13Aug
Mac OS X 10.11 El Capitan štiti datoteke sustava i procese s novom značajkom naziva System Integrity Protection. SIP je značajka na razini jezgre koja ograničava ono što račun "root" može učiniti.
Ovo je velika sigurnosna značajka, a gotovo svi - čak i "korisnici energije" i programeri - trebali bi to omogućiti. Ali, ako stvarno trebate izmijeniti datoteke sustava, možete je zaobići.
Što je zaštita integriteta sustava?
Na Mac OS X i drugim operativnim sustavima poput UNIX-a, uključujući Linux, postoji račun "root" koji tradicionalno ima puni pristup cijelom operativnom sustavu. Postati korijenski korisnik - ili stjecanje korijena dopuštenja - omogućuje vam pristup cijelom operativnom sustavu i mogućnost izmjene i brisanja bilo koje datoteke. Zlonamjerni softver koji dobiva dopuštenja za korijenje može upotrijebiti te dozvole za oštećenje i zaraziti niske razine operativnih sustava.
Upišite svoju lozinku u dijaloški okvir za sigurnost i dali ste dopuštenja root programa. To je tradicionalno dopušteno da učini bilo što svojem operacijskom sustavu, iako mnogi korisnici Maca možda to nisu shvatili.
Zaštita integriteta sustava - poznata i kao "rootless" - funkcionira ograničavanjem korijenskog računa. Sam kernel operativnog sustava stavlja provjere na pristup korisnika korijena i neće dopustiti da radi određene stvari, kao što je izmjena zaštićenih lokacija ili ubrizgavanje koda u zaštićene sustave. Sve ekstenzije kernela moraju biti potpisane i ne možete onemogućiti zaštitu cjelovitosti sustava od samog Mac OS X-a. Aplikacije s povišenim dozvolama za korijenje više ne mogu poništiti datoteke sustava.
Najvjerojatnije ćete ovo primijetiti ako pokušate napisati neku od sljedećih direktorija:
- / Sustav
- / bin
- / usr
- / sbin
OS X neće to dopustiti i vidjet ćete "Operacija nije dopuštena ".OS X također neće dopustiti da postavite drugu lokaciju na jedan od tih zaštićenih direktorija, tako da ne postoji način za to.
Cijeli popis zaštićenih lokacija nalazi se na računalu /System/Library/Sandbox/ rootless.conf na vašem Macu. To uključuje datoteke poput aplikacija Mail.app i Chess.app koje su uključene u Mac OS X, tako da ih ne možete ukloniti - čak ni iz naredbenog retka kao root korisnika. To također znači da zlonamjerni softver ne može mijenjati i zaraziti te programe, međutim.
Nije slučajno, opcija "popravak dozvola diska" u uslužnom programu Disk Utvrda - dugo korištena za otklanjanje poteškoća s različitim problemima Maca - sada je uklonjena. U svakom slučaju, zaštita integriteta sustava trebala bi spriječiti da ključne dozvole za datoteke ostanu neovlaštene. Disk Utility redizajniran je i još uvijek ima "First Aid" opciju za popravak pogrešaka, ali ne uključuje način popravljanja dozvola.
Kako onemogućiti zaštitu sustava integriteta
Upozorenje : Nemojte to učiniti osim ako nemate vrlo dobar razlog da to učinite i točno znate što radite! Većina korisnika neće morati onemogućiti ovu sigurnosnu postavku. Nije namijenjeno da vas spriječi zabrljati sa sustavom - namijenjeno je sprječavanju zlonamjernog softvera i drugih loših ponašanja u zabludi sustava. No, neki uslužni programi niske razine mogu funkcionirati samo ako imaju neograničen pristup.
Postavka zaštite integriteta sustava nije pohranjena u samom Mac OS X-u. Umjesto toga, pohranjen je u NVRAM-u na svakom pojedinom Macu. Može se mijenjati samo iz okruženja oporavka.
Da biste pokrenuli način rada za oporavak, ponovo pokrenite Mac i držite Command + R kako je pokrenut. Ući ćete u okruženje za oporavak. Kliknite izbornik "Utilities" i odaberite "Terminal" kako biste otvorili prozor terminala.
U terminal upišite sljedeću naredbu i pritisnite Enter da biste provjerili status:
status csASUT
Vidjet ćete je li zaštita integriteta sustava omogućena ili ne.
Da biste onemogućili zaštitu integriteta sustava, pokrenite sljedeću naredbu:
csrutil onemogućiti
Ako odlučite želite omogućiti SIP kasnije, vratite se u okruženje za oporavak i pokrenite sljedeću naredbu:
csrutil omogućite
Ponovno pokrenite Mac i vašu novu zaštitu sustava integritetapostavka će stupiti na snagu. Korijen će sada imati puni, neograničen pristup cijelom operativnom sustavu i svakoj datoteci.
Ako ste prethodno imali datoteke pohranjene u ovim zaštićenim direktorijima prije nego što nadogradite svoj Mac na OS X 10.11 El Capitan, one nisu izbrisane. Naći ćete ih na /Library/SystemMigration/History/ Migration( UUID) /QuarantineRoot/ direktorij na Mac računalu.
Image Credit: Shinji na Flickr