Mac OS X 10.11 El Capitan chroni pliki i procesy systemowe dzięki nowej funkcji o nazwie System Integrity Protection. SIP to funkcja na poziomie jądra, która ogranicza to, co może zrobić konto „root”.
To świetna funkcja bezpieczeństwa i prawie wszyscy - nawet „zaawansowani użytkownicy” i programiści - powinni pozostawić ją włączoną. Ale jeśli naprawdę potrzebujesz zmodyfikować pliki systemowe, możesz to ominąć.
Co to jest ochrona integralności systemu?
ZWIĄZANE Z: Co to jest Unix i dlaczego ma to znaczenie?
W systemie Mac OS X i innych Systemy operacyjne podobne do UNIX , w tym Linux, istnieje konto „root”, które tradycyjnie ma pełny dostęp do całego systemu operacyjnego. Zostanie użytkownikiem root - lub uzyskanie uprawnień roota - daje dostęp do całego systemu operacyjnego oraz możliwość modyfikowania i usuwania dowolnego pliku. Złośliwe oprogramowanie, które uzyskuje uprawnienia roota, może je wykorzystać do uszkodzenia i zainfekowania plików systemu operacyjnego niskiego poziomu.
Wpisz swoje hasło w oknie dialogowym zabezpieczeń i nadaj uprawnienia roota aplikacji. To tradycyjnie pozwala mu zrobić wszystko w systemie operacyjnym, chociaż wielu użytkowników komputerów Mac mogło tego nie zauważyć.
Ochrona integralności systemu - znana również jako „bez rootowania” - działa poprzez ograniczenie konta roota. Samo jądro systemu operacyjnego sprawdza dostęp użytkownika root i nie pozwala mu na wykonywanie pewnych rzeczy, takich jak modyfikowanie chronionych lokalizacji lub wstrzykiwanie kodu do chronionych procesów systemowych. Wszystkie rozszerzenia jądra muszą być podpisane i nie można wyłączyć ochrony integralności systemu z poziomu samego Mac OS X. Aplikacje z podwyższonymi uprawnieniami roota nie mogą już modyfikować plików systemowych.
Najprawdopodobniej zauważysz to, jeśli spróbujesz napisać do jednego z następujących katalogów:
- /System
- / jestem
- / usr
- / sbin
OS X po prostu na to nie pozwoli, a zobaczysz komunikat „Operacja niedozwolona”. OS X nie pozwoli również na zamontowanie innej lokalizacji w jednym z tych chronionych katalogów, więc nie ma sposobu na obejście tego.
Pełna lista chronionych lokalizacji znajduje się w /System/Library/Sandbox/rootless.conf na komputerze Mac. Zawiera pliki, takie jak aplikacje Mail.app i Chess.app dołączone do systemu Mac OS X, więc nie możesz ich usunąć - nawet z wiersza poleceń jako użytkownik root. Oznacza to jednak również, że złośliwe oprogramowanie nie może modyfikować ani infekować tych aplikacji.
Nieprzypadkowo „ napraw uprawnienia do dysku ”W opcji Narzędzie dyskowe - od dawna używany do rozwiązywania różnych problemów z komputerami Mac - został usunięty. Ochrona integralności systemu powinna w każdym razie zapobiegać manipulowaniu kluczowymi uprawnieniami plików. Narzędzie dyskowe zostało przeprojektowane i nadal ma opcję „Pierwsza pomoc” do naprawy błędów, ale nie obejmuje możliwości naprawy uprawnień.
Jak wyłączyć ochronę integralności systemu
Ostrzeżenie : Nie rób tego, chyba że masz ku temu dobry powód i dokładnie wiesz, co robisz! Większość użytkowników nie musi wyłączać tego ustawienia zabezpieczeń. Jego celem nie jest zapobieganie ingerowaniu w system - ma zapobiegać ingerencji złośliwego oprogramowania i innych źle działających programów w systemie. Jednak niektóre narzędzia niskiego poziomu mogą działać tylko wtedy, gdy mają nieograniczony dostęp.
ZWIĄZANE Z: 8 Funkcje systemu Mac, do których można uzyskać dostęp w trybie odzyskiwania
Ustawienie Ochrona integralności systemu nie jest przechowywane w samym Mac OS X. Zamiast tego jest przechowywany w pamięci NVRAM na każdym komputerze Mac. Można go modyfikować tylko w środowisku przywracania.
Do Uruchom do trybu odzyskiwania uruchom ponownie komputer Mac i przytrzymaj Command + R podczas uruchamiania. Wejdziesz do środowiska przywracania. Kliknij menu „Narzędzia” i wybierz „Terminal”, aby otworzyć okno terminala.
Wpisz następujące polecenie w terminalu i naciśnij klawisz Enter, aby sprawdzić status:
status csrutil
Zobaczysz, czy Ochrona integralności systemu jest włączona, czy nie.
Aby wyłączyć ochronę integralności systemu, uruchom następujące polecenie:
csrutil wyłącz
Jeśli zdecydujesz, że chcesz później włączyć protokół SIP, wróć do środowiska przywracania i uruchom następujące polecenie:
csrutil enable
Uruchom ponownie komputer Mac, a nowe ustawienie Ochrona integralności systemu zacznie obowiązywać. Użytkownik root będzie miał teraz pełny, nieograniczony dostęp do całego systemu operacyjnego i każdego pliku.
Jeśli wcześniej pliki były przechowywane w tych chronionych katalogach przed uaktualnieniem komputera Mac do systemu OS X 10.11 El Capitan, nie zostały one usunięte. Znajdziesz je przeniesione do katalogu / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na Twoim Macu.
Źródło zdjęcia: Shinjion Fickr
