13Aug
Mac OS X 10.11 O El Capitan protege arquivos e processos do sistema com um novo recurso denominado Proteção de Integridade do Sistema. O SIP é um recurso de nível de kernel que limita o que a conta "raiz" pode fazer.
Este é um ótimo recurso de segurança, e quase todos - mesmo "usuários avançados" e desenvolvedores - devem deixá-lo ativado. Mas, se você realmente precisa modificar os arquivos do sistema, você pode ignorá-lo.
O que é proteção de integridade do sistema?
No Mac OS X e outros sistemas operacionais semelhantes a UNIX, incluindo o Linux, há uma conta "raiz" que tradicionalmente tem acesso total a todo o sistema operacional. Tornando-se o usuário root - ou ganhando permissões de root - dá acesso a todo o sistema operacional e a capacidade de modificar e excluir qualquer arquivo. Malware que ganha permissões de root pode usar essas permissões para danificar e infectar os arquivos do sistema operacional de baixo nível.
Digite sua senha em uma caixa de diálogo de segurança e você deu as permissões de root do aplicativo. Isso tradicionalmente permite que ele faça qualquer coisa no seu sistema operacional, embora muitos usuários de Mac não tenham percebido isso.
System Integrity Protection - também conhecido como "sem raiz" - funções, restringindo a conta raiz. O próprio kernel do sistema operacional coloca cheques no acesso do usuário raiz e não permitirá que ele faça certas coisas, como modificar locais protegidos ou injetar código em processos protegidos do sistema. Todas as extensões do kernel devem ser assinadas e você não pode desativar a Proteção de integridade do sistema dentro do próprio Mac OS X.Aplicativos com permissões de raiz elevadas não podem mais invadir os arquivos do sistema.
É provável que você perceba isso se você tentar escrever para um dos seguintes diretórios:
- / Sistema
- / bin
- / usr
- / sbin
OS X simplesmente não o permitirá, e você verá um "Operação não permitida "mensagem. O OS X também não permitirá que você monte outra localização sobre um desses diretórios protegidos, então não há como evitar isso.
A lista completa de locais protegidos é encontrada no /System/Library/Sandbox/ rootless.conf em seu Mac. Ele inclui arquivos como os aplicativos Mail.app e Chess.app incluídos no Mac OS X, para que você não possa remover estes - mesmo a partir da linha de comando como usuário root. Isso também significa que o malware não pode modificar e infectar esses aplicativos, no entanto.
Não coincidentemente, a opção "reparar disco permissões" opção no Utilitário de disco - usado há muito tempo para solucionar problemas de Mac - já foi removida. A Proteção de integridade do sistema deve impedir que as permissões de arquivos cruciais sejam adulteradas, de qualquer maneira. O Utilitário de disco foi redesenhado e ainda tem uma opção "Primeiros socorros" para reparar erros, mas não inclui nenhuma maneira de reparar permissões.
Como desativar a proteção de integridade do sistema
Aviso : Não faça isso a menos que você tenha um bom motivo para isso e saiba exatamente o que está fazendo! A maioria dos usuários não precisará desativar esta configuração de segurança. Não se destina a impedi-lo de mexer com o sistema - destina-se a evitar malware e outros programas mal comportados de mexer com o sistema. Mas alguns utilitários de baixo nível só podem funcionar se tiverem acesso irrestrito.
A configuração Proteção de integridade do sistema não está armazenada no próprio Mac OS X.Em vez disso, ele é armazenado na NVRAM em cada Mac individual. Ele só pode ser modificado a partir do ambiente de recuperação.
Para iniciar no modo de recuperação, reinicie o seu Mac e segure Command + R quando ele for inicializado. Você entrará no ambiente de recuperação. Clique no menu "Utilitários" e selecione "Terminal" para abrir uma janela de terminal.
Digite o seguinte comando no terminal e pressione Enter para verificar o status:
csrutil status
Você verá se a proteção de integridade do sistema está ativada ou não.
Para desativar a Proteção de integridade do sistema, execute o seguinte comando:
csrutil desative o
Se você decidir ativar o SIP mais tarde, volte ao ambiente de recuperação e execute o seguinte comando:
csrutil enable
Reinicie seu Mac e sua nova proteção de integridade do sistemaA configuração terá efeito. O usuário root agora terá seu acesso completo e irrestrito ao sistema operacional inteiro e a todos os arquivos.
Se você já possuía arquivos armazenados nesses diretórios protegidos antes de atualizar o seu Mac para OS X 10.11 El Capitan, eles não foram excluídos. Você vai encontrá-los movidos para o diretório /Library/SystemMigration/History/ Migration-( UUID) /QuarantineRoot/ no seu Mac.
Crédito de Imagem: Shinji no Flickr