tamaño con lo que quedaba espacio de disco “muerto” sin usar ni para una tarea ni para otra.
  • Crear una imagen de disco cifrada de tamaño variable y usarla como “caja fuerte”.

Con APFS puedes crear esta “caja fuerte” en tu disco sin la necesidad de crear una imagen o desperdiciar espacio. ¿Cuáles son las ventajas al respecto de los métodos anteriores? Más allá de las ventajas que podemos definir como secundarias, como que no hay un archivo que pueda ser “robado” como la imagen de disco, la principal es que el espacio entre la parte del disco sin cifrar y la parte cifrada es compartido, de forma que no es necesario tener que hacer particiones y desperdiciar espacio, no tener que estar pendiente si te quedas sin espacio o te has pasado asignándolo. Así, si tienes un disco de 500 GB, el espacio se ira compartiendo entre ambos volúmenes conforme se vaya ocupando.

Empecemos por los conceptos teóricos

Sí, ya se que la teoría es un rollo, pero intentaré hacerla lo más amena posible. La parte teórica de todo esto es entender cómo se organiza un disco cuando lo formateas en APFS y qué puedes hacer y qué no con el disco:

En la capa superior y en primer lugar están las particiones. Si particionas el disco, el sistema verá cada una de esas particiones como una unidad totalmente independiente[note]Aunque estén dentro del mismo disco[/note] y de hecho le asignará identificadores independientes: así la unidad disk1, que tiene dos particiones, será disk1s1 y disk1s2[note]De hecho, cualquier disco formateado en un sistema de archivos nativo para Mac como HFS+ o APFS ya tiene dos particiones por defecto: la primera es para la EFI y la segunda, la que utilizas para archivos, por lo que si haces una partición del disco adicional entonces tendrás disk1s1 (EFI), disk1s2 (una de las particiones de datos) y disk1s3 (la otra partición de datos) [/note] pero serán interpretadas como unidades independientes, con su formato de archivos y su tamaño “prefijado”.

Aunque es fácil trabajar con particiones de forma dinámica, reasignando espacio o eliminándolo sin comprometer el contenido de esas particiones, realmente esta forma de trabajo es incómoda porque compromete mucho espacio de disco y lo deja ahí, muerto de risa a la espera de ser ocupado.

Con APFS se integra una nueva estructura: En primer lugar están las particiones, y debajo están los Volúmenes dentro de Contenedores.

Humm…. interesante.

Trabajando con los volúmenes

Los volúmenes, en APFS, ocupan una zona intermedia entre las particiones y el acceso al sistema de archivos que conoces: las unidades de almacenamiento que aparecen en tu Mac y que usas para almacenar archivos. La magia de los volúmenes, que están dentro de un Contenedor, es que son como colegas que se llevan bien entre ellos y comparten espacio como unidades que a la vista son independientes, pero realmente conviven juntas dentro de un Contenedor. Si embargo, estos colegas pueden tener características totalmente diferentes.

Vamos crear un volumen en una unidad formateada como APFS. Usa una memoria USB para hacer pruebas, no empieces con un disco que tiene información importante[note]Ya estás avisado, no rompas nada.[/note].

Paso a paso:

  • Reactiva la jerarquía de discos en la Utilidad de discos
  • Cuando despliegues la jerarquía de una unidad con formato APFS, verás que aparece un paso intermedio que se llama Contenedor diskX[note]La X corresponde al identificador del disco[/note]. Interesante. Es aquí donde puedes trabajar con los volúmenes.
  • En la barra superior de herramientas de la Utilidad de discos, al seleccionar en la barra lateral el Contenedor, se activarán dos botones: los que corresponden a la gestión de volúmenes.
  • Haz clic en añadir Volumen.
  • Se abrirá un cuadro de diálogo contextual para darle nombre al volumen y formato.
  • Al desplegar el menú contextual para el formato, verás que solo puedes elegir formatos de archivos basados en APFS[note]Si lo que quieres es una unidad de discos con dos formatos de archivos diferentes, por ejemplo, FAT y HFS+, tienes que hacer particiones, no volúmenes[/note].
  • En nuestro caso, como queremos una zona cifrada para nuestros archivos críticos, elegimos APFS (encriptado)
  • Rellena el asunto de las contraseñas.
  • Se creará y se mostrará el nuevo volumen. Si abres el disco en el que has creado el volumen y el nuevo volumen, verás que ambos tienen el mismo espacio: lo comparten.

Si echas un vistazo al interior del disco con el Terminal, verás que tienes una nueva estructura creada y que cada volumen tiene además su correspondiente identificador y muestran el espacio consumido en cada volumen:

/dev/disk3 (synthesized):

   #:                       TYPE NAME                    SIZE       IDENTIFIER

   0:      APFS Container Scheme -                      +479.8 GB   disk3

                                 Physical Store disk2s2

   1:                APFS Volume Davros                  71.1 GB    disk3s1

   2:                APFS Volume Vault                   905.2 KB   disk3s2

Ahora expulsa el volumen, que te aparece como una unidad de disco, arrastrándolo a la Papelera. El sistema te preguntará si quieres expulsar los dos volúmenes o solo uno, en este caso, solo el que nos interesa, el que acabamos de crear.

A la hora de montarlo, hazlo desde la Utilidad de discos, en la barra lateral, te aparecerá en la jerarquía del Contenedor del disco correspondiente, seleccionándolo y haciendo clic en el icono del botón de la barra de herramientas Montar. No marques la casilla para guardar la contraseña en Acceso a Llaveros por una razón simple: así, cuando arranques el Mac, ese volumen no se montará, quedando protegido.

¿Cómo montamos el volumen sin la Utilidad de Discos? Podemos hacerlo también desde el Terminal usando:

diskutil apfs unlockVolume disk3s2

donde disk3s2 es el identificador del disco. Se nos preguntará la contraseña del disco en el Terminal[note]Passphrase[/note] y solo tenemos que añadirla.

Por otra parte, eliminar un volumen es fácil, aunque los archivos que hay en su interior se perderán. Selecciona el volumen en la barra lateral de la Utilidad de discos y usa los botones de gestión de Volúmenes en la barra de herramientas para eliminarlo. También lo puedes hacer haciendo clic en el volumen en la barra lateral e invocando el menú contextual para seleccionar la opción Eliminar Volumen.

Trabajando un escenario

Bueno, ya hemos aprendido un buen montón de teoría y de práctica. Es la hora de aplicarla.

Imagina que tienes una serie de clientes cuyos archivos son críticos y que deben estar protegidos. En un entorno anterior, quizás crearías una zona protegida en un disco y todos los archivos de los clientes estarán reunidos en esa zona, lo cual no es muy práctico en cuanto a seguridad por motivos muy evidentes.

Con volúmenes y APFS puedes crear un volumen para cada cliente con su propia contraseña[note]repitiendo el proceso por cada cliente[/note] de forma que tienes unidades separadas para cada uno de ellos. ¿La ventaja? que no tienes que reservar espacio del disco para cada uno de ellos porque el espacio está compartido gracias a APFS, por lo que simplemente trabajas con cada instancia creada para cada cliente añadiendo o eliminando archivos sin tener que preocuparte de si te quedarás sin espacio en el disco o no.

7 Comentarios

  1. Castafiore 26 octubre, 2017

    Gracias Carlos, para ponerse de rodillas. Qué suerte tenemos que haya alguien que publica cosas así en español en lugar de las payasadas de la blogosfera habitual.

  2. Revo 26 octubre, 2017

    Gracias por la informacion!, me surge una duda, como se haria para hacer una copia de seguridad de un volumen encriptado? tendria que meter primero la clave, o se podria hacer sin montarlo?

    Ahora mismo yo tengo una imagen de disco en el escritorio cifrada, y timemachine me la guarda en sus copias.

    Me gustaria probar esta forma nueva pero antes saber si se puede hacer copia con TimeMachine.

    saludos!

    1. Cualquier elemento de almacenamiento que el sistema entienda que es “una unidad independiente” puede o no puede ser incluida en la copia de seguridad de Time Machine, a través de las opciones de Time Machine. Estos datos serán accesibles al proceso de copia y por lo tanto copiados a la copia de seguridad de Time Machine. Si esta copia no está cifrada, quedarán expuestos.

  3. Wynztech 26 octubre, 2017

    Hola Carlos, tu que eres un tipo medianamente inteligente y razonable te voy a hacer una pregunta.
    ¿No te has dado cuenta que APFS se parece demasiado a ZFS??????? Pero vamos demasiado demasiado. Yo solo lo suelto y luego que cada uno saque sus propias conclusiones.

    1. Siendo solo medianamente inteligente y razonable, me acojo a la parte que no lo es para no contestar. ¯\_(ツ)_/¯ pero si estás interesado en el tema, tu enlace es:

      https://arstechnica.com/gadgets/2016/06/a-zfs-developers-analysis-of-the-good-and-bad-in-apples-new-apfs-file-system/

  4. Fai 26 octubre, 2017

    Excelente artículo, Carlos.

    Un saludo.

  5. dasswich 26 octubre, 2017

    Da gusto leer artículos como estos.

Dejar un comentario

Twitter
Visit Us
Tweet
YouTube
Pinterest
LinkedIn
Share