כיצד להשבית את הגנת שלמות המערכת ב- Mac (ומדוע לא כדאי לך)

Mac OS X 10.11 El Capitan מגן על קבצי מערכת ותהליכים בעזרת תכונה חדשה בשם System Integrity Protection. SIP היא תכונה ברמת הליבה המגבילה את מה שחשבון "השורש" יכול לעשות.

זוהי תכונת אבטחה נהדרת, וכמעט כולם - אפילו "משתמשי כוח" ומפתחים - צריכים להשאיר אותה מופעלת. אבל אם אתה באמת צריך לשנות קבצי מערכת, אתה יכול לעקוף את זה.

מהי הגנת שלמות המערכת?

קָשׁוּר: מה זה יוניקס, ולמה זה משנה?

ב- Mac OS X ואחרים מערכות הפעלה דומות ל- UNIX , כולל לינוקס, יש חשבון "שורש" שבאופן מסורתי יש לו גישה מלאה לכל מערכת ההפעלה. הפיכת המשתמש לשורש - או השגת הרשאות שורש - מעניקה לך גישה לכל מערכת ההפעלה ואת היכולת לשנות ולמחוק כל קובץ. תוכנות זדוניות שצוברות הרשאות שורש עשויות להשתמש בהרשאות אלה כדי לפגוע ולהדביק את קבצי מערכת ההפעלה ברמה נמוכה.

הקלד את הסיסמה שלך בתיבת דו-שיח אבטחה והענקת הרשאות שורש היישום. באופן מסורתי זה מאפשר לו לעשות הכל למערכת ההפעלה שלך, אם כי משתמשי מק רבים רבים אולי לא הבינו זאת.

הגנת שלמות המערכת - המכונה גם "ללא שורש" - מתפקדת על ידי הגבלת חשבון השורש. ליבת מערכת ההפעלה עצמה בודקת את הגישה של משתמש השורש ולא תאפשר לו לעשות דברים מסוימים, כגון שינוי מיקומים מוגנים או הזרקת קוד לתהליכי מערכת מוגנים. יש לחתום על כל סיומות הליבה ולא ניתן להשבית את הגנת שלמות המערכת מתוך Mac OS X עצמו. יישומים עם הרשאות שורש גבוהות כבר לא יכולים להתעסק בקבצי מערכת.

סביר להניח שתבחין בכך אם תנסה לכתוב לאחת מהספריות הבאות:

• /מערכת
• / am
• / usr
• / sbin

OS X פשוט לא יאפשר זאת ותראה הודעת "פעולה אסורה". OS X גם לא יאפשר לך להעלות מיקום אחר על אחת מספריות המוגנות האלה, כך שאין שום דרך לעקוף את זה.

הרשימה המלאה של מיקומים מוגנים נמצאת בכתובת /System/Library/Sandbox/rootless.conf ב- Mac שלך. הוא כולל קבצים כמו יישומי Mail.app ו- Chess.app הכלולים ב- Mac OS X, כך שלא תוכל להסיר אותם - אפילו משורת הפקודה כמשתמש הבסיס. המשמעות היא גם שתוכנות זדוניות אינן יכולות לשנות ולהדביק יישומים אלה.

לא במקרה, " הרשאות דיסק לתקן "אפשרות ב שירות דיסק - שימש זמן רב לפתרון בעיות שונות ב- Mac - הוסר כעת. הגנה על שלמות המערכת אמורה למנוע ממילא להתמודד עם הרשאות קריטיות מכריעות. תוכנית השירות לדיסק עוצבה מחדש ועדיין יש לה אפשרות "עזרה ראשונה" לתיקון שגיאות, אך אינה כוללת דרך לתקן הרשאות.

כיצד להשבית את הגנת שלמות המערכת

אַזהָרָה : אל תעשו זאת אלא אם כן יש לכם סיבה טובה מאוד לעשות זאת ותדעו בדיוק מה אתם עושים! רוב המשתמשים לא יצטרכו להשבית את הגדרת האבטחה הזו. זה לא נועד למנוע מכם להתעסק עם המערכת - זה נועד למנוע מתוכנות זדוניות ותוכניות אחרות שלא התנהגו בצורה גרועה להתעסק עם המערכת. אך חלק מהשירותים ברמה נמוכה עשויים לפעול רק אם יש להם גישה בלתי מוגבלת.

קָשׁוּר: 8 מאפייני מערכת Mac שאתה יכול לגשת אליו במצב שחזור

הגדרת הגנת שלמות המערכת אינה מאוחסנת ב- Mac OS X עצמו. במקום זאת, הוא מאוחסן ב- NVRAM על כל מק. ניתן לשנות אותו רק מסביבת ההתאוששות.

ל אתחול למצב שחזור הפעל מחדש את ה- Mac והחזק את Command + R תוך כדי אתחולו. תיכנס לסביבת ההתאוששות. לחץ על תפריט "Utilities" ובחר "Terminal" כדי לפתוח חלון מסוף.

הקלד את הפקודה הבאה למסוף ולחץ על Enter כדי לבדוק את המצב:

מעמד csrutil

תראה אם ​​הגנת שלמות המערכת מופעלת או לא.

כדי להשבית את הגנת שלמות המערכת, הפעל את הפקודה הבאה:

csrutil להשבית

אם תחליט שברצונך להפעיל SIP מאוחר יותר, חזור לסביבת ההתאוששות והפעל את הפקודה הבאה:

הפעלת csrutil

הפעל מחדש את ה- Mac וההגדרה החדשה שלך להגנת שלמות המערכת תיכנס לתוקף. למשתמש הבסיסי תהיה כעת גישה מלאה ובלתי מוגבלת לכל מערכת ההפעלה ולכל קובץ.

---

אם בעבר היו לך קבצים המאוחסנים בספריות המוגנות האלה לפני ששדרגת את ה- Mac שלך ל- OS X 10.11 El Capitan, הם לא נמחקו. תמצא אותם הועברו לספריה / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / ב- Mac שלך.

אשראי תמונה: שינג'יון פיקר