¿Cómo evitar que un volumen APFS cifrado se monte automáticamente?

De hecho es así, incluso en Mojave (Beta 2).

Tengo una solución que es todo un truco pero funciona. Consiste en crear un login script que desmonte el disco usando diskutil después de un retraso.

Crear login script

Ponerlo en la carpeta de inicio para simplificar

nano ~/unmountDisk.sh

ponga lo siguiente (sustituya Macintosh\ HD con el nombre del disco que quieres desmontar, si es necesario)

#!/bin/bash
sleep 20  # don't do it immediately, wait until it is mounted
diskutil unmount Macintosh\ HD

guardar (ctrl-x y luego y, enter). A continuación, hacer ejecutable

chmod a+x ~/unmountDisk.sh

Crear el agente launchd

nano ~/Library/LaunchAgents/my.username.unmountDisk.plist

ponga lo siguiente (nota: sustituya username con su nombre de usuario, especialmente después de /Users/ )

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>my.username.unmountDisk</string>
    <key>ProgramArguments</key>
    <array><string>/Users/username/unmountDisk.sh</string></array>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>

Por último, habilitarlo

launchctl load ~/Library/LaunchAgents/my.username.unmountDisk.plist

Esto debería hacer que el disco se desmontara automáticamente poco después del inicio de sesión. Si no funciona, tal vez aumentar el retardo (era 20 segundos en el ejemplo). Puedes comprobar si funciona abriendo el Finder inmediatamente después de iniciar la sesión; deberías ver que el disco se desmonta solo después de unos segundos.

Hacer sólo lectura de disco

También me he dado cuenta de que fstab puede hacer que el disco sea de sólo lectura (también se podría hacer, por seguridad).

sudo vifs

y a continuación pulse G o y pegar

LABEL=Macintosh\040HD none apfs ro