Sicherheit bei zweitem Betriebssystem auf externer Festplatte

[Walaomeron]

Hallo zusammen,

ich musste aktuell wieder mein MacBook durch ein BackUp neu aufsetzten, weil ich ein testweise ein Programm installiert hatte, was mir leider ein paar Anwendungen zerschossen hat.

Da ich zu blöd bin, um die Sandbox beim Mac zu nutzen habe ich überlegt, mit welcher Option ich an den problemlosesten Daten / Programme downloaden und testen kann, ohne dass es in Problemen für mein MacBook resultiert (bspw. Viren und Co.). Zunächst habe ich an eine Virtual Machine gedacht, auf der ich mir ein weiteres macOS simuliere, um dort entsprechende Test zu machen und „sicher zu surfe“.

Jedoch ist mir jetzt die Idee gekommen, ein zweites Betriebssystem auf einer leeren externen SSD Platte zu installieren und diese dann bei Bedarf zu booten, um die etwaigen Tests durchzuführen. Dort könnte ich dann einfach die Festplatte bei Bedarf neu formatieren und könnte gefahrlos downloaden und co. Die heruntergeladenen Daten würde ich dann mittels USB-Stick von diesem Betriebssystem auf meine „Hauptplatte“ übertragen.

Meine interne Platte ist leider zu klein zum partitionieren.

Nun zu meinen Fragen:

• Wäre dies überhaupt die einfachste Lösung und würde das so funktionieren, wie ich mir das vorgestellt habe?
• Könnten Viren und Co. trotzdem auf meine verbaute SSD Zugriff haben (die Platte, wo mein „Hauptbetriebssystem“ installiert ist) oder wäre dies eine wirkliche sichere Variante um Programme testweise zu installieren und Daten aus dem Internet herunterzuladen?

Würde mich über eine Antwort sehr freuen, kenne mich auf dem Feld leider nicht aus und konnte diesbezüglich im Internet nichts finden.

 

[lisanet]

... solltest du ein aktuelles OS haben, also Big Sur, Catalina oder Monterey, kannst du vor dem Installieren und Testen einen snapshot des Systems machen, dann deine zu testenden Programme installieren und nach Herzenslust rum wurschteln.

Wenn es nicht klappt oder du etwas zerschießt, bootest du in die Recovery, wählst die Wiederherstellung von TimeMachine (ja das ist auch für snapshots), wählst als Wiederherstellungs-Quelle die lokale Platte und wählst dort deinen erstellten snapshot.

Das Wiederherstellen (und auch das Erstellen der snapshots) geht faktisch sofort. Danach hast du ein absolut identisches System wie zum Zeitpuntk des snapshots und alle deine Missetaten mit dem Testen sind weg. Die snapshots werden aber bei einem Systemupdate gelöscht, also nicht ewig testen.

Sollten deine Test-Orgien erfolgreich verlaufen, bietet es sich an, den snapshot zu löschen, da du sonst mit der Zeit Platzmangel auf deiner Platte kriegst.

Das ist einer der extrem guten Vorteile von APFS und haushoch allen anderen Varianten (wie sie du z.B. erwähnt hast) überlegen.

 

[Walaomeron]

Hallo Ilsanet,

vielen Dank für die schnelle Antwort! Dann muss ich mich da noch mal einlesen, ich musste das Betriebssystem neu installieren, um mein letztes Time Machine Backup verwenden zu können und das frisst einfach viele Stunden

Aber rein aus Interesse, könnten Viren o.ä. von einem Betriebssystem auf einer externen Platte auch Zugriff auf das Betriebssystem der internen (nicht genutzten) Platte haben?

PS: Ich verwende das aktuellste MacOS Mojave

 

[lisanet]

Aber rein aus Interesse, könnten Viren o.ä. von einem Betriebssystem auf einer externen Platte auch Zugriff auf das Betriebssystem der internen (nicht genutzten) Platte haben?

PS: Ich verwende das aktuellste MacOS Mojave

... jedes Programm kann auf andere Datenträger zugreifen, die vom System aus erreichbar sind, und das ist ein deinem Fall auch das nicht gebootete OS. Allerdings gibt es keine Viren für macOs. Vielleicht Malware, aber die installiert man sich selber, wenn man alles testet "was nicht bei drei auf dem Baum ist".

Mojave (3 Versionen älter als das aktuelle Monterey) ist uralt und wird nicht mehr unterstützt. Aktuell ist Monterey = macOS 12

Edit:

Keine Ahnung, warum immer so viel von "Viren" gesprochen wird. Das ist seit langen, langen Jahren nicht mehr das Bedrohungsszenario. Auf dem Mac schon gleich gar nicht. Noch nicht mal unter Windows. Das sind Trojaner, also Programme, die vorgeben was anders zu tun als sie tatsächlich machen, Malware, die einfach mitinstalliert wird mit anderen Programmen und, Makros in modifizierten Office-Dateien und, echt sehr bedrohend, drive-by-Angriffe, die durch einen _alten_ und/oder _ungepachtem_ Webbrowser möglich werden, allein dadurch, dass du eine präparierte Webseiten / Werbebanner aufrufst. Auch Dienste, die vom Internet aus auf dem Rechner erreichbar sind, sind ein Risiko. "Viren" faktisch nicht mehr.

 

[Walaomeron]

Mojave (3 Versionen älter als das aktuelle Monterey) ist uralt und wird nicht mehr unterstützt. Aktuell ist Monterey = macOS 12

Sorry, mein Hirn hat anscheinend schon geschlafen, meine natürlich Monterey.

Danke für die Ausführung und deine Geduld! <3

Wäre es denn möglich die interne Platte zu deaktivieren, bzw. so zu modifizieren, dass nur dann auf sie zugegriffen werden kann, wenn von dieser das System gebootet wird?

Die von dir anfänglich beschriebene Option hört sich zwar praktikabel an, jedoch wäre es mir am liebsten, wenn ich einen "Ort" hätte der abseits von meinem eigentlichen System ist, in welchem ich frei operieren kann, ohne jegliches Risiko einzugehen.
(also bspw. wie wenn ich einen gesonderten Mac hätte)

 

[lisanet]

Wäre es denn möglich die interne Platte zu deaktivieren, bzw. so zu modifizieren, dass nur dann auf sie zugegriffen werden kann, wenn von dieser das System gebootet wird?

... dann musst du die fstab des anderen System so manuell modifizieren, dass die Platten des anderen OS nicht automatisch gemountet werden. Ob man dabei dann bei Monterey den APFS-Container heran nehmen muss oder die Systempartion und ggf. Datenpartition kann ich dir nicht sagen, da ich es auf Monterey noch nie probiert habe. Aber du kannst ja mal selbst einwenig experimentieren. Falls du es tust, nimm die UUID der Platte / Containers, nicht das Label.

Doch das alles verhindert eben nur, dass das andere System nicht automatisch gemountet wird. Gegen bösartige Software muss das aber nicht unbedingt helfen, da ich ja problemlos alle am System angeschlossenen Platten abfragen kann und die dann auch z.B. löschen kann. Bei nicht gemounteten Platten geht das auch sogar besonders einfach.

Insoweit also: Minimal besserer Schutz mit modifizierter fstab.

Wenn du nicht weißt, von was ich rede, lass es sein.

Ich verstehe aber eh nicht, warum man das beste Feature names APFS-Snaphots für Software-Testinstallationen nicht nutzt. Und, wenn du tatsächlich längere Zeit testet, wäre ein zweiter Rechner immer besser als alles auf dem einzigen Produktivsystem zu machen.

Wenn du nun sagst, "ach so sicher wie mit einem separaten Rechner brauche ich auch nicht, und fstab ist mir zu aufwendig" dann mache es halt weiter so wie angedacht. Alles auf eine externe Platte und unterschiedlich booten. Jedem sein Himmelreich.

 

[Walaomeron]

... dann musst du die fstab des anderen System so manuell modifizieren, dass die Platten des anderen OS nicht automatisch gemountet werden. Ob man dabei dann bei Monterey den APFS-Container heran nehmen muss oder die Systempartion und ggf. Datenpartition kann ich dir nicht sagen, da ich es auf Monterey noch nie probiert habe. Aber du kannst ja mal selbst einwenig experimentieren. Falls du es tust, nimm die UUID der Platte / Containers, nicht das Label.

Doch das alles verhindert eben nur, dass das andere System nicht automatisch gemountet wird. Gegen bösartige Software muss das aber nicht unbedingt helfen, da ich ja problemlos alle am System angeschlossenen Platten abfragen kann und die dann auch z.B. löschen kann. Bei nicht gemounteten Platten geht das auch sogar besonders einfach.

Insoweit also: Minimal besserer Schutz mit modifizierter fstab.

Wenn du nicht weißt, von was ich rede, lass es sein.

Ich verstehe aber eh nicht, warum man das beste Feature names APFS-Snaphots für Software-Testinstallationen nicht nutzt. Und, wenn du tatsächlich längere Zeit testet, wäre ein zweiter Rechner immer besser als alles auf dem einzigen Produktivsystem zu machen.

Wenn du nun sagst, "ach so sicher wie mit einem separaten Rechner brauche ich auch nicht, und fstab ist mir zu aufwendig" dann mache es halt weiter so wie angedacht. Alles auf eine externe Platte und unterschiedlich booten. Jedem sein Himmelreich.

Du hast mir auf jeden Fall schon eimal sehr weitergeholfen!

Dann führt langfristig leider kein Weg an einer Investition an einem zweiten Mac vorbei, insbesondere im Hinblick darauf: "Und, wenn du tatsächlich längere Zeit testet, wäre ein zweiter Rechner immer besser als alles auf dem einzigen Produktivsystem zu machen"

Vielen Dank, dass du dir Zeit genommen und meine Fragen beantwortet hast!

 

[oneOeight]

Mit APFS geht fstab nicht.

 

[lisanet]

Mit APFS geht fstab nicht.

Danke für den Hinweis. Ich habe es, wie beschrieben, auch noch nie darunter getestet.

 

[oneOeight]

Danke für den Hinweis. Ich habe es, wie beschrieben, auch noch nie darunter getestet.

Hab gerade noch mal gesucht, es geht wohl mit unverschlüsselten APFS bei Catalina und mit verschlüsselt ab Big Sur 11.1.
Auch nicht selbst probiert, bin noch auf Mojave.

 

[win2mac]

Eine Möglichkeit wäre noch FileVault für die interne zu verwenden. Wenn Du dann von dem ext. System bootest ist der Zugriff auf die interne Platte nur möglich, wenn Du das Passwort eingibst. So hab ich das auf einem alten Mini gemacht.

 

[Walaomeron]

Eine Möglichkeit wäre noch FileVault für die interne zu verwenden. Wenn Du dann von dem ext. System bootest ist der Zugriff auf die interne Platte nur möglich, wenn Du das Passwort eingibst. So hab ich das auf einem alten Mini gemacht.

Vielen Dank für den Tipp, das wäre natürlich eine sehr einfache Lösung für mein Problem!