Mac OS X 10.11 El Capitan beschermt systeembestanden en processen met een nieuwe functie genaamd System Integrity Protection. SIP is een functie op kernelniveau die beperkt wat de "root" -account kan doen.
Dit is een geweldige beveiligingsfunctie en bijna iedereen - zelfs "ervaren gebruikers" en ontwikkelaars - zou het ingeschakeld moeten laten. Maar als u echt systeembestanden moet wijzigen, kunt u deze omzeilen.
Wat is bescherming van systeemintegriteit?
VERWANT: Wat is Unix en waarom is het belangrijk?
Op Mac OS X en andere UNIX-achtige besturingssystemen , inclusief Linux, is er een "root" -account dat traditioneel volledige toegang heeft tot het volledige besturingssysteem. Door de rootgebruiker te worden - of rootrechten te krijgen - krijgt u toegang tot het volledige besturingssysteem en de mogelijkheid om elk bestand te wijzigen en te verwijderen. Malware die rootmachtigingen verkrijgt, kan die machtigingen gebruiken om de bestanden van het besturingssysteem op laag niveau te beschadigen en te infecteren.
Typ uw wachtwoord in een beveiligingsdialoogvenster en u heeft de rootrechten van de app. Hierdoor kan het traditioneel alles doen met uw besturingssysteem, hoewel veel Mac-gebruikers dit misschien niet beseffen.
Systeemintegriteitsbescherming - ook bekend als "rootless" - werkt door het root-account te beperken. De kernel van het besturingssysteem controleert zelf de toegang van de rootgebruiker en staat deze niet toe om bepaalde dingen te doen, zoals het wijzigen van beschermde locaties of het injecteren van code in beschermde systeemprocessen. Alle kernelextensies moeten worden ondertekend en u kunt System Integrity Protection niet uitschakelen vanuit Mac OS X zelf. Toepassingen met verhoogde rootrechten kunnen niet langer met systeembestanden knoeien.
Dit merkt u waarschijnlijk als u probeert naar een van de volgende mappen te schrijven:
- /Systeem
- / ben
- / usr
- / sbin
OS X staat het gewoon niet toe en je ziet het bericht 'Bewerking niet toegestaan'. OS X staat je ook niet toe om een andere locatie over een van deze beschermde mappen te koppelen, dus je kunt hier niet omheen.
De volledige lijst met beschermde locaties is te vinden op /System/Library/Sandbox/rootless.conf op uw Mac. Het bevat bestanden zoals de Mail.app- en Chess.app-apps die bij Mac OS X worden geleverd, dus u kunt deze niet verwijderen - zelfs niet vanaf de opdrachtregel als rootgebruiker. Dit betekent echter ook dat malware deze applicaties niet kan wijzigen en infecteren.
Het is niet toevallig dat de " herstel schijfrechten ” option in Schijfhulpprogramma - lang gebruikt voor het oplossen van verschillende Mac-problemen - is nu verwijderd. System Integrity Protection moet hoe dan ook voorkomen dat met cruciale bestandsrechten wordt geknoeid. Het Schijfhulpprogramma is opnieuw ontworpen en heeft nog steeds een "EHBO" -optie voor het herstellen van fouten, maar bevat geen manier om machtigingen te herstellen.
Bescherming van systeemintegriteit uitschakelen
Waarschuwing : Doe dit niet tenzij u een zeer goede reden heeft om dit te doen en precies weet wat u doet! De meeste gebruikers hoeven deze beveiligingsinstelling niet uit te schakelen. Het is niet bedoeld om te voorkomen dat u met het systeem knoeit - het is bedoeld om te voorkomen dat malware en andere slecht gedragende programma's met het systeem knoeien. Maar sommige hulpprogramma's op laag niveau werken mogelijk alleen als ze onbeperkte toegang hebben.
VERWANT: 8 Mac-systeemfuncties waartoe u toegang hebt in de herstelmodus
De instelling Bescherming systeemintegriteit wordt niet opgeslagen in Mac OS X zelf. In plaats daarvan wordt het opgeslagen in NVRAM op elke individuele Mac. Het kan alleen worden gewijzigd vanuit de herstelomgeving.
Naar opstarten in herstelmodus , herstart je Mac en houd Command + R ingedrukt tijdens het opstarten. U komt in de herstelomgeving. Klik op het menu "Hulpprogramma's" en selecteer "Terminal" om een terminalvenster te openen.
Typ de volgende opdracht in de terminal en druk op Enter om de status te controleren:
csrutil-status
U zult zien of System Integrity Protection is ingeschakeld of niet.
Om System Integrity Protection uit te schakelen, voert u de volgende opdracht uit:
csrutil uitschakelen
Als u besluit dat u SIP later wilt inschakelen, keert u terug naar de herstelomgeving en voert u de volgende opdracht uit:
csrutil inschakelen
Start uw Mac opnieuw op en uw nieuwe instelling voor Bescherming van systeemintegriteit wordt van kracht. De rootgebruiker heeft nu volledige, onbeperkte toegang tot het volledige besturingssysteem en elk bestand.
Als u eerder bestanden had opgeslagen in deze beschermde mappen voordat u uw Mac een upgrade uitvoerde naar OS X 10.11 El Capitan, zijn ze niet verwijderd. U vindt ze verplaatst naar de / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / directory op uw Mac.
Afbeelding tegoed: Shinjion Fickr
