Kuidas blokeerida Maci süsteemi terviklikkuse kaitse (ja miks te ei peaks seda tegema)

Mac OS X 10.11 El Capitan kaitseb süsteemifaile ja -protsesse uue funktsiooniga nimega System Integrity Protection. SIP on kerneli taseme funktsioon, mis piirab seda, mida juurkonto saab teha.

See on suurepärane turvafunktsioon ja peaaegu kõik - isegi "energiatarbijad" ja arendajad - peaksid selle lubama. Kuid kui teil on tõesti vaja süsteemifaile muuta, saate sellest mööda minna.

Mis on süsteemi terviklikkuse kaitse?

SEOTUD:Mis on Unix ja miks see oluline on?

Mac OS X-is ja teistes UNIX-tüüpi operatsioonisüsteemides, sealhulgas Linuxis, on juurkonto, millel on traditsiooniliselt täielik juurdepääs kogu operatsioonisüsteemile. Juurkasutajaks saamine - või juurõiguste saamine - annab teile juurdepääsu kogu operatsioonisüsteemile ja võimaluse kõiki faile muuta ja kustutada. Juurõiguste omandanud pahavara võib neid õigusi kasutada madala operatsioonisüsteemi failide kahjustamiseks ja nakatamiseks.

Sisestage parool turbedialoogi ja olete andnud rakenduse juurõigused. See võimaldab tal traditsiooniliselt teie operatsioonisüsteemiga midagi teha, kuigi paljud Maci kasutajad pole sellest võib-olla aru saanud.

Süsteemi terviklikkuse kaitse - tuntud ka kui juuretu - toimib juurkonto piiramisega. Operatsioonisüsteemi kernel kontrollib ise juurkasutaja juurdepääsu ega luba tal teha teatud asju, näiteks kaitstud asukohti muuta ega kaitstud süsteemiprotsessidesse koodi sisestada. Kõik tuuma laiendused peavad olema allkirjastatud ja te ei saa süsteemi terviklikkuse kaitset Mac OS X-is keelata. Kõrgendatud juurõigustega rakendused ei saa enam süsteemifaile rikkuda.

Tõenäoliselt märkate seda, kui proovite kirjutada ühte järgmistest kataloogidest:

  • / Süsteem
  • / bin
  • / usr
  • / sbin

OS X lihtsalt ei luba ja näete teadet „Toiming pole lubatud”. Samuti ei luba OS X teil ühte neist kaitstud kataloogidest teise asukohta paigaldada, seega pole sellest parata.

Kaitstud asukohtade täielik loetelu on teie Maci saidil /System/Library/Sandbox/rootless.conf. See sisaldab selliseid faile nagu Mac OS X-ga kaasas olevad rakendused Mail.app ja Chess.app, nii et te ei saa neid eemaldada - isegi juurkasutajana käsurealt. See tähendab ka seda, et pahavara ei saa neid rakendusi muuta ega nakatada.

Mitte juhuslikult on Disk Utility'i valik "ketta lubade parandamine" - mida pikka aega kasutatakse mitmesuguste Mac-probleemide tõrkeotsinguks - nüüdseks eemaldatud. Süsteemi terviklikkuse kaitse peaks nagunii vältima oluliste faililubade rikkumist. Disk Utility on ümber kujundatud ja sellel on vigade parandamiseks endiselt valik „Esmaabi”, kuid see ei hõlma õiguste parandamist.

Kuidas süsteemi terviklikkuse kaitse keelata

Hoiatus: Ärge tehke seda, kui teil pole selleks väga head põhjust ja teate täpselt, mida teete! Enamik kasutajaid ei pea seda turvaseadet keelama. Selle eesmärk ei ole takistada teid süsteemiga segamini ajamast - see on ette nähtud pahavara ja muude halvasti käituvate programmide süsteemiga jamamiseks. Kuid mõned madala taseme kommunaalteenused võivad toimida ainult siis, kui neil on piiramatu juurdepääs.

SEOTUD:8 Maci süsteemi funktsiooni, millele saate juurde pääseda taasterežiimis

Süsteemi Integrity Protection seadet ei salvestata Mac OS X-is. Selle asemel salvestatakse see iga Maci NVRAM-i. Seda saab muuta ainult taastekeskkonnast.

Taasterežiimi käivitamiseks taaskäivitage oma Mac ja hoidke käivitamisel all klahvi Command + R. Sisestate taastekeskkonna. Terminali akna avamiseks klõpsake menüüd Utilities ja valige Terminal.

Sisestage terminali järgmine käsk ja oleku kontrollimiseks vajutage sisestusklahvi:

csrutili olek

Näete, kas süsteemi terviklikkuse kaitse on lubatud või mitte.

Süsteemi terviklikkuse kaitse keelamiseks käivitage järgmine käsk:

csrutil keelata

Kui otsustate SIP-i hiljem lubada, naaske taastekeskkonda ja käivitage järgmine käsk:

csrutili lubamine

Taaskäivitage Mac ja teie uus süsteemi terviklikkuse kaitse seade jõustub. Juurkasutajal on nüüd täielik ja piiramatu juurdepääs kogu operatsioonisüsteemile ja igale failile.

Kui teil oli enne Maci versioonile OS X 10.11 El Capitan värskendamist nendesse kaitstud kataloogidesse salvestatud faile, pole neid kustutatud. Need on teisaldatud teie Maci kataloogi / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot /.

Pildikrediit: Shinji Flickris