macOS como invitado y en el host

Quiero instalar macOS High Sierra como invitado con macOS en el host, pero quiero saber qué software de virtualización, VirtualBox o VMware, ofrece las mejores opciones de seguridad entre el invitado y el host.

Por ejemplo, me gustaría crear varias VM con su propia contraseña de arranque/firmware cifrada en disco (filevault) o cualquier otro mecanismo de Invitado implementado de manera que cuando la VM esté inactiva, el host solo pueda eliminar la VM, pero de ninguna otra manera. podría ver el contenido del disco además de forzarlo bruscamente desde la consola host.

El acceso a la VM invitada puede ser a través de VNC/escritorio remoto/ssh, pero están en un entorno compartido (rack con múltiples mac minis) en el que se requiere seguridad adicional al menos cuando las VM están inactivas, ya que una vez que UP podría ser muy fácil desde el HOST se conecta a la consola.

No estoy seguro de lo que está preguntando aquí... Tanto VB como VMware le permiten cifrar sus máquinas virtuales. macOS le permitirá cifrar el sistema de archivos del disco (en este caso, virtual) desde el que arranca. VB es bastante bueno al permitir que las máquinas virtuales del usuario solo las inicie el usuario (no puedo hablar con VMware; no lo uso lo suficiente). Dicho esto, tampoco veo el beneficio de usar un sistema operativo centrado en GUI como invitado en un sistema operativo centrado en GUI en un entorno compartido (alojado). ¿Qué es exactamente lo que estás buscando hacer?
Básicamente, me gustaría evitar que los administradores que administran el Host inicien una VM y extraigan contenido de ella. Sé que podrían iniciarla preguntándose si hay una solicitud de contraseña o algo para asegurar más esto además de la configuración del invitado.
esta podría ser una buena lectura: virtualbox.org/manual/ch13.html
No está del todo claro cuál es su modelo de amenaza real, pero eliminé las preguntas secundarias y respondí la pregunta principal directamente. Siéntase libre de hacer una pregunta de seguimiento, enlazando aquí y @ mí en los comentarios a mi respuesta si desea ayuda con la edición / enlace.

Respuestas (2)

Esto sería trivial con cualquier software de VM sugerido.

Cree una imagen de disco dispersa cifrada lo suficientemente grande como para albergar el almacenamiento invitado y luego construya su máquina virtual una vez que haya montado la imagen de disco segura.

Al controlar la frase de contraseña de cifrado de esa tienda, otros administradores solo pueden eliminar el contenedor, no montarlo ni leerlo.

No pensé en esto, pero parece ser una buena solución :-)
¿Cuál es la principal diferencia entre usar un disco disperso o una imagen de disco de lectura/escritura que podría funcionar?
@nbari Esa sería una buena pregunta por derecho propio. A ver si alguien lo ha preguntado. en lo que respecta a TM, diferencia cero.

Estoy de acuerdo con la respuesta de @bmike e iba a comentar más arriba, pero no tengo suficientes puntos de reputación.

Mi configuración es:

  • Sistema de archivos APFS en el host.
  • Imagen .sparsebundle cifrada para cada máquina virtual invitada.
  • TimeMachine (y/o Arq u otro mecanismo de respaldo) configurado para respaldar solo el paquete disperso desmontado .

Desea paquetes dispersos porque en realidad consisten en pequeñas bandas de datos de 8 MB, en lugar de un solo archivo enorme para toda la imagen del disco. Esto significa que la copia de seguridad tardará mucho menos, ya que solo se realizará una copia de seguridad de las bandas modificadas, en lugar de realizar una copia de seguridad de la imagen de disco completa cada vez que se ejecute la copia de seguridad.

Desea APFS porque eso le brinda la capacidad de crear rápidamente instantáneas e incluso clones, sin ocupar espacio adicional en el disco (hasta que las cosas comiencen a cambiar).

Desea evitar realizar una copia de seguridad de los paquetes dispersos montados; de lo contrario, perderá toda la ventaja discutida anteriormente de tener la máquina virtual dividida en pequeñas bandas cifradas.

macOS como invitado y en el host
RespuestasAquíPolítica de privacidad1y, 0v