Zwei OSX-Partitionen und FileVault 2

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Hallo zusammen,

Frau Bananenbieger arbeitet in einem etwas konservativeren Unternehmen, hat aber mittlerweile geschafft, dass sie ein MacBook für den privaten und geschäftlichen Bereich bekommt (sie will nicht mehrere Notebooks mit sich herumschleppen), nur eine kleine Hürde muss genommen werden: Geschäftliche und private Daten müssen strikt voneinander getrennt werden.

Ich habe mich bereits ein wenig eingelesen, und es müsste möglich sein, die SSD in zwei Partitionen zu unterteilen und jeweils mit FileVault 2 zu verschlüsseln, so dass im Betrieb der Zugriff auf die jeweils andere Partition nicht möglich ist (der Wechsel zwischen geschäftlichem OSX und privaten OSX würde dann über einen Reboot vonstatten gehen).

Meine Frage in die Runde: Hat jemand das so im Einsatz und kann bestätigen, dass das so funktioniert?
 

uwe9

Gewürzluiken
Registriert
27.06.05
Beiträge
5.703
Hmmmmm, wie wäre es denn mit zwei Benutzer-Accounts, da wären die Daten doch auch getrennt.
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Das habe ich bei meinem Firmenrechner so. Bei Frau Bananenbieger muss es aber ein komplett getrenntes System sein.
 

uwe9

Gewürzluiken
Registriert
27.06.05
Beiträge
5.703
Asü, na dann wirds so leider nichts :(
 

schlagi

Weisser Rosenapfel
Registriert
09.07.13
Beiträge
782
Bananenbieger, Du hast es sicher schon gesehen, aber die in Deinem ersten Link beschriebene Methode ist etwas anderes, als Du möchtest. Damit würdest Du aus Account 1 heraus die Platte von Account 2 verschlüsseln. Von daher würde ich Dir empfehlen, die beiden Accounts zu installieren, einzurichten, und dann erst den Berufsaccount per FileVault sein Ding verschlüsseln zu lassen; testen, ob der Privataccount noch frei zugänglich ist, dann den Privataccount verschlüsseln, jeweils für jeden Account aus seinen Systemeinstellungen heraus.

Ich habe hier eine "ähnliche" Situation, ich hatte meine Mavericks-Installation per FileVault verschlüsselt, aber die zweite Festplatte, auf der Musik und Filme liegen, umverschlüsselt gelassen. Auf diese habe ich nun in einer Testpartition Yosemite installiert. Dieses fragt mich nun beim Starten immer, ob ich die andere Platte mounten möchte, und dass ich doch bitte das Passwort eingeben soll, um sie zu entschlüsseln. Wie sich die Veranstaltung verhält, wenn ich noch Yosemite verschlüssele, habe ich ein wenig Muffe, auszuprobieren :)
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Genau, der erste Link bezieht sich auf ein etwas anderes Setup. Deswegen würde ich gerne validieren, ob das von mir angedachte Setup auch funktioniert.

Da FileVault2 ja auf einer Pro-Partitions-Basis verschlüsselt, sollte das gehen - Mir ist einzig der Aufwand, das Ganze zum Testen einzurichten etwas zu hoch.
 

schlagi

Weisser Rosenapfel
Registriert
09.07.13
Beiträge
782
Ja, es sollte... Erfordert denn die Trennung zwei voll verschlüsselte Systeme, oder reicht die Verschlüsselung des Berufsaccounts?
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Es sollen zwei vollverschlüsselte Systeme sein, damit man von der Dienst-Partition nicht einfach auf die Privat-Partition kommt. Zumal es natürlich eh bei einem vielreisenden Gerät empfehlenswert ist, alles zu verschlüsseln.
 

schlagi

Weisser Rosenapfel
Registriert
09.07.13
Beiträge
782
Ok, leuchtet ein. Ich mache hier gerade mal den Selbstversuch und lasse das Yosemite sich auch verschlüsseln; der Vorgang läuft, ich melde mich dann wieder, ob ich noch problemlos in beide Systeme komme. Bitte allerdings um Geduld, angeblich dauert die Verschlüsselung irgendwo zwischen 11 Tagen und 10 Stunden...

Zwar liegen beide Systeme bei mir dann auf getrennte Platten, aber wenn 1) beide Verschlüsselungen nebeneinander existieren, und 2) Yosemite die Teile der HDD, auf der die Partition liegt, in Ruhe lässt, dann müsste Dein Setup eigentlich wirklich klappen.

Nachtrag, da fällt mir ein, wäre es für Dich auch eine Möglichkeit, vor der Installation zwei verschlüsselte Partitionen anzulegen und in die dann eben die Systeme zu installieren? dann wüsstest Du ja genau, was wie verschlüsselt ist, und müsstest Dich nicht auf FileVault verlassen. Nagel mich nicht fest, ich meine aber, gelesen zu haben, dass man z.B. mit dem Festplattendienstprogramm auch verschlüsselte Partitionen anlegen kann, und eine Installation in diese hinein ähnlich wirkt, wie Filevault.
 
Zuletzt bearbeitet:

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Herzlichen Dank, dass Du das versuchst.

Eigentlich sollte man auf beide Partitionen jeweils ein OSX installieren können, welches nach dem Booten sich selber verschlüsseln lassen sollte und damit auch beim Booten kein zusätzliches Kennwort für die eigene Partition erfordern sollte.
 

schlagi

Weisser Rosenapfel
Registriert
09.07.13
Beiträge
782
Ja, sollte gehen. Melde mich, wenn die Arie durch ist.
 

schlagi

Weisser Rosenapfel
Registriert
09.07.13
Beiträge
782
So, verschlüsseln ist durchgelaufen. Bin gerade am Testen; in die produktive Mavericks-Installation konnte ich schonmal wieder booten. Beim Start werde ich um das Passwort der anderen Partition gebeten, damit auf diese zugegriffen werden kann. Klicke ich auf Abbrechen, erscheint die andere Partition nicht im Finder, und im Festplattendienstprogramm sieht es so aus:

Bildschirmfoto 2014-08-05 um 12.14.19.png
wobei SSD meine Mavericks-Systemplatte ist, DatenHD das Datengrab und YosemiteTest die Testpartition; letztere liegen beide auf einer HDD, wobei die Partition "DatenHD von der Verschlüsselung der auf der gleichen Platte liegenden Yosemite-Partition unbeeindruckt blieb. Soweit scheint also alles zu klappen...
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Cool, danke für die Info. Die Passworteingabe müsste man eigentlich dadurch umgehen können, dass man das Mounten der entsprechenden Partition verhindert (bin mir aber nicht mehr sicher, wie das geht. fstab funktioniert ja nicht mehr)


Ich habe jetzt eine Platte gefunden, auf der ich es auch mal ausprobieren kann (allerdings erst morgen...)
 

schlagi

Weisser Rosenapfel
Registriert
09.07.13
Beiträge
782
Und, der Vollständigkeit halber, die andere Partition startet such wie gewohnt. Gibt man nach dem Start das jeweilige Passwort der anderen Partition nicht ein, bleibt diese verschlüsselt und gesperrt.

Ich weiß nicht, ob man die Abfrage wirklich "töten" kann. Ich werde es nicht tun, da ich hin und wieder mal "über den Zaun" schauen will, aber bei Deiner Situation macht das natürlich Sinn.
 

MacAlzenau

Golden Noble
Registriert
26.12.05
Beiträge
22.478
Bin ich da etwas doof, oder halten auch kompetente Leute die Forderung nach einer eigenen Partition, einem extra System für ein Zeichen, daß die dortige IT-Abteilung nicht so wirklich toll kompetent ist? Ein wechselseitiger Zugriff privat/beruflich ist doch auch bei verschlüsselten Partitionen machbar, da nimmt man halt einen Stick oder eine dritte Partition oder das Netz.
 

schlagi

Weisser Rosenapfel
Registriert
09.07.13
Beiträge
782
Ein wechselseitiger Zugriff privat/beruflich ist doch auch bei verschlüsselten Partitionen machbar, da nimmt man halt einen Stick oder eine dritte Partition oder das Netz.
bzw. da beides Deine Partitionen sind, einfach das PW, falls Du meinst, man kann problemlos Daten aus der Einen in die Andere kopieren...

Aber solange Du immer eine Partition verschlüsselt lässt, kann, selbst unterstellt, etwas übernähme das System auf der einen Partition, nicht ohne weiteres auf die andere zugegriffen werden. Ich denke, das ist eher unter dem Aspekt "Trojanerschutz" bzw. Abschottung gegen Schädlinge zu sehen. Ich glaube nicht, dass die Idee "Schutz vor Datendiebstahl" da an erster Stelle steht. Wobei ich auch nicht weiß, ob der "Overkill" wirklich sinnvoll ist.