Mac OS X 10.11 El Capitan защищает системные файлы и процессы с помощью новой функции под названием Защита целостности системы. SIP - это функция уровня ядра, которая ограничивает возможности учетной записи «root».
Это отличная функция безопасности, и почти все, даже «опытные пользователи» и разработчики, должны оставить ее включенной. Но, если вам действительно нужно изменить системные файлы, вы можете обойти это.
Что такое защита целостности системы?
СВЯЗАННЫЕ С: Что такое Unix и почему это важно?
В Mac OS X и других UNIX-подобные операционные системы , включая Linux, существует учетная запись «root», которая традиционно имеет полный доступ ко всей операционной системе. Став пользователем root или получением разрешений root, вы получаете доступ ко всей операционной системе и возможность изменять и удалять любой файл. Вредоносное ПО, которое получает права root, может использовать эти разрешения для повреждения и заражения файлов операционной системы низкого уровня.
Введите свой пароль в диалоговом окне безопасности, и вы предоставили права root-права приложения. Это традиционно позволяет ему делать что угодно с вашей операционной системой, хотя многие пользователи Mac, возможно, этого не осознавали.
Защита целостности системы, также известная как «без root», работает путем ограничения учетной записи root. Само ядро операционной системы проверяет доступ пользователя root и не позволяет ему выполнять определенные действия, например изменять защищенные места или внедрять код в защищенные системные процессы. Все расширения ядра должны быть подписаны, и вы не можете отключить защиту целостности системы из самой Mac OS X. Приложения с повышенными правами root больше не могут вмешиваться в системные файлы.
Скорее всего, вы заметите это, если попытаетесь написать в один из следующих каталогов:
- / Система
- / я
- / usr
- / sbin
OS X просто не позволит этого, и вы увидите сообщение «Операция запрещена». OS X также не позволит вам смонтировать другое место поверх одного из этих защищенных каталогов, так что этого не избежать.
Полный список защищенных расположений находится в /System/Library/Sandbox/rootless.conf на вашем Mac. В него входят такие файлы, как приложения Mail.app и Chess.app, входящие в состав Mac OS X, поэтому вы не можете удалить их - даже из командной строки в качестве пользователя root. Однако это также означает, что вредоносные программы не могут изменять и заражать эти приложения.
Не случайно « восстановить права доступа к диску Вариант в Диск Утилиты - долгое время использовался для устранения различных проблем Mac - теперь удален. Защита целостности системы в любом случае должна предотвращать подделку важных разрешений файлов. Дисковая утилита была переработана, и в ней по-прежнему есть опция «Первая помощь» для исправления ошибок, но нет возможности исправлять разрешения.
Как отключить защиту целостности системы
Предупреждение : Не делайте этого, если у вас нет веской причины для этого и вы точно не знаете, что делаете! Большинству пользователей не нужно отключать этот параметр безопасности. Он не предназначен для того, чтобы помешать вам вмешиваться в систему - он предназначен для предотвращения проникновения вредоносных программ и других программ с плохим поведением в систему. Но некоторые низкоуровневые утилиты могут работать только при неограниченном доступе.
СВЯЗАННЫЕ С: 8 функций системы Mac, к которым можно получить доступ в режиме восстановления
Настройка защиты целостности системы не сохраняется в самой Mac OS X. Вместо этого он хранится в энергонезависимой памяти на каждом отдельном Mac. Его можно изменить только из среды восстановления.
Чтобы загрузиться в режим восстановления , перезагрузите Mac и удерживайте Command + R во время загрузки. Вы войдете в среду восстановления. Щелкните меню «Утилиты» и выберите «Терминал», чтобы открыть окно терминала.
Введите следующую команду в терминал и нажмите Enter, чтобы проверить статус:
ксрутил статус
Вы увидите, включена ли защита целостности системы.
Чтобы отключить защиту целостности системы, выполните следующую команду:
csrutil отключить
Если вы решите включить SIP позже, вернитесь в среду восстановления и выполните следующую команду:
csrutil enable
Перезагрузите Mac, и новые настройки защиты целостности системы вступят в силу. Пользователь root теперь будет иметь полный, неограниченный доступ ко всей операционной системе и каждому файлу.
Если у вас раньше были файлы, хранящиеся в этих защищенных каталогах, до обновления Mac до OS X 10.11 El Capitan, они не были удалены. Вы найдете их перемещенными в каталог / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / на вашем Mac.
Кредит изображения: Синджион Фикр
