Öffentlich zugänglicher Hackintosh / FileVault / BIOS PW

  • Hallo,


    ich habe einen Rechner, welcher in einem Arbeitsraum der Uni stehen soll. An sich ist es nach wie vor mein Rechner, steht aber "relativ" öffentlich zugänglich im studentischen Arbeitsbereich. Zugangsberechtigt sind ca. 10-15 Leute, wovon die meisten eh keine Ahnung von Computern oder gar Hackintoshs haben.


    Trotzdem kann man sich ja nie wirklich sicher sein. Jetzt stellt sich deshalb trotzdem die Frage, wie ich meinen Rechner dort am besten sichere, damit nicht jemand die Entwürfe/Pläne für die Module im Studium stibitzen kann.


    Mögliche Wege, die ich mir überlegt habe:

    • FileVault
    • BIOS Passwort für den Bootvorgang setzen
    • Clover auf USB Stick, statt HDD


    Am besten natürlich eine Kombination.


    FileVault zum Verschlüsseln der Festplatteninhalte. Klappt das inzwischen mit Clover? Dort habe ich leider ein Fusion Drive erstellt. Macht das Probleme?


    BIOS Passwort fand ich eine gute Alternative zum Clover USB-Stick, da so auf jeden Fall niemand in die Settings kommt um dort rumzuspielen. Ohne Clover wäre auch kein Boot auf Mac Seite möglich.


    Ärgerlich wäre natürlich, wenn jemand an die normalen Festplatteninhalte kommt, oder die Festplatten mitnimmt. Andererseits ist es als Fusion Drive ja mittelmäßig kompliziert eine einzelne Festplatte irgendwie auszulesen, oder?
    Ansonsten ist nur eine weitere TM HDD eingebaut.


    Ansonsten: Was wären eure Ideen zum obigen Problem? Wie würdet ihr das System sichern? :)


    Viele Grüße


    P.S.:
    Es handelt sich um einen Optiplex 780 (Q9400, 4GB, Nvidia GT710).

    System 1: Skylake System, GIGABYTE Z170X-Designare, Intel i7 6700K, NVIDIA GTX 980 Ti, 2x 16GB Vengeance Corsair, BCM943602CS

  • Da ich selbst nach Lösungen suche, schriebe ich hier mal mit. Da die Daten ohne Verschlüsselung frei zugänglich sind, bleibt m.E. nur FileVault.


    Wie weit bist du mit dem Projekt gekommen?

    Grüße

    Arkturus

    "Ein Hackintosh ist wie ein Garten - es gibt immer was zu tun"

  • Da ich exakt dasselbe Problem vor einiger Zeit zu lösen hatte, hier mein Ansatz, um die Daten vor fremdem Zugriff zu schützen und gleichzeitig zu backuppen:


    - FileVault (zwingend, alles andere ist nur Kosmetik)
    - Carbon Copy Cloner, um die Daten für mich wöchentlich auf eine zweite SSD im Gerät spiegeln zu lassen
    - Github (Education mit edu Adresse liefert gratis Account!), um Source Code räumlich getrennt zu sichern
    - Windows 10 Lizenz von Dreamspark (legal von Uni) auf einen USB Stick mit extra Clover, diesen Stick beim Verlassen des Arbeitsplatzes immer angesteckt haben, die Bootreihenfolge im UEFI ändern auf "USB" zuerst, sodass ein böser Bub erstmal naiv in Windows hineinbootet und damit an meinem Hackintosh System vorbei. (Dieser Punkt ist zugegeben aber eher Kosmetik und zur eigenen Beruhigung und hält keiner echten technischen Penetration stand).
    - TimeMachine Backups für inkrementelle Änderungen, um schnell und bequem Dateien zurückzuholen von einer weiteren Backup SSD.

  • Kann Clover inzwischen FileVault booten?


    Bei der HS-INstalltion gibt es im Clover Boot-Menü den Eintrag Boot "FileVault Prebooter from Preboot" . Wäre dieser der Zugang zum verschlüsseltem Hackintosh?

    Bilder

    Grüße

    Arkturus

    "Ein Hackintosh ist wie ein Garten - es gibt immer was zu tun"

  • ich habe es inzwischen realisiert und HS auf einer verschlüsselten Partition mit APFS installiert. Hat vollkommen unspektakulär funktioniert. Allerdings hat das Festplattendienstprogramm us-tastaturlayout und die Passphrase wird später im deutschen abgefragt. Das sollte man Bedenken. Es wird nur noch "FileVault Prebooter from Preboot" angezeigt, ohne den Zusatz mit dem Namen der Partition. Clover findet die Partition auch nicht zum automatischen Booten. Schade.


    PS: Startvolumes auswählen hat das Problem gelöst. Also doch alles perfect :thumbup:

    Grüße

    Arkturus

    "Ein Hackintosh ist wie ein Garten - es gibt immer was zu tun"

  • setz einfach Bios boot Passwort und gut ist

    System: Mac mini 5.1


    System: MacBookPro 13.1 T460s

    Ein Like ist ein Zeichen des Respekts gegenüber dem Helfenden

  • ich möchte kein Threadhacking betreiben, schreibe hier aber mal solange mir das nicht vorgeworfen wird ;)


    Startvolume auswählen hält nur einen Reboot, dass finden Clover das verschlüsselte MacOS nicht mehr.


    @ Ka209, Bios boot Passwort als Sicherhneitsmaßnahme anstelle FileVault?

    Grüße

    Arkturus

    "Ein Hackintosh ist wie ein Garten - es gibt immer was zu tun"

  • Genau so. BIOS mit Passwort schützen und die Festplatte oder SSD mit dem BIOS HDD Passwort. Damit entfällt die aufwendige Verschlüsselung der Festplatte außer natürlich du brauchst einen Hochsicherheitslaptop. :)

  • Die Festplatte eines Mac steht ohne Verschlüsselung offen wie ein Scheunentor, daran ändert ein Bios-Passwort nichts.

    Grüße

    Arkturus

    "Ein Hackintosh ist wie ein Garten - es gibt immer was zu tun"

  • Ich meinte auch das HDD-Bios Passwort.


    Ist schon etwas älter der Artikel, aber passt immer noch.
    https://www.computerwissen.de/…te-per-bios-passwort.html

  • Und wenn ich diese Kriminelle Energie voraussetze das ein Bios Boot Passwort nicht ausreichen tut so das jeder alles an jedem computer aus und einbauen kann wie und wann er möchte in der UNI würde ich eh kein Rechner da hinstellen.


    Gesunden Mass an Paranoia ist gut aber nicht übertreiben ....
    Wichtig ist es eben das man den direkten zugan verwehrt und dis tust du mit Boot Passwort und USER Password in Kombi.


    Wenn ich nicht möchte und soviel angst habe, würde ich ein Portables gerät nutzen was ich immer mitnehmen kann. Falls ein großes Display dringend von Nöten ist kann man auch mit Docking Stationen arbeiten und hat das Große Display / Monitor Stationär

    System: Mac mini 5.1


    System: MacBookPro 13.1 T460s

    Ein Like ist ein Zeichen des Respekts gegenüber dem Helfenden

  • Zusätzlich das HD-Password im BIOS gesetzt ist sehr sicher.
    Hatte mal eine SSD bei mir welche über das Passwort gesperrt war. Ich habe keine Möglichkeit gefunden ohne das Passwort an die Daten zu kommen. Das einzige was ging war komplettes zurücksetzen der SSD über ein Tool das nicht jeder hat. Das hatte dann zur Folge das alle Daten auf der SSD gelöscht waren.


    Knacken des BIOS Passwort hilft da auch nicht weiter um an die Daten ranzukommen.

  • also ein HD-Passwort über das BIOS hat m.E. seine Wirkung, solange die HD in dem Rechner eingebaut ist. Wenn ich die Platte ausbaue und extern darauf zugreife, dürfen die Daten wohl offen liegen. Festplatten mit eigenem Passwortschutz kenne ich z.B. WD My Passport.
    Meine Paranoia resultiert aus einem Diebstahl-Einbruch in unserem Eigenheim. Der Rechner wurde damals stehen gelassen, vermutlich weil er komplett offensten und aussah wie Schrott. Danach habe ich alle persönlichen Daten mit luks verschlüsselt, sowohl auf dem Desktop als auch das Backup.


    Wie ich das jetzt sehe, kann ich das mit FileVault formatierte System nicht automatisch mit Clover booten. Die Systempartition ist bis zur Entschlüsselung versteckt und ich muss über Preboot FileVault boot preboot das System hochfahren. Ausnahme ist, wenn ich zuvor über Systemeinstellungen/Startvolume die verschlüsselte Systempartition auswähle. Dann zeigt sie sich Clover - nur einmal booten und sie ist wieder versteckt. Gibt es dazu einen Workarround?


    Alternativ sehe ich einfach das System unverschlüsselt zu lassen, und Datenpartitionen- bzw. -Container zu verschlüsseln.


    PS: Wenn ich Startvolume auswähle, dann wird nicht die Systempartition sichtbar, sonder die Clover Vorauswahl steht richtig auf "Boot FileVault Prebooter from Preboot"
    Nach dem nächsten Reboot steht die Vorauswahl ganz links, in diesem Fall eine Installation von EC.


    Wie kann ich erreichen, dass die Vorauswahl auf dem "Boot FileVault Prebooter from Preboot" zum verschlüsselten System stehen bleibt"

    Grüße

    Arkturus

    "Ein Hackintosh ist wie ein Garten - es gibt immer was zu tun"

    Einmal editiert, zuletzt von Arkturus ()


  • So sieht es bei mir an der HS aus.
    Installiert ist ein Basis-System Benutzeranmeldung über LDAP
    Der Home Ordner wird per Netzwerk eingebunden.


    Ich würde keinen privaten Rechner an die Hochschule stellen wenn er in einem öffentlich zugänglichen Raum steht. Früher oder später kommt der weg.
    Vor allem auch Haftungstechnisch ist es bedenklich.
    Ich würde mir den Schuh nicht anziehen.

    Macbook Pro Retina 2015 + 16GB ram 1TBGB ssd AMD Radeon R9 M370X 2048 MB  OSX 10.14.6)
    GA-Z77 DS3H + i7 3770 + 24GB RAM, RX580 8GB,240GB evo960 NMVe, TP-Link T8E (AC Wlan) + Bluetooth usbstick OSX 10.14.6 OC(on stick)


  • btw: via USB kann man bei Hardware-Zugriff leicht einen KeyLogger anschließen. Sollte man auch beachten...


    Aber letztendlich hat Moorviper Recht, private Geräte gehören da nicht hin. Gibts eine BYOD Regelung?

  • @chmeseb,
    da liegst du falsch. Der Schutz ist nich im BIOS gespeichert sonder auf der HDD oder SSD und hat auch nach Ausbau bestand.
    Die Elektronik der Platte verweigert den Zugang. Genau das war ja mein Problem mit der SSD, die war nicht von meinem Laptop.


    http://thinkwiki.de/HDD_Passwort_zur%C3%BCcksetzen

  • @Moorviper
    Ein sehr hübsches Bild, by the way... :D

    Gruß
    Al6042

    Keine Unterstützung per PN oder Pinnwand... Eure Anfragen gehören ins Forum, nicht in mein Postfach!

  • Oder einfach das ganze System oder auch nur den persönlichen teil auf einen usb Datenträger.
    mobile m2 ssd usw sind auch nicht mehr teuer bzw. hat jeder schon zuhause

    System: Mac mini 5.1


    System: MacBookPro 13.1 T460s

    Ein Like ist ein Zeichen des Respekts gegenüber dem Helfenden