Dual Boot // beide Systeme gegeneinander abschotten

TiffSequenz

Elstar
Registriert
17.10.08
Beiträge
72
Hallo,

ich möchte auf einem 2019er Macbook Pro 15" zwei hermetisch getrennte Systeme installieren:
  1. Mojave für private Nutzung
  2. Mojave für berufliche Nutzung bzw. Vermietung
Bei einem normalen Dual Boot Setup kann man von einem aktiven System das Volume des anderen Systems sehen.

Kann man das nicht aktive System für den Nutzer ausblenden?

Ziel:
  • Partition 1 Mojave "privat" (nicht sichtbar, wenn Mojave "beruflich" aktiv)
  • Partition 2 Mojave "beruflich" (nicht sichtbar, wenn Mojave "privat" aktiv)
  • Partition 3 Daten (dauerhaft für beide nutzbar)
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.412
nein. Geht auch nicht bei anderen Systemen richtig (mein Anspruch wäre: da geht kein Zugriff auf meine Steuererklärung - aber wenn man physischen Zugriff hat, kann man das nicht unterbinden).

Meine Empfehlung wäre: Laufwerke physisch trennen und nur dann verbinden, wenn es sein muss. In Deinem Fall bietet sich an, das System, das auch vermietet wird, auf die interne SSD zu packen und nur ggfls. eine externe SSD/USB-Stick mit privatem System zu booten.
 

Macbeatnik

Golden Noble
Registriert
05.01.04
Beiträge
34.205
Müssen es denn 2 Systeme sein, reichen nicht 2 Benutzer aus?
 

TiffSequenz

Elstar
Registriert
17.10.08
Beiträge
72
nein. Geht auch nicht bei anderen Systemen richtig (mein Anspruch wäre: da geht kein Zugriff auf meine Steuererklärung - aber wenn man physischen Zugriff hat, kann man das nicht unterbinden).
Den Zugriff auf die Daten könnte man per FileVault unterbinden.
Allerdings könnte das System schlimmsten Falls beschädigt werden, wenn der Miet-User auf die Partition Zugriff hat. Oder sieht er nur das FileVault Sparsebundle? (es geht nicht um mutwillige Sabotage, sondern nur um versehentliche Fehlbedienung)

Meine Empfehlung wäre: Laufwerke physisch trennen und nur dann verbinden, wenn es sein muss. In Deinem Fall bietet sich an, das System, das auch vermietet wird, auf die interne SSD zu packen und nur ggfls. eine externe SSD/USB-Stick mit privatem System zu booten.
Das ist leider im Alltag sehr unpraktisch.

Müssen es denn 2 Systeme sein, reichen nicht 2 Benutzer aus?
Leider nicht, da der Miet-User ggf Adminrechte benötigt.

Gibt es eine Möglichkeit die private Partition per FileVault zu schützen und beim booten der beruflichen Partition mit einem Startscript das private Volumen auszuwerfen?
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.412
Gibt es eine Möglichkeit die private Partition per FileVault zu schützen und beim booten der beruflichen Partition mit einem Startscript das private Volumen auszuwerfen?
FileVault ist tatsächlich noch eine gute Idee.

Du könntest sogar beide Partitionen verschlüsseln (aber nicht mit den Standardmitteln von macOS und das Gebastel ist ein wenig riskant). Das private Volumen auszuwerfen bringt nachträglich nichts, allerdings ist das auch nicht nötig. Installiere einfach das private System auf einer nicht riesigen Partition, sodass für Dein Vorhaben noch Platz bleibt. Verschlüssele es anschließend. Danach baust Du die Datenpartition. Am Ende brauchst Du nur noch das Mietsystem, das aber den Schlüssel für das Privatsystem nie bekommen darf (vor allem nicht abgespeichert).

Eine vollständige Trennung ist das dennoch nicht (wieder die Sache mit dem physischen Zugriff). Wie bereits von Dir angesprochen gibt es ja auch die Möglichkeit der Fehlbedienung. Immerhin magst Du ja auch Adminrechte geben, da könnte auch schon das Privatsystem gelöscht oder beschädigt werden. Also, so richtig empfehlenswert finde ich nur, das eigene System auf Stick zu booten. Da gibt es richtig schnelle Teile, sodass das kaum ein Nachteil wäre.
 

MacAlzenau

Golden Noble
Registriert
26.12.05
Beiträge
22.476
Handelt es sich denn um mehrere unterschiedliche Menschen als Benutzer?
Ansonsten kannst du jeden von dir eingeführten Abschottungsmechanismus natürlich auch umgehen - da stellt sich die Frage, warum du so strikt trennen möchtest.
 

MACaerer

Charlamowsky
Registriert
23.05.11
Beiträge
12.987
Da Mojave und damit APFS als Dateisystem verwendet wird funktioniert das mit verschlüsselten Volumes recht gut und zuverlässig. Man könnte also drei Volumes auf dem APFS-Container einrichten, wobei die beiden Systemvolumes verschlüsselt werden und die dritte für den gemeinsamen Zugriff nicht. Beim Start muss man dann das jeweils gewünschte System per Boot-Picker auswählen, bzw. der Mac bootet mit dem System mit dem zuletzt gestartet wurde. Beim Start muss man das jeweilige System-Volume per Passwort freischalten und den Benutzer dann anmelden. Für das andere geschützte Vliume wird dann zwar auch ein Passwort angefordert und wenn man das nicht kennt und den Dialog mit "Abbrechen" wegklickt wird dieses Volume gar nicht erst gemountet.
Eines ist aber noch wichtig: Falls man alle drei Volumes mit einem TimeMachine-Medium sichert muss selbiges unbedingt ebenfalls verschlüsselt werden. Sonst hätte man Vollzugriff auf alle drei Volumes im BackUp ohne Passwortschutz.
 
Zuletzt bearbeitet: