לדלג לתוכן

Blueprint: Training Deck - Chapter 6 (APFS Internals)

Slide 1: Title

Title: פרק 6: מערכת הקבצים והאחסון (APFS Internals) Bullets:

  • ארכיטקטורת APFS: Containers וווליומים
  • ה-Sealed System Volume (SSV) ו-Firmlinks
  • ניהול ואבחון באמצעות Disk Utility ו-diskutil
  • השלכות ארגוניות וכלי אבטחה (MDM/AV)

[Image Recommendation]: A super minimalist abstract vector diagram showing a large box with multiple smaller floating shapes (Volumes) sharing the space fluidly inside it.

Presenter Notes: ברוכים הבאים לפרק 6! בפרק זה אנחנו צוללים אל אחד מהיסודות החשובים ביותר של ה-macOS המודרנית - מערכת הקבצים APFS. מאז שהוצגה ב-macOS High Sierra, APFS שינתה לחלוטין את הדרך שבה מקים מנהלים אחסון. אנחנו נבין את ההבדל בין חלוקה למחיצות קשיחות כמו פעם לבין "שיתוף שטח דינמי" (Space Sharing). נדבר גם על מערכת ההגנה הקריפטוגרפית שמונעת אפילו ממשתמש ה-root לשנות קבצי מערכת, ואיך כל זה משפיע עלינו כאנשי IT שצריכים להתקין תוכנות אבטחה וכלי ניהול ארגוניים.

Slide 2: מהפיכת APFS - שיתוף שטח דינמי

Title: APFS: Containers Volumes (Volumes) Bullets:

  • סוף למחיצות הקשיחות (Partitions)
  • שיתוף שטח חופשי (Space Sharing)
  • הקצאה דינמית בין Volumes

[Image Recommendation]: A super minimalist abstract vector diagram comparing two pie charts: one showing rigid slices (old HFS+ partitions) and another showing overlapping/fluid boundaries inside a single circle (APFS Space Sharing).

Presenter Notes: ההמצאה הגדולה ביותר של APFS היא שיתוף השטח (Space Sharing). בעבר, עם HFS+, אם היה לנו דיסק של 500GB וחילקנו אותו לשתי מחיצות (Partitions) של 250GB, כל מחיצה הייתה מקבלת שטח קבוע מראש. אם מחיצה אחת התמלאה, אי אפשר היה להעביר אליה שטח פנוי מהמחיצה השנייה בלי לפרמט. ב-APFS יש לנו Container (Container / מכל) בגודל כל הדיסק - נניח 500GB. בתוך ה-Container הזה אנחנו יכולים ליצור כמה Volumes שרק נרצה (למשל Volume למערכת, Volume לנתונים, Volume לגיבויים). כולם חולקים יחד את ה-500GB הפנויים. כל Volume "רואה" שיש לו 500GB פנויים, והשטח נתפס פיזית רק כשכותבים קבצים. זה אומר שכבר לא צריך לנחש איזה גודל להקצות לכל מחיצה, וזה פותר המון כאבי ראש בארגונים.

Slide 3: Sealed System Volume (SSV)

Title: Volume מערכת חתום (SSV) Bullets:

  • הגנה קריפטוגרפית על קבצי המערכת
  • מחיצת System נפרדת מנתוני המשתמש
  • עדכוני תוכנה כחתימות חדשות (Snapshots)

[Image Recommendation]: A super minimalist abstract vector diagram showing a hard drive icon split into two layers: one layer glowing with a padlock to signify a cryptographically sealed state, and the other open for data.

Presenter Notes: עכשיו בואו נדבר על ה-SSV - Sealed System Volume. מ-macOS Big Sur, אפל הפרידה את הדיסק שלנו לשני Volumes עיקריים שרצים ביחד מאחורי הקלעים: הראשון הוא Volume המערכת (System Volume), והשני הוא Volume הנתונים (Data Volume). ה-System Volume מכיל רק את הקבצים של macOS והאפליקציות המובנות שלה. הוא מוגדר כ-Read-Only (קריאה בלבד) והוא גם "חתום" באמצעות פונקציות גיבוב (Hashes) ברמת הבלוק הפיזי. למה זה חשוב? כי אפילו אם תוכנה זדונית מקבלת הרשאות root עליונות, היא לא מסוגלת לשנות ביט אחד בקבצי המערכת! מערכת ההפעלה בודקת בזמן האתחול שהחתימה הקריפטוגרפית תואמת בדיוק למה שאפל יצרה. אם קובץ שונה - המק לא יעשה בוט. עדכוני תוכנה הם בעצם התקנת חתימה חדשה מהשרתים של אפל.

Title: פירמלינקים (Firmlinks) Bullets:

  • חיבור בין ה-System ל-Data
  • אשליה של Volume אחד למשתמש
  • מיפוי דו-כיווני בלתי נראה

[Image Recommendation]: A super minimalist abstract vector diagram showing two separate blocks (System and Data) being sewn or zipped together with a dashed line to form a single continuous block.

Presenter Notes: אז אם המערכת מפוצלת לשני Volumes נפרדים לגמרי (System ו-Data), למה ב-Finder המשתמש רואה רק כונן אחד שנקרא "Macintosh HD"? התשובה היא Firmlink (Firmlink). Firmlink היא טכנולוגיה ייחודית ל-macOS, שדומה קצת ל-Symlink מוכר מלינוקס, אבל פועלת ברמה עמוקה בהרבה ובשני הכיוונים. אפל יצרה פירמלינקים שמחברים פיזית בין התיקיות שבווליום המערכת הקפוא, לבין התיקיות ב-Volume הנתונים הפתוח. למשל, התיקייה /Users ממוקמת באמת ב-Data Volume (משום שהיא משתנה ללא הרף), אבל בזכות הפירמלינק היא נראית כאילו היא יושבת יחד עם תיקיית ה-System. המשתמש או תוכנות רגילות לא מרגישים את ההפרדה הזו - הכל נראה כמו עץ תיקיות מסורתי ואחיד.

Slide 5: כלים ואבחון (המעבדה)

Title: אבחון APFS באמצעות Disk Utility ו-diskutil Bullets:

  • תצוגת "Show All Devices" ב-Disk Utility
  • הפקודה diskutil list
  • ניהול Snapshots ואבחון שטח חסר

[Image Recommendation]: Instruct the instructor to capture a real screenshot of the Disk Utility app in macOS, with "Show All Devices" selected, highlighting the tree structure of the APFS Container and its underlying Volumes.

Presenter Notes: במעבדה של הפרק הזה אנחנו נתרגל אבחון של בעיות שטח וניהול תצורה. הכלי הגרפי הוא כמובן Disk Utility (תוכנת העזר לדיסקים). כדי לראות באמת איך הדיסק מחולק, חובה להפעיל את התצוגה של Show All Devices! בלי זה נראה רק את הכונן המאחד שהפירמלינק יוצר ולא את האמת. בטרמינל נשתמש בפקודה diskutil list. זו פקודת חובה שעושה סדר ומראה לנו את כל הדיסקים הפיזיים (למשל disk0) ואת הקונטיינרים הווירטואליים שרצים מעליהם (למשל disk3). אחת הבעיות הנפוצות שניתקל בהן היא שמשתמש מדווח שאין לו מקום, למרות שמחק המון קבצים. זה לרוב נובע מ-Snapshots (Snapshots) מקומיים של Time Machine שמחזיקים את המידע הישן בחיים ברמת ה-APFS. נלמד איך למצוא ולמחוק אותם דרך ה-Disk Utility.

Slide 6: תיבול ארגוני - השלכות כלי IT ואנטי וירוס

Title: APFS בעולם הארגוני Bullets:

  • התמודדות כלי AV ו-EDR עם ה-SSV
  • סריקת קבצי מערכת (מיותרת)
  • תאימות תוכנות צד שלישי

[Image Recommendation]: A super minimalist abstract vector diagram showing an enterprise shield icon scanning a folder structure, but a glowing lock (the SSV layer) repels the scan or bypasses it completely.

Presenter Notes: לסיום הפרק, נדבר על איך ה-SSV (Sealed System Volume) משפיע על הארגון ועל כלי ה-IT שלנו. בעבר, תוכנות אנטי-וירוס (AV) או כלי EDR היו סורקים כל קובץ מערכת, כי היה אפשר להחדיר אליהם וירוסים. כיום, בגלל שווליום המערכת חתום ונעול ברמת ה-Hash בזמן בוט, כלי האבטחה המודרניים לא צריכים (ולא אמורים) לסרוק את ה-System Volume בכלל! סריקה שלו היא בזבוז משאבים (CPU וזמן סוללה) שסתם מאיט את המחשב. כלי EDR מודרניים יודעים לסרוק רק את ה-Data Volume. בנוסף, כלים היסטוריים שניסו לשנות את התנהגות המערכת על ידי התקנת קבצים ישירות לתיקיית המערכת (למשל Kernel Extensions) לא יכולים לעשות זאת יותר, מה שמחייב שימוש בטכנולוגיות החדשות של אפל (System Extensions), אותן אנחנו מנהלים באמצעות Configuration Profiles מה-MDM.

מבחן הבנה קצר (Multiple Choice)

1. מהו היתרון המרכזי בשימוש בקונטיינר ב-APFS על פני מחיצות (Partitions) מסורתיות? א) Container תומך במערכות הפעלה ישנות כמו Windows מחוץ לקופסה. ב) הווליומים בתוך ה-Container חולקים את אותו שטח פנוי פנוי באופן דינמי מבלי צורך להקצות גודל קבוע מראש. ג) הוא מספק הצפנה חזקה יותר כברירת מחדל מאשר FileVault. ד) רק Containers מאפשרים התקנת Kernel Extensions. תשובה נכונה: ב

2. מדוע מערכת ה-macOS מפוצלת ל-System Volume ול-Data Volume? א) כדי לחסוך בשטח דיסק כולל. ב) לאפשר ל-SSV להגן קריפטוגרפית על קבצי המערכת כך שיהיו לקריאה בלבד ולא ניתנים לשינוי גם על ידי המשתמש. ג) כדי לתמוך בריבוי מסכים טוב יותר במחשבי Apple Silicon. ד) כי APFS לא תומך בדיסקים גדולים מ-1TB על Volume יחיד. תשובה נכונה: ב

3. איך המשתמש רואה את פיצול הווליומים (System ו-Data) ב-Finder בצורה שקופה ואחידה? א) באמצעות תוכנת צד-שלישי המותקנת מראש. ב) בזכות פירמלינקים (Firmlinks) היוצרים גשר בלתי נראה בין השניים. ג) על ידי רזולוציית מסך דינמית המסתירה תצוגת קבצים. ד) הפיצול אינו שקוף - המשתמש תמיד רואה שני כוננים שונים על שולחן העבודה. תשובה נכונה: ב

4. משתמש מתלונן שמחק המון סרטים אך שטח הדיסק לא התפנה. מה סביר להניח שמונע משטח הדיסק לחזור ב-APFS? א) קבצים נמחקים ב-APFS רק לאחר אתחול מחדש. ב) חומת האש המובנית של המק. ג) Snapshots מקומיות (Snapshots) של Time Machine הממשיכות לשמור התייחסות לקבצים המחוקים. ד) שירות ה-Spotlight שעדיין מפענח את הקבצים. תשובה נכונה: ג