13Aug

Kuidas arvuti terviklikkuse kaitset Macis( ja miks sa ei peaks) keelama?

Mac OS X 10.11 El Capitan kaitseb süsteemifaile ja töötleb uut funktsiooni System Integrity Protection. SIP on kerneli tasemel funktsioon, mis piirab seda, mida "root" -konto saab teha.

See on suurepärane turvafunktsioon ja peaaegu kõik - isegi "võimsuskasutajad" ja arendajad - peaksid selle lubama. Aga kui teil on tõesti vaja süsteemi faile muuta, võite selle mööda minna.

Mis on süsteemi terviklikkuse kaitse?

Mac OS X-il ja muudel UNIX-like operatsioonisüsteemidel, sealhulgas Linuxis, on "root" -konto, millel on tavapäraselt täielik juurdepääs kogu operatsioonisüsteemile. Juurkasutaja saamine - või administraatoriõiguste omandamine - annab teile juurdepääsu kogu operatsioonisüsteemile ja võimalusele faili muuta ja kustutada. Malware, mis saab administraatoriõigusi, võib kasutada neid õigusi, et kahjustada ja nakatada madaltasemel operatsioonisüsteemi faile.

Tippige oma parool turvalisuse dialoogi ja andke rakenduse juuriload. Tavaliselt lubab see tavapäraselt operatsioonisüsteemile midagi teha, kuigi paljud Maci kasutajad ei pruugi seda aru saada.

süsteemi terviklikkuse kaitse - tuntud ka kui rootless - funktsioone, piirab rootkontot. Operatsioonisüsteemi kernel ise kontrollib juurkasutaja juurdepääsu ja ei luba tal mingeid asju teha, näiteks muuta kaitstud asukohti või sünkda kood kaitstud süsteemi protsessidesse. Kõik kerneli laiendid peavad olema allkirjastatud ja te ei saa keelata süsteemi terviklikkuse kaitsmist Mac OS X-is ise. Rakendused, millel on administraatoriõigused, ei saa enam süsteemifaile rikkuda.

Oma kõige tõenäolisemalt märkate seda, kui proovite kirjutada ühte järgmistest kataloogidest:

  • / System
  • / bin
  • / usr
  • / sbin

OS X lihtsalt ei luba seda ja näete "Käitamine pole lubatud "sõnum. OS X ei luba teil mõnda kaitstud kataloogist teise asukohta paigaldada, mistõttu pole sellel mingit võimalust.

Kaitstud asukohtade täielik loetelu on teie Maci lehel /System/Library/Sandbox/ rootless.conf. See sisaldab Mac OS X-ga kaasasolevaid faile nagu Mail.app ja Chess.app-rakendused, nii et te ei saa neid eemaldada - isegi administraatorina käsurealt. See tähendab ka, et pahavara ei saa neid rakendusi muuta ega nakatada.

Mitte juhuslikult on Disk Utility'i valik "remondi kettaõigused" - pikka aega kasutatud erinevate Maci probleemide tõrkeotsinguks - on nüüd eemaldatud. Süsteemi terviklikkuse kaitse peaks igal juhul takistama oluliste faililubade omamist. Disk Utility on ümber kujundatud ja ikkagi on "esmaabi" võimalus vigade parandamiseks, kuid see ei sisalda õigusi.

Kuidas süsteemi terviklikkuse kaitse keelata

Hoiatus : ärge tehke seda, kui teil pole selleks väga head põhjust ja teate täpselt, mida teete! Enamik kasutajaid ei pea seda turbesätet blokeerima. See ei ole mõeldud selleks, et takistada teid süsteemiga segamini ajama - selle eesmärk on vältida pahavara ja teiste halva käitumisega programmide muret süsteemi üle. Kuid mõned madala taseme kommunaalteenused võivad toimida ainult siis, kui neil on piiramatu juurdepääs.

System Integrity Protection seadet ei salvestata Mac OS X-s ise. Selle asemel salvestatakse see iga Maci jaoks NVRAM-i. Seda saab muuta ainult taastekeskkonnast.

Taaskäivitusrežiimis käivitamiseks taaskäivitage oma Mac ja hoidke käsku + R nii nagu saapad. Sisestate taastekeskkonda. Klõpsake menüükäsuga "Utiliidid" ja avage terminali aken valikut "Terminal".

Sisestage terminalile järgmine käsk ja vajutage Enter oleku kontrollimiseks:

csrutil olek

Näete, kas süsteemi terviklikkuse kaitse on lubatud või mitte.

Süsteemi terviklikkuse kaitse keelamiseks käivitage järgmine käsk:

csrutil blokeerib

Kui otsustate, et soovite SIP-i hiljem lubada, naaske taastekeskkonda ja käivitage järgmine käsk:

csrutil enable

Taaskäivitage oma Mac ja teie uus System Integrity Protectionseadistus jõustub. Juurkasutajal on nüüd täielik, piiramatu juurdepääs kogu operatsioonisüsteemile ja igale failile.

Kui varem olid need kaitstud kataloogid salvestatud failid enne Mac-i versiooni OS X 10.11 El Capitan värskendamist, siis neid ei kustutatud. Leiad need teisaldatud Maci /Library/SystemMigration/History/ migratsiooni( UUID) /QuarantineRoot/ kataloogi.

pildikrediit: Shinji on Flickr