Por exemplo esta entrada de blog menciona que uma partição existente com /Users pode ser criptografada, mas também diz" driver secundário ". A mesma observação foi mencionada em algumas outras postagens do blog que encontrei no google.
Então a pergunta é: Eu tenho um único volume no meu MBP, onde o próprio sistema operacional está instalado e contém todos os dados do usuário também.
Pode ser criptografado via diskutil sem perda de dados?
A reinicialização não é um problema, basta automatizar as etapas envolvidas.
man diskutil diz:
The volume must be resizable (the above types are) and also mounted. Conversion is done live and in-place; targeting the boot volume is supported; as much of the conversion as possible is done before an eject or reboot is necessary.
Então, aparentemente, responder à minha pergunta é "sim".
Vou manter a questão aberta, embora haja outros comentários sendo recebidos.
Assim, você pode ter uma resposta adequada à sua pergunta, mas se ainda estiver olhando para a automação por trás de sua necessidade, e se isso for para uma empresa, sugiro link (CV abreviado), um anagrama para 'FileVault Escrow'. Ele usa a autenticação da conta googleApps para proteger chaves de recuperação individuais por trás de uma organização, para que o acesso apropriado possa ser concedido.
Alternativas para essa solução, para dissociá-la do endpoint do google, estão em uso dentro de certas organizações que não abriram o código de sua solução até o momento. Eu descrevi o uso da ferramenta central para o CV em um modo autônomo standalone , que pode ser conduzido por soluções como o Puppet ou o Casper, com o estado final registrando a chave de recuperação em um banco de dados seguro. Espero que não esteja muito longe do espírito da sua pergunta.
Não, o bootloader é sobre DRM, não sobre recursos amigáveis ao cliente. Você ainda pode ter janelas totalmente truncadas.
Tags encryption osx-lion macos filevault