13Aug
Mac OS X 10.11 El Capitan chrání systémové soubory a procesy novou funkcí nazvanou Ochrana integrity systému. SIP je funkce na úrovni jádra, která omezuje, co může účet "root" dělat.
Toto je skvělá bezpečnostní funkce a téměř všichni - dokonce i "uživatelé moci" a vývojáři - by to měli nechat. Pokud však opravdu potřebujete upravit systémové soubory, můžete je obejít.
Co je ochrana integrity systému?
V systémech Mac OS X a dalších operačních systémech typu UNIX, včetně Linuxu, existuje "root" účet, který má tradičně plný přístup k celému operačnímu systému. Stažením kořenového uživatele - nebo získáním kořenových oprávnění - získáte přístup k celému operačnímu systému a možnost upravovat a mazat libovolný soubor. Malware, který získává oprávnění root, by mohl tyto oprávnění používat k poškození a infekci souborů na nižší úrovni operačního systému.
Zadejte heslo do dialogového okna zabezpečení a přidělili jste oprávnění pro kořenovou aplikaci. To tradičně dovoluje dělat cokoliv pro váš operační systém, ačkoli mnoho uživatelů Mac to možná neuskutečnilo.
Ochrana integrity systému - také známá jako "bez kořenů" - funguje tím, že omezuje kořenový účet. Vlastní jádro operačního systému zkontroluje přístup uživatele root a nedovolí mu dělat určité věci, jako je například úprava chráněných míst nebo kódování do chráněných systémových procesů.Všechna rozšíření jádra musí být podepsána a nemůžete zakázat ochranu systému integrity v rámci systému Mac OS X samotného. Aplikace se zvýšenou oprávněním kořenového adresáře již nemohou manipulovat se systémovými soubory.
S největší pravděpodobností si to všimnete, pokud se pokoušíte zapsat do jednoho z následujících adresářů:
- / System
- / bin
- / usr
- / sbin
OS X to prostě nedovolí a uvidíte "Operace není povolena ".OS X také vám nedovolí připojit jiné umístění přes některý z těchto chráněných adresářů, takže kolem toho není nic.
Úplný seznam chráněných umístění naleznete na adrese /System/Library/Sandbox/ rootless.conf na počítači Mac. Zahrnuje soubory, jako jsou aplikace Mail.app a Chess.app, které jsou součástí systému Mac OS X, takže je nelze odstranit, a to ani z příkazového řádku jako uživatel root. To také znamená, že malware nemůže tyto aplikace modifikovat a infikovat.
Není náhodné, že volba "oprávnění k opravě disků" v nástroji Disk Utility - dlouho použitá pro řešení potíží s různými problémy se systémem Mac - byla nyní odstraněna. Ochrana integrity systému by měla zabránit tomu, aby rozhodující oprávnění k souborům byla poškozena. Disk Utility byl přepracován a stále má možnost "První pomoc" k opravě chyb, ale neobsahuje žádný způsob, jak opravit oprávnění.
Jak zakázat ochranu integrity systému
Upozornění : Nedělejte to, pokud nemáte na to dobrý důvod a přesně vědět, co děláte! Většina uživatelů nebude muset toto nastavení zabezpečení zakázat. Nemělo by to zabránit tomu, aby jste zablokovali systém - jeho účelem je zabránit malwaru a jiným špatně chovaným pořadům, aby se zablokovali systémem. Některé nástroje nízké úrovně však mohou fungovat pouze v případě, že mají neomezený přístup.
Nastavení ochrany Integrita systému není uloženo v samotném systému Mac OS X.Místo toho je uložen v NVRAM na každém počítači Mac. Lze jej měnit pouze z prostředí obnovy.
Chcete-li spustit režim obnovení, restartujte počítač Mac a přidržte příkaz Command + R při jeho spuštění.Vstupte do prostředí obnovy. Klikněte na nabídku "Nástroje" a vyberte "Terminál" pro otevření okna terminálu.
Zadejte do terminálu následující příkaz a stisknutím klávesy Enter zkontrolujte stav:
csrutil status
Zjistíte, zda je ochrana integrity systému povolena nebo nikoliv.
Chcete-li zakázat ochranu systému Integrity, spusťte následující příkaz:
csrutil deaktivujte
Pokud se rozhodnete, že chcete SIP povolit později, vraťte se do prostředí pro obnovení a spusťte následující příkaz:
csrutil povolit
Restartujte Mac a novou ochranu systému Integritynastavení se projeví.Uživatel root bude nyní mít úplný, neomezený přístup k celému operačnímu systému a každému souboru.
Pokud jste dříve měli soubory uložené v těchto chráněných adresářích před inovací vašeho Mac na OS X 10.11 El Capitan, nebyly odstraněny. Naleznete je přesunutím do adresáře /Library/SystemMigration/History/ migrace( UUID) /QuarantineRoot/ na počítači Mac.
Image Credit: Shinji na Flickr