Mac OS X 10.11 El Capitan chrání systémové soubory a procesy pomocí nové funkce s názvem System Integrity Protection. SIP je funkce na úrovni jádra, která omezuje to, co může účet „root“ dělat.
Toto je skvělá bezpečnostní funkce a téměř všichni - dokonce i „pokročilí uživatelé“ a vývojáři - by ji měli nechat povolenou. Pokud ale opravdu potřebujete upravit systémové soubory, můžete to obejít.
Co je ochrana integrity systému?
PŘÍBUZNÝ: Co je Unix a proč na něm záleží?
V systému Mac OS X a dalších Operační systémy podobné systému UNIX , včetně Linuxu, existuje účet „root“, který má tradičně plný přístup k celému operačnímu systému. Stát se uživatelem root - nebo získat oprávnění root - vám umožní přístup k celému operačnímu systému a možnost upravovat a mazat libovolný soubor. Malware, který získává oprávnění uživatele root, může tato oprávnění použít k poškození a infikování souborů operačního systému nízké úrovně.
Zadejte své heslo do dialogového okna zabezpečení a udělili jste oprávnění root aplikace. To tradičně umožňuje dělat cokoli s vaším operačním systémem, ačkoli si to mnoho uživatelů Mac možná neuvědomilo.
Ochrana integrity systému - známá také jako „rootless“ - funguje omezením účtu root. Samotné jádro operačního systému kontroluje přístup uživatele root a neumožňuje mu provádět určité věci, například upravovat chráněná místa nebo vkládat kód do chráněných systémových procesů. Všechna rozšíření jádra musí být podepsána a nemůžete deaktivovat ochranu integrity systému přímo v systému Mac OS X. Aplikace se zvýšeným oprávněním root již nemohou manipulovat se systémovými soubory.
Pravděpodobně si toho všimnete, pokud se pokusíte zapsat do jednoho z následujících adresářů:
- /Systém
- / hod
- / usr
- / sbin
OS X to prostě nepovolí a zobrazí se zpráva „Provoz není povolen“. OS X vám také nedovolí připojit jiné umístění přes jeden z těchto chráněných adresářů, takže to není možné obejít.
Úplný seznam chráněných míst najdete na /System/Library/Sandbox/rootless.conf na vašem Macu. Zahrnuje soubory jako aplikace Mail.app a Chess.app, které jsou součástí systému Mac OS X, takže je nemůžete odstranit - ani z příkazového řádku jako uživatel root. To také znamená, že malware tyto aplikace nemůže upravovat a infikovat.
Ne náhodou „ opravit oprávnění disku ”Možnost v Disk Utility - dlouho používané pro řešení různých problémů s Mac - nyní bylo odstraněno. Ochrana integrity systému by každopádně měla zabránit manipulaci s rozhodujícími oprávněními k souborům. Disk Utility byl přepracován a stále má možnost „First Aid“ pro opravu chyb, ale neobsahuje žádný způsob opravy oprávnění.
Jak zakázat ochranu integrity systému
Varování : Nedělejte to, pokud k tomu nemáte velmi dobrý důvod a nevíte přesně, co děláte! Většina uživatelů nebude muset toto nastavení zabezpečení deaktivovat. Účelem není zabránit vám v hraní se systémem - má to zabránit malwaru a jiným špatně chovaným programům v nepořádku se systémem. Některé nástroje nízké úrovně však mohou fungovat, pouze pokud mají neomezený přístup.
PŘÍBUZNÝ: 8 funkcí systému Mac, ke kterým máte přístup v režimu obnovení
Nastavení ochrany integrity systému není uloženo v samotném systému Mac OS X. Místo toho je uložen v NVRAM na každém jednotlivém počítači Mac. Lze jej upravit pouze z prostředí pro obnovení.
Na spustit do režimu obnovení , restartujte Mac a při spouštění podržte Command + R. Vstupíte do prostředí pro obnovení. Klikněte na nabídku „Nástroje“ a vyberte „Terminál“. Otevře se okno terminálu.
Do terminálu zadejte následující příkaz a stisknutím klávesy Enter zkontrolujte stav:
stav csrutil
Uvidíte, zda je ochrana integrity systému povolena či nikoli.
Chcete-li deaktivovat ochranu integrity systému, spusťte následující příkaz:
csrutil deaktivovat
Pokud se rozhodnete, že chcete SIP povolit později, vraťte se do prostředí pro obnovení a spusťte následující příkaz:
csrutil povolit
Restartujte Mac a nové nastavení ochrany integrity systému se projeví. Uživatel root bude mít nyní úplný a neomezený přístup k celému operačnímu systému a ke každému souboru.
Pokud jste dříve měli soubory uložené v těchto chráněných adresářích před upgradem počítače Mac na OS X 10.11 El Capitan, nebyly odstraněny. Najdete je přesunuté do adresáře / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na vašem počítači Mac.
Kredit obrázku: Shinjion Fickr
