Mac OS X 10.11 El Capitan ปกป้องไฟล์ระบบและกระบวนการด้วยคุณสมบัติใหม่ที่ชื่อว่า System Integrity Protection SIP เป็นคุณลักษณะระดับเคอร์เนลที่ จำกัด สิ่งที่บัญชี "root" สามารถทำได้
นี่เป็นคุณลักษณะด้านความปลอดภัยที่ยอดเยี่ยมและเกือบทุกคนแม้แต่“ ผู้ใช้ระดับสูง” และนักพัฒนาก็ควรเปิดใช้งานไว้ แต่ถ้าคุณจำเป็นต้องแก้ไขไฟล์ระบบจริงๆคุณสามารถข้ามได้
การป้องกันความสมบูรณ์ของระบบคืออะไร?
ที่เกี่ยวข้อง: Unix คืออะไรและทำไมจึงมีความสำคัญ?
บน Mac OS X และอื่น ๆ ระบบปฏิบัติการที่เหมือน UNIX รวมถึงลินุกซ์มีบัญชี "รูท" ซึ่งตามปกติแล้วสามารถเข้าถึงระบบปฏิบัติการทั้งหมดได้อย่างสมบูรณ์ การเป็นผู้ใช้รูทหรือการได้รับสิทธิ์รูททำให้คุณสามารถเข้าถึงระบบปฏิบัติการทั้งหมดและสามารถแก้ไขและลบไฟล์ใด ๆ มัลแวร์ที่ได้รับสิทธิ์รูทสามารถใช้สิทธิ์เหล่านั้นเพื่อสร้างความเสียหายและติดไฟล์ระบบปฏิบัติการระดับต่ำ
พิมพ์รหัสผ่านของคุณในกล่องโต้ตอบความปลอดภัยและคุณได้รับสิทธิ์ระดับรากของแอปพลิเคชันแล้ว โดยปกติแล้วสิ่งนี้จะช่วยให้สามารถทำอะไรก็ได้กับระบบปฏิบัติการของคุณแม้ว่าผู้ใช้ Mac หลายคนอาจไม่ได้ตระหนักถึงสิ่งนี้
การป้องกันความสมบูรณ์ของระบบ - หรือที่เรียกว่า "rootless" - ทำหน้าที่โดยการ จำกัด บัญชีรูท เคอร์เนลของระบบปฏิบัติการจะตรวจสอบการเข้าถึงของผู้ใช้รูทและไม่อนุญาตให้ทำบางอย่างเช่นแก้ไขตำแหน่งที่มีการป้องกันหรือแทรกโค้ดลงในกระบวนการของระบบที่มีการป้องกัน ต้องลงนามส่วนขยายเคอร์เนลทั้งหมดและคุณจะปิดใช้งาน System Integrity Protection จากภายใน Mac OS X ไม่ได้ แอปพลิเคชั่นที่มีสิทธิ์ระดับรากสูงจะไม่สามารถแทรกแซงไฟล์ระบบได้อีกต่อไป
คุณมักจะสังเกตเห็นสิ่งนี้หากคุณพยายามเขียนลงในไดเรกทอรีใดไดเรกทอรีหนึ่งต่อไปนี้:
- /ระบบ
- / น
- / usr
- / sbin
OS X ไม่อนุญาตและคุณจะเห็นข้อความ“ ไม่อนุญาตให้ใช้งาน” OS X ยังไม่อนุญาตให้คุณเชื่อมต่อตำแหน่งอื่นบนหนึ่งในไดเรกทอรีที่ได้รับการป้องกันเหล่านี้ดังนั้นจึงไม่มีวิธีแก้ไข
รายการตำแหน่งที่มีการป้องกันทั้งหมดอยู่ที่ /System/Library/Sandbox/rootless.conf บน Mac ของคุณ รวมถึงไฟล์ต่างๆเช่นแอป Mail.app และ Chess.app ที่มาพร้อมกับ Mac OS X ดังนั้นคุณจึงไม่สามารถลบไฟล์เหล่านี้ได้แม้จะเป็นผู้ใช้รูทในบรรทัดคำสั่งก็ตาม นอกจากนี้ยังหมายความว่ามัลแวร์ไม่สามารถแก้ไขและติดไวรัสแอปพลิเคชันเหล่านั้นได้
ไม่ใช่เรื่องบังเอิญที่“ ซ่อมแซมการอนุญาตดิสก์ ” ตัวเลือกใน ยูทิลิตี้ดิสก์ - ใช้มานานสำหรับการแก้ไขปัญหาต่างๆของ Mac - ได้ถูกลบออกแล้ว การป้องกันความสมบูรณ์ของระบบควรป้องกันการอนุญาตไฟล์ที่สำคัญจากการถูกดัดแปลง ยูทิลิตี้ดิสก์ได้รับการออกแบบใหม่และยังคงมีตัวเลือก "การปฐมพยาบาล" สำหรับการซ่อมแซมข้อผิดพลาด แต่ไม่รวมวิธีซ่อมแซมสิทธิ์
วิธีปิดการใช้งานการป้องกันความสมบูรณ์ของระบบ
คำเตือน : อย่าทำเช่นนี้เว้นแต่คุณจะมีเหตุผลที่ดีพอที่จะทำและรู้ว่าคุณกำลังทำอะไรอยู่! ผู้ใช้ส่วนใหญ่ไม่จำเป็นต้องปิดใช้งานการตั้งค่าความปลอดภัยนี้ ไม่ได้มีวัตถุประสงค์เพื่อป้องกันไม่ให้คุณยุ่งกับระบบ แต่มีวัตถุประสงค์เพื่อป้องกันมัลแวร์และโปรแกรมที่มีพฤติกรรมไม่ดีอื่น ๆ ไม่ให้ยุ่งกับระบบ แต่โปรแกรมอรรถประโยชน์ระดับต่ำบางอย่างอาจทำงานได้ก็ต่อเมื่อมีการเข้าถึงที่ไม่ จำกัด เท่านั้น
ที่เกี่ยวข้อง: 8 คุณสมบัติของระบบ Mac ที่คุณสามารถเข้าถึงได้ในโหมดการกู้คืน
การตั้งค่าการป้องกันความสมบูรณ์ของระบบจะไม่ถูกเก็บไว้ใน Mac OS X แต่จะเก็บไว้ใน NVRAM บน Mac แต่ละเครื่อง สามารถแก้ไขได้จากสภาพแวดล้อมการกู้คืนเท่านั้น
ถึง บูตเข้าสู่โหมดการกู้คืน ให้รีสตาร์ท Mac ของคุณและกด Command + R ค้างไว้ในขณะที่บู๊ต คุณจะเข้าสู่สภาพแวดล้อมการกู้คืน คลิกเมนู“ Utilities” และเลือก“ Terminal” เพื่อเปิดหน้าต่างเทอร์มินัล
พิมพ์คำสั่งต่อไปนี้ในเทอร์มินัลและกด Enter เพื่อตรวจสอบสถานะ:
สถานะ csrutil
คุณจะเห็นว่ามีการเปิดใช้งานการป้องกันความสมบูรณ์ของระบบหรือไม่
หากต้องการปิดใช้งาน System Integrity Protection ให้รันคำสั่งต่อไปนี้:
csrutil ปิดการใช้งาน
หากคุณตัดสินใจว่าต้องการเปิดใช้งาน SIP ในภายหลังให้กลับไปที่สภาพแวดล้อมการกู้คืนและรันคำสั่งต่อไปนี้:
csrutil เปิดใช้งาน
รีสตาร์ท Mac ของคุณและการตั้งค่าการป้องกันความสมบูรณ์ของระบบใหม่จะมีผล ขณะนี้ผู้ใช้รูทจะสามารถเข้าถึงระบบปฏิบัติการทั้งหมดและทุกไฟล์ได้อย่างเต็มที่และไม่ จำกัด
หากคุณเคยเก็บไฟล์ไว้ในไดเรกทอรีที่มีการป้องกันเหล่านี้ก่อนที่คุณจะอัปเกรด Mac เป็น OS X 10.11 El Capitan ไฟล์เหล่านั้นจะไม่ถูกลบ คุณจะพบว่าย้ายไปที่ไดเร็กทอรี / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / บน Mac ของคุณ
เครดิตรูปภาพ: Shinjion Fickr
